Logo Ratels
 
 
 
Powrót do bloga

19.02.2025

Ustawa o krajowym systemie cyberbezpieczeństwa 2025

Na stronie Rządowego Centrum Legislacji (RCL) opublikowano najprawdopodobniej ostateczny projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z dnia 7 lutego 2025 r. Ustawa stanowi implementację dyrektywy NIS 2, wprowadzając szereg istotnych zmian w krajowym systemie cyberbezpieczeństwa. Nowe przepisy obejmują szerszy zakres podmiotów, wprowadzają bardziej rygorystyczne wymagania dotyczące zarządzania ryzykiem i zgłaszania incydentów, a także przewidują surowsze sankcje za naruszenia.

Nowa klasyfikacja podmiotów

Na podstawie dotychczasowego art. 5 ustawy o krajowym systemie cyberbezpieczeństwa status operatora usług kluczowych nadawany był administracyjnie, a jego zakres określał załącznik do ustawy.

Nowelizacja wprowadza zupełnie nowe brzmienie art. 5, definiując podmiot kluczowy i podmiot ważny. W nowym podejściu podmiot kluczowy to nie tylko organizacja świadcząca usługi kluczowe, ale także dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, rejestry domen najwyższego poziomu (TLD) czy kwalifikowani dostawcy usług zaufania. Podmiotem kluczowym może być również podmiot publiczny wskazany w załączniku do ustawy lub jednostka państwowa. Z kolei podmioty ważne obejmują m.in. mniejsze przedsiębiorstwa, w tym niekwalifikowanych dostawców usług zaufania, mikro- i małych przedsiębiorców komunikacji elektronicznej oraz inwestorów obiektów energetyki jądrowej.

Subtelna zmiana tytułu rozdziału 2 z „Identyfikacja i rejestracja operatorów usług kluczowych” na „Identyfikacja i rejestracja podmiotów kluczowych i podmiotów ważnych” jest odzwierciedleniem głębszej reformy krajowego systemu cyberbezpieczeństwa. Eliminuje konieczność administracyjnego uznawania operatorów usług kluczowych i wprowadza precyzyjne, automatyczne kryteria określania podmiotów kluczowych i ważnych. Nowe podejście zwiększa przejrzystość regulacji i obejmuje szerszy zakres organizacji, co znacząco wpływa na sposób wdrażania wymagań cyberbezpieczeństwa.

Rozszerzony zakres zabezpieczeń

Podczas gdy wcześniejsze przepisy koncentrowały się na ochronie infrastruktury bezpośrednio związanej z realizacją usług kluczowych, nowe regulacje nakładają obowiązek zabezpieczenia całego ekosystemu organizacji. W praktyce oznacza to konieczność wdrożenia kompleksowego podejścia do zarządzania bezpieczeństwem, uwzględniającego zarówno wewnętrzne procesy organizacyjne, jak i zewnętrzne zależności.

Podmioty objęte regulacjami będą zobowiązane do:

  • Zarządzania ryzykiem na poziomie strategicznym – procesy decyzyjne muszą uwzględniać cyberzagrożenia i skutki potencjalnych incydentów. Wymaga to przeprowadzania regularnych analiz ryzyka oraz wdrażania odpowiednich środków zaradczych.
  • Zabezpieczenia łańcucha dostaw ICT i zależności zewnętrznych – organizacje muszą monitorować swoich dostawców usług IT oraz infrastrukturę teleinformatyczną pod kątem cyberzagrożeń. W szczególności podmioty kluczowe i ważne będą zobowiązane do weryfikacji poziomu bezpieczeństwa swoich kontrahentów, dostawców sprzętu i oprogramowania.
  • Skutecznego zarządzania personelem i politykami dostępu – nowe przepisy podkreślają znaczenie kontroli dostępu do systemów informacyjnych oraz ochrony przed zagrożeniami wewnętrznymi. Podmioty obowiązane będą musiały wdrożyć procedury dotyczące uwierzytelniania wieloskładnikowego (MFA), kontroli dostępu oraz szkoleń z zakresu cyberhigieny.
  • Dokumentowania i testowania planów awaryjnych oraz planów ciągłości działania – organizacje muszą opracować strategie działania na wypadek incydentów, obejmujące mechanizmy szybkiego reagowania oraz procedury odtwarzania działalności po atakach cybernetycznych. Wprowadzono także wymóg ich regularnego testowania i aktualizacji.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa znacząco rozszerza zakres obowiązków dotyczących zarządzania incydentami. Podmioty kluczowe i ważne będą musiały wdrożyć systemy monitorowania infrastruktury IT w trybie ciągłym, które umożliwią szybką detekcję i klasyfikację zagrożeń. Nowe przepisy pozwalają również na ograniczenie ruchu sieciowego w przypadku wykrycia podatności lub cyberzagrożeń, z uwzględnieniem minimalizacji skutków dla świadczonych usług. Może to obejmować np. tymczasowe blokowanie określonych adresów IP, segmentację sieci czy ograniczenie dostępu do zasobów krytycznych.

Dodatkowo, Rada Ministrów uzyskała kompetencje do określania szczegółowych wymagań dla systemów zarządzania bezpieczeństwem informacji w poszczególnych branżach. Oznacza to, że mogą zostać wprowadzone sektorowe wytyczne dostosowane do specyfiki poszczególnych sektorów gospodarki, takich jak energetyka, telekomunikacja, finanse czy ochrona zdrowia. Dotychczas posiadanie certyfikacji ISO 27001 często uznawano za wystarczające do spełnienia wymagań ustawy, jednak nowe przepisy mogą wymagać dodatkowych sektorowych wytycznych dostosowanych do specyfiki danej branży.

