Rząd kończy prace nad nowelizacją ustawy o cyberbezpieczeństwie – co to oznacza dla firm?
Według zapewnień rządu w tym kwartale zakończą się rządowe prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, która wdroży do polskiego prawa zapisy dyrektywy NIS2. Będzie to mieć istotne znaczenie dla kształtowania polityk cyberbezpieczeństwa przez duże i średnie podmioty zaliczane do kategorii kluczowych i ważnych. Choć pojawiają się głosy krytyczne, sugerujące, że regulacje są zbyt daleko idące, to eksperci od cyberbezpieczeństwa są przekonani, że akurat w tym obszarze mogą one przynieść szereg korzyści, zwłaszcza we współczesnych warunkach geopolitycznych.
„Barometr Cyberbezpieczeństwa 2025” KPMG wskazuje, że w 2024 roku 83 proc. firm w Polsce odnotowało przynajmniej jeden incydent związany z cyberbezpieczeństwem. To o 16 pp. więcej niż w poprzednim badaniu. Ponad połowa przedstawicieli badanych firm uważa, że technologia AI spowoduje wzrost zagrożeń w cyberprzestrzeni.
– Dyrektywa NIS jest jedną z kluczowych regulacji Unii Europejskiej, która ma za zadanie podnieść poziom cyberbezpieczeństwa na wielu poziomach. Ona będzie wpływała na funkcjonowanie konkretnych przedsiębiorstw, szczególnie z sektorów infrastruktury krytycznej… – mówi w wywiadzie dla agencji Newseria Joanna Świątkowska, zastępczyni sekretarza generalnego Europejskiej Organizacji ds. Cyberbezpieczeństwa (ECSO).
Unijna dyrektywa weszła w życie w 2023 roku. Jesienią ubiegłego roku minął termin na wprowadzenie jej założeń do prawa krajowego w państwach członkowskich. W Polsce jednak trwają prace nad ustawą o krajowym systemie cyberbezpieczeństwa, która ma stanowić implementację dyrektywy. Ze względu na istotę przepisów i ich zakres projekt na etapie prac rządowych był już wielokrotnie modyfikowany. Według zapowiedzi resortu cyfryzacji, które padły podczas Europejskiego Kongresu Gospodarczego, rządowy etap prac nad nowym projektem ma się zakończyć jeszcze w II kwartale br. Nowe przepisy obejmą ok. 38 tys. podmiotów w Polsce.
W NIS2 nastąpiła zmiana dotychczasowego podziału na operatorów usług kluczowych, dostawców usług cyfrowych oraz podmioty publiczne. W miejsce tego pojawił się podział na podmioty ważne oraz podmioty kluczowe. Jako podmioty kluczowe wskazane zostały organizacje o krytycznym znaczeniu dla funkcjonowania gospodarki i społeczeństwa, czyli podmioty z najważniejszych sektorów gospodarki, takich jak m.in. sektor energetyczny, finansowy, ochrona zdrowia czy infrastruktura cyfrowa. Do podmiotów ważnych zaliczono m.in. dostawców usług telekomunikacyjnych, sektor pocztowy i kurierski czy podmioty przetwarzające odpady. Podmioty objęte dyrektywą mają wdrożyć odpowiednie środki mające zmniejszyć ryzyko dla bezpieczeństwa sieci i systemów informatycznych, uwzględniające wszelkie możliwe zagrożenia.
– Jednym z takich wymagań jest zwrócenie uwagi na ryzyka, które płyną z funkcjonowania łańcucha dostaw… – wskazuje Joanna Świątkowska.
Jak wynika z raportu KPMG, badane firmy nie uważają ataków na łańcuch dostaw za pośrednictwem partnerów biznesowych za duże zagrożenie. Uznaje je za takie tylko 5 proc. przedsiębiorstw, ale to i tak pięciokrotny wzrost w porównaniu z poprzednim rokiem… Regulacje NIS2 kładą nacisk na ochronę przed tymi zagrożeniami.
Przepisami dyrektywy NIS2 objęte zostały duże i średnie firmy. Jako podmioty kluczowe kwalifikują się takie, które zatrudniają co najmniej 250 pracowników, a ich roczny obrót przekracza 50 mln euro. Do podmiotów ważnych zalicza się średnie przedsiębiorstwa, czyli podmioty zatrudniające co najmniej 50 pracowników, o rocznym obrocie powyżej 10 mln euro. Podmioty objęte regulacjami mają szereg obowiązków, takich jak m.in. przeprowadzanie regularnych ocen ryzyka, wdrażanie zaawansowanych środków ochronnych czy zgłaszanie do CERT incydentów bezpieczeństwa…
– Kluczem do sukcesu jest nie tylko wprowadzenie i zaprojektowanie właściwych rozwiązań, ale przede wszystkim ich skuteczna implementacja… – zauważa ekspertka ECSO.
Niewątpliwie dyrektywa jest odpowiedzią na zwiększone zagrożenie Europy na płaszczyźnie związanej z cyberbezpieczeństwem. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) w raporcie opublikowanym w październiku 2024 roku wskazała, że w 2023 roku zanotowała ponad 11 tys. incydentów, z czego 322 były wymierzone w co najmniej dwa państwa unijne.
na podstawie Newseria.pl, fot. Newseria.pl
