Najnowsza ustawa dotycząca krajowego systemu cyberbezpieczeństwa w Polsce, zgodna z Dyrektywą NIS 2, ma na celu wzmocnienie ochrony systemów informacyjnych i sieci w kluczowych sektorach gospodarki i infrastruktury. Oto kluczowe elementy regulacji:
Obszar regulacji:
Identyfikowanie i klasyfikacja podmiotów:
Ustawa określi kryteria identyfikacji i klasyfikacji podmiotów jako kluczowe (essential entities) oraz ważne (important entities) zgodnie z Dyrektywą NIS 2. Regulacje obejmą sektory takie jak energetyka, transport, zdrowie, bankowość, infrastruktura cyfrowa, dostawy wody oraz inne sektory uznane za krytyczne.
Obowiązki dla podmiotów kluczowych i ważnych:
Ustawa ustali szczegółowe obowiązki dotyczące zarządzania ryzykiem i stosowania środków technicznych oraz organizacyjnych w celu zapewnienia bezpieczeństwa sieci i systemów informacyjnych. Obowiązki te obejmują:
- Regularne oceny ryzyka.
- Wdrażanie odpowiednich zabezpieczeń technicznych i organizacyjnych.
- Prowadzenie dokumentacji związanej z cyberbezpieczeństwem.
- Szybkie reagowanie na incydenty i ich zgłaszanie do właściwych organów.
Zgłaszanie incydentów:
Ustawa ustali obowiązki dotyczące zgłaszania incydentów bezpieczeństwa do krajowych organów regulacyjnych. Ramy czasowe zgłaszania obejmują:
- Wstępne zgłoszenie w ciągu 24 godzin od wykrycia incydentu.
- Szczegółowy raport w ciągu 72 godzin.
- Raport końcowy po zakończeniu incydentu.
Centralne rejestry:
Ustawa wprowadzi centralne rejestry podmiotów kluczowych i ważnych, umożliwiając skuteczny nadzór i koordynację działań w zakresie cyberbezpieczeństwa. Rejestry będą prowadzone przez odpowiednie organy krajowe.
Nadzór i egzekwowanie przepisów:
Ustawa określi kompetencje organów odpowiedzialnych za nadzór nad przestrzeganiem przepisów dotyczących cyberbezpieczeństwa. Organy te będą miały prawo do przeprowadzania audytów, kontrolowania podmiotów oraz nakładania sankcji za naruszenia.
Sankcje:
Ustawa przewiduje surowe kary za nieprzestrzeganie przepisów, w tym:
- Kary finansowe dla przedsiębiorstw.
- Odpowiedzialność osobistą kadry zarządzającej.
- Obowiązek wdrożenia środków naprawczych.
Współpraca i wymiana informacji:
Ustawa będzie promować współpracę i wymianę informacji między podmiotami krajowymi oraz na poziomie międzynarodowym, w celu skuteczniejszego zwalczania cyberzagrożeń.
Szkolenia i podnoszenie świadomości:
Ustawa może wprowadzać obowiązek regularnych szkoleń dla pracowników i kadry zarządzającej w zakresie cyberbezpieczeństwa, co jest kluczowe dla utrzymania wysokiego poziomu ochrony systemów informacyjnych.
Implementowanie i wzmacnianie ram prawnych:
Nowa ustawa o krajowym systemie cyberbezpieczeństwa będzie kluczowym narzędziem do wdrożenia Dyrektywy NIS 2 w Polsce, wzmacniając krajowe ramy prawne dotyczące ochrony cyberprzestrzeni. Planowane jest uchwalenie ustawy do 17 października 2024 roku. Przepisy mają na celu zwiększenie odporności na cyberzagrożenia oraz lepszą ochronę krytycznej infrastruktury i usług świadczonych w Polsce.
Zapraszamy do skorzystania z naszej pomocy przy wdrożeniu dyrektywy NIS2!