Polska już oficjalnie weszła w reżim cyberbezpieczeństwa. Podpisana w zeszłym tygodniu przez prezydenta Karola Nawrockiego ustawa o krajowym systemie cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS2, jest tego namacalnym dowodem. Choć jej ostateczny kształt nie wszystkim przypadł do gustu, trzeba podkreślić, że jest polską odpowiedzią na napiętą sytuację geopolityczną oraz rosnącą skalę cyberataków.
– Według danych CERT Polska każdego roku odnotowuje się setki tysięcy incydentów cyberbezpieczeństwa, które dotykają zarówno polskich firm, jak i ich partnerów oraz dostawców – zauważa w rozmowie z „Wprost” Weronika Czaplewska, wiceprezeska Quantifier.
Co wdrożenie KSC oznacza dla polskich firm?
Przede wszystkim oznacza zmiany. Dyrektywa NIS2 rozszerza bowiem listę podmiotów objętych regulacją oraz wprowadza jasną odpowiedzialność najwyższego kierownictwa za zarządzanie ryzykiem cyberbezpieczeństwa. W ocenie ekspertki to właśnie kwestia odpowiedzialności zarządu jest największą zmianą.
– Cyberbezpieczeństwo przestaje być wyłącznie domeną działów technicznych czy IT – formalna odpowiedzialność za zarządzanie ryzykiem cybernetycznym spoczywa na członkach zarządu – wyjaśnia Weronika Czaplewska.
Jak tłumaczy, dla firm oznacza to konieczność realnego nadzoru nad systemem cyberbezpieczeństwa w organizacji, wyznaczenia osób odpowiedzialnych za ten obszar oraz zapewnienia odpowiednich procedur i zasobów.
Kary to nawet 10 mln euro
Zmiany, które wprowadza ustawa o KSC, dotyczą także kar. A te są naprawdę srogie.
– Stawka jest wysoka, bo kary za brak zgodności mogą sięgać nawet 10 mln euro lub 2 proc. globalnego rocznego obrotu, a w przypadku podmiotów ważnych 7 mln euro lub 1,4 proc. obrotu – w zależności od tego, która wartość jest wyższa – zauważa Weronika Czaplewska.
To jednak nie wszystko. Polska ustawa implementująca dyrektywę przewiduje, że kary te nie mogą być niższe niż 20 000 zł dla podmiotów kluczowych i 15 000 zł dla podmiotów ważnych. Zakłada też, że odpowiedzialności finansowej za niewykonanie obowiązków może podlegać również kierownik tych podmiotów – nawet do 300 proc. otrzymywanego wynagrodzenia, obliczanego jako ekwiwalent pieniężny za urlop.
– Dyrektywa wprowadza także bardzo szybkie obowiązki raportowe: wczesne ostrzeżenie o poważnym incydencie w ciągu 24 godzin, a pełne zgłoszenie incydentu w ciągu 72 godzin od jego wykrycia – dodaje ekspertka.
„To nie jest projekt wyłącznie technologiczny”
Wdrożenie KSC to nie tylko spełnienie formalnych wymogów czy przygotowanie dokumentacji.
– W praktyce oznacza to konieczność wdrożenia podejścia continuous compliance, czyli systemu ciągłego monitorowania zgodności z regulacjami i bieżącego zarządzania ryzykiem cybernetycznym – wyjaśnia Czaplewska.
Jak podkreśla, nie jest to projekt wyłącznie technologiczny.
– Wdrożenie wymaga współpracy zarządu, działów IT, compliance, zespołów prawnych, ale także HR oraz działów zakupów, ponieważ NIS2 obejmuje również kwestie szkoleń pracowników oraz bezpieczeństwa w łańcuchu dostaw. Cyberbezpieczeństwo przestaje być więc tematem technicznym, a staje się strategiczną odpowiedzialnością zarządu i całej organizacji – stwierdza wiceprezeska Quantifier.
Choć część regulacji dotyczących dostawców wysokiego ryzyka trafi jeszcze do kontroli następczej w Trybunale Konstytucyjnym, sama ustawa już wchodzi w życie. Nie ma już odwrotu od cyberbezpieczeństwa i nie ma już taryfy ulgowej dla polskich firm.