Nowe zasady audytów bezpieczeństwa IT

Nowelizacja ustawy zmienia również podejście do audytów bezpieczeństwa systemów informacyjnych. Wydłuża obowiązkowy cykl audytów dla podmiotów kluczowych z 2 do 3 lat, co zmniejsza częstotliwość ich przeprowadzania, a tym samym obciążenie finansowe organizacji. Jednocześnie nowe przepisy nakładają obowiązek przekazania raportu z audytu organowi właściwemu do spraw cyberbezpieczeństwa w terminie 3 dni roboczych, co zwiększa nadzór nad zgodnością podmiotów z wymaganiami ustawy. Dodatkowo organ nadzorczy zyskuje prawo do nakazania audytu w każdym czasie dla podmiotów kluczowych oraz w przypadku incydentu poważnego lub naruszenia przepisów dla podmiotów ważnych. Wprowadzone zmiany pozwalają na lepsze dostosowanie wymagań audytowych do rzeczywistych zagrożeń, jednocześnie zwiększając kontrolę nad poziomem cyberbezpieczeństwa organizacji.

Kary finansowe za naruszenia cyberbezpieczeństwa

Na uwagę zasługują również zmiany przepisów dotyczących kar pieniężnych w zakresie cyberbezpieczeństwa. Znacząco zwiększa się zarówno zakres naruszeń podlegających sankcjom, jak i wysokość możliwych kar. Wprowadza szerszy katalog uchybień, które mogą skutkować karami dla podmiotów kluczowych i ważnych, obejmując m.in. brak wdrożenia systemu zarządzania bezpieczeństwem informacji, niewykonanie obowiązków audytowych czy niekorzystanie z systemu teleinformatycznego dedykowanego zgłaszaniu incydentów.

Nowe przepisy rozszerzają także odpowiedzialność kierownictwa organizacji – osoby zarządzające mogą zostać ukarane indywidualnie, a maksymalna kara może wynieść nawet 300% ich wynagrodzenia.

Istotną zmianą jest również znaczące podwyższenie górnych limitów kar, które dla podmiotów kluczowych mogą sięgać 10 milionów euro lub 2% rocznych przychodów, a dla podmiotów ważnych 7 milionów euro lub 1,4% rocznych przychodów. Co więcej, w przypadkach rażących naruszeń związanych z zagrożeniem bezpieczeństwa publicznego lub krytycznymi usługami, możliwe jest nałożenie kary sięgającej 100 milionów złotych.

Podsumowanie

Ostateczna analiza treści nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa będzie możliwa dopiero po jej oficjalnej publikacji, jednak już teraz można wskazać kluczowe zmiany i ich potencjalne konsekwencje. Nowe przepisy znacząco rozszerzają zakres podmiotów objętych regulacjami, zaostrzają obowiązki w zakresie zarządzania ryzykiem i bezpieczeństwem informacji oraz wzmacniają mechanizmy nadzoru i egzekwowania zgodności. Wzrost kar finansowych i dodatkowe wymagania dla kierownictwa organizacji wskazują na rosnącą wagę cyberbezpieczeństwa jako priorytetu dla państwa i firm. Wprowadzone zmiany wymagają od organizacji dostosowania swoich procedur do nowych wymogów, co może wiązać się z koniecznością inwestycji w infrastrukturę bezpieczeństwa i procesy zarządzania incydentami.

Nie zapominajmy jednak, że Dyrektywa NIS2 nałożyła na państwa członkowskie obowiązek implementacji przepisów do 17 października 2024 roku, co oznacza, że organizacje objęte regulacją powinny już być przygotowane do wdrożenia wymaganych mechanizmów. Nowa ustawa o krajowym systemie cyberbezpieczeństwa stanowi formalne dostosowanie polskich regulacji do unijnych wymogów i wprowadza precyzyjne wytyczne.

Podmioty kluczowe i ważne muszą zatem jak najszybciej dostosować swoje procedury do nowych regulacji, aby uniknąć konsekwencji finansowych oraz zapewnić zgodność z krajowymi i unijnymi przepisami dotyczącymi cyberbezpieczeństwa. W praktyce oznacza to konieczność przeprowadzenia audytów wewnętrznych, wdrożenia procedur zarządzania incydentami oraz przeszkolenia personelu odpowiedzialnego za ochronę systemów informacyjnych. Kluczowe będzie również zweryfikowanie i dostosowanie systemów zabezpieczeń, wprowadzone zmiany wymagają od organizacji dostosowania się do nowych realiów zarządzania cyberbezpieczeństwem i inwestycji w zaawansowane technologie ochronne, takie jak SIEM (Security Information and Event Management), XDR (Extended Detection and Response) oraz systemy DLP (Data Loss Prevention). Zapewnienie zgodności z regulacjami stanie się kluczowym elementem strategii IT, a niedostosowanie się do nowych wymogów może skutkować wysokimi karami finansowymi.

Jeżeli potrzebujecie wsparcia w audytach, testach bezpieczeństwa lub wdrożeniu niezbędnych systemów zgodnych z nowymi przepisami, nasz zespół inżynierów służy pomocą. Pomożemy w zapewnieniu zgodności z regulacjami oraz skutecznym zabezpieczeniu infrastruktury IT, dostosowując rozwiązania do specyfiki działalności i nowych wymagań prawnych.

Artykuły powiązane

Copyright © 2025 Ratels. All rights reserved.

Design & development

Design & development www.artnova.com.pl