Cyberbezpieczeństwo wzmocnione prawnie – co to oznacza dla przedsiębiorców, wskazują w komentarzu eksperckim dla ISBtech dr Damian Karwala, radca prawny, counsel w praktyce Własności Intelektualnej i Nowych Technologii kancelarii CMS oraz Magdalena Zajęcka, radczyni prawna, associate w praktyce Własności Intelektualnej i Nowych Technologii kancelarii CMS.
Najbliższe miesiące będą stać pod znakiem reformowania krajowych przepisów dotyczących cyberbezpieczeństwa, w tym ich dostosowania do unijnej dyrektywy NIS2. W ramach tej reformy rząd opublikował pod koniec kwietnia br. projekt zmian do ustawy o krajowym systemie cyberbezpieczeństwa (UKSC). W kilku co najmniej punktach projekt ten sporo zmienia, nie tylko po stronie podmiotów publicznych, ale także przedsiębiorców.
Zmianom ulegają już same zasady podlegania pod UKSC: decydować o tym ma już nie organ administracji podejmujący decyzję o objęciu systemem, lecz same przepisy. Zadaniem przedsiębiorców będzie upewnić się czy pod nowe wymogi podlegają oraz w jakim zakresie. Przy czym nowe regulacje obejmą dużo więcej sektorów. Poza wcześniej już regulowanym sektorem energetycznym, transportowym czy finansowym, nowe cyber-regulacje obejmą również m.in. producentów żywności i wyrobów elektronicznych, operatorów pocztowych czy dostawców usług cyfrowych (np. platform handlowych).
Wśród najważniejszych obowiązków nakładanych na przedsiębiorców przewidziano wdrożenie systemu zarządzania bezpieczeństwem informacji, stosowane środków technicznych i organizacyjnych odpowiednich do oszacowanego ryzyka oraz poddawanie ich regularnym audytom. Zaostrzone mają być także wymogi dotyczące obsługi i zgłaszania incydentów. Organy administracji mają zaś otrzymać dodatkowe uprawnienia, np. do wydawania tzw. poleceń zabezpieczających. Mogą one prowadzić nawet do nałożenia zakazu korzystania z określonych produktów ICT (np. systemu informatycznego). Zresztą taki nakaz może wynikać również z wdrożenia procedury uznania określonego dostawcy za tzw. dostawcę wysokiego ryzyka. Procedura ta, mimo iż budząca poważne zastrzeżenia i nie przewidziana w unijnej dyrektywie, znalazła się w projekcie zmian.
Zwiększonym obowiązkom towarzyszy wzmocniona odpowiedzialność. Proponowane zmiany wprowadzają wysokie kary dla podmiotów zobowiązanych – aż do 10 mln euro lub 2% przychodów osiągniętych w poprzednim roku obrotowym. Jest to zasadnicza zmiana w porównaniu z aktualnym stanem, gdzie kary oscylowały w przedziale 15-150 tys. zł, a jedynie w wyjątkowych sytuacjach mogły sięgnąć 1 mln zł. Projekt przewiduje również odpowiedzialność finansową dla osób pełniących funkcje kierownicze w przedsiębiorstwie, np. dla członków zarządu.
Czasu na przyjęcie zmian nie pozostało dużo, ponieważ dyrektywa NIS2 wymaga wdrożenia do 17 października br. Dlatego już teraz warto przyjrzeć się swoim wewnętrznym regulacjom i zasadom obowiązującym w zakresie cyberbezpieczeństwa. A z uwagi na aktualną skalę cyber-ataków powinni zrobić to wszyscy – nie tylko ci, którzy finalnie będą podlegać nowym regulacjom.
