Projekt ustawy dot. cyberbezpieczeństwa może dotyczyć także branży
Od 18 października 2024 roku na terenie wszystkich państw UE powinny być stosowane przepisy zawarte w dyrektywie 2022/2555 z dnia 14 grudnia 2022 roku dotyczącej środków na rzecz wspólnego poziomu cyberbezpieczeństwa. Powód jest oczywisty i nie wymaga głębszego uzasadnienia. Wystarczy przypomnieć chociażby skutki ostatnich awarii u światowych dostawców usług informatycznych, które miały wpływ niemal na wszystkie strefy życia w wielu państwach.
W Polsce za wdrożenie nowych zasad odpowiedzialne jest Ministerstwo Cyfryzacji, które na swojej stronie umieściło projekt odpowiedniej ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa, której przepisy mają wejść w życie już miesiąc po uchwaleniu. ustawa przewiduje 6 miesięczny okres dostosowawczy dla podmiotów kluczowych i podmiotów ważnych.
Nowe prawo dotyczyć będzie także firm branży spożywczej, przy czym ustawodawca zaliczył do nich przedsiębiorstwa zajmujących się hurtową dystrybucją oraz przemysłową produkcją i przetwarzaniem. Do zbioru takich podmiotów zalicza się zarówno jednostki publiczne, prywatne, non – profit, prowadzące jakąkolwiek działalność związaną z jakimkolwiek etapem produkcji, przetwarzania i dystrybucji żywności.
Dla każdego sektora ustanowiono organ właściwy do spraw cyberbezpieczeństwa (tzw. „organem właściwym”), który odpowiada za identyfikację i wyznaczanie operatorów usług kluczowych oraz nadzór i kontrolę nad przestrzeganiem przepisów ustawy w danym sektorze. W uzasadnieniu do projektu ustawy czytamy: „organ właściwy może powołać sektorowy zespół cyberbezpieczeństwa. Zespół ten odpowiada za wsparcie obsługi incydentów u operatorów usług kluczowych w konkretnym sektorze lub podsektorze. Do tej pory powołano tylko dwa takie zespół, tj. CSIRT KNF (zespół dla sektora finansowego), funkcjonujący przy Komisji Nadzoru Finansowego oraz Centrum e-Zdrowie sektorze ochrony zdrowia.
Zgodnie z zaleceniami dyrektywy, jeżeli chodzi o zakres działań nowych przepisów, to przyjęto podział na podmioty kluczowe i podmioty ważne. Od tego, do jakiej kategorii przydzielone zostanie konkretne przedsiębiorstwo, zależeć będzie m.in. szacowanie ryzyka i zastosowanie odpowiednich obowiązków oraz wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka.
Należy przy tym zauważyć, że dyrektywa przewiduje nie tylko konieczność przestrzegania odpowiednich procedur dotyczących cyberbezpieczeństwa, ale także wprowadzenie odpowiednich mechanizmów kontroli i dyscyplinowania przedsiębiorstw, które nie będą przestrzegały przewidzianych prawem zaleceń. Zakres obowiązków będzie zależny od nadanej kategorii – w przypadku podmiotów kluczowych będzie on bardziej szczegółowy od przewidzianego dla podmiotów ważnych. Odpowiedzialność za odpowiednie stosowanie procedur cyberbezpieczeństwa będzie należała do kierownika jednostki mającego status podmiotu kluczowego lub ważnego. Osoby kierujące podmiotami kluczowymi i podmiotami ważnymi muszą również raz na rok przejść szkolenie z zakresu cyberbezpieczeństwa. Podmioty kluczowe i podmioty ważne muszą również wyznaczyć dwie osoby do kontaktów z innymi podmiotami krajowego systemu cyberbezpieczeństwa.
Aby ułatwić identyfikację podmiotów kluczowych i podmiotów ważnych wprowadzono obowiązek samorejestracji tych podmiotów. Rejestracja będzie dokonywała się w wykazie podmiotów kluczowych i ważnych, który będzie prowadzony przez resort cyfryzacji.
Podmioty spełniające wymogi dla podmiotów kluczowych i podmiotów ważnych będą obowiązane do zarejestrowania się w tym rejestrze w terminie 2 miesięcy od spełnienia przesłanek uznania za podmiot kluczowy albo podmiot ważny. Wykaz będzie zawierał wszystkie informacje niezbędne do skutecznego nadzoru nad tymi podmiotami.
Po dokonaniu wpisu podmioty będą musiały podłączyć się do systemu S46 w zakresie funkcjononalności umożliwiających szacowanie ryzyka i zgłaszanie incydentów. Jest to system już obecnie funkcjonujący, wspierający wymianę informacji między podmiotami krajowego systemu cyberbezpieczeństwa. Docelowo w ramach tego systemu będzie przechodziła cała komunikacja w sprawach cyberbezpieczeństwa. System ten będzie zawierał również narzędzia, które pomogą tym podmiotom m.in. w przygotowaniu oceny ryzyka. Zdaniem ustawodawcy, te rozwiązania usprawnią komunikację w ramach krajowego systemu cyberbezpieczeństwa i pozwolą skutecznie wspierać jego podmioty w realizacji ich obowiązków. Organ właściwy do spraw cyberbezpieczeństwa będzie mógł również z urzędu wpisać dany podmiot do wykazu podmiotów kluczowych i podmiotów ważnych jeśli na podstawie danych zawartych w rejestrach publicznych oraz w innych dostępnych źródłach informacji stwierdzi on, że dany podmiot spełnia kryteria podmiotu kluczowego lub podmiotu ważnego. To rozwiązanie gwarantuje, że nawet jeśli dany podmiot nie będzie chciał się wpisać do wykazu będzie możliwe włączenie go do rejestru.
Co ważne, dyrektywa NIS 2, nakazuje podmiotom kluczowym i podmiotom ważnym wprowadzenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. Podmiot ma dbać o bezpieczeństwo wszystkich swoich systemów wykorzystywanych do prowadzenia swojej działalności.
Ustawodawca przewidział także kary za uniemożliwianie, utrudnianie przeprowadzanie ministrowi kontroli, prowadzenie oceny cyberbezpieczeństwa bez odpowiednich akredytacji oraz za przekazywanie nieprawdziwych informacji lub niepełnych danych.
Wykaz obowiązków i działań przewidziany w projekcie ustawy jest bardzo obszerny, jednak ze względu na znaczenie proponowanych rozwiązań dla sprawnego i bezpiecznego funkcjonowania firm zachęcamy do szczegółowego zapoznania się z dokumentem na stronie Ministerstwa Cyfryzacji.
Oprac. I.Sz.
Czy podobał Ci się nasz artykuł? Jeśli tak, zachęcamy do zapisania się do naszego newslettera.
Jeżeli masz jakieś pytania, to zachęcamy do kontaktu z nami poprzez formularz kontaktowy
Więcej o nas dowiesz się tutaj Krajowa Federacja Hodowców Drobiu i Producentów Jaj
Zdjęcia i ilustracje na licencji Freepik oraz źródeł autora artykułu.