Najnowsza ustawa dotycząca krajowego systemu cyberbezpieczeństwa w Polsce, która będzie dostosowana do wymogów Dyrektywy NIS 2, ma na celu wzmocnienie ochrony systemów informacyjnych i sieci w kluczowych sektorach gospodarki oraz infrastruktury. Główne aspekty regulacji obejmują:
Zakres regulacji:
- Identyfikacja i klasyfikacja podmiotów:
- Ustawa wprowadzi kryteria identyfikacji i klasyfikacji podmiotów jako kluczowe (essential entities) oraz ważne (important entities) zgodnie z Dyrektywą NIS 2. Regulacja obejmie sektory takie jak energetyka, transport, zdrowie, bankowość, infrastruktura cyfrowa, dostawy wody i inne sektory uznane za krytyczne.
- Obowiązki podmiotów kluczowych i ważnych:
- Ustawa określi szczegółowe obowiązki związane z zarządzaniem ryzykiem oraz stosowaniem środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa sieci i systemów informacyjnych, w tym:
- Regularne oceny ryzyka.
- Wdrażanie odpowiednich zabezpieczeń technicznych i organizacyjnych.
- Prowadzenie dokumentacji związanej z cyberbezpieczeństwem.
- Szybkie reagowanie na incydenty i zgłaszanie ich do odpowiednich organów.
- Ustawa określi szczegółowe obowiązki związane z zarządzaniem ryzykiem oraz stosowaniem środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa sieci i systemów informacyjnych, w tym:
- Bieżące zgłaszanie incydentów:
- Ustawa ustali obowiązki dotyczące zgłaszania incydentów bezpieczeństwa do krajowych organów regulacyjnych, w tym ramy czasowe na zgłaszanie:
- Wstępne zgłoszenie w ciągu 24 godzin od wykrycia incydentu.
- Szczegółowy raport w ciągu 72 godzin.
- Raport końcowy po zakończeniu incydentu.
- Ustawa ustali obowiązki dotyczące zgłaszania incydentów bezpieczeństwa do krajowych organów regulacyjnych, w tym ramy czasowe na zgłaszanie:
- Centralne rejestry:
- Ustawa ustanowi centralne rejestry podmiotów kluczowych i ważnych, umożliwiając skuteczny nadzór i koordynację działań w zakresie cyberbezpieczeństwa. Rejestry będą prowadzone przez odpowiednie organy krajowe.
- Nadzorowanie i egzekwowanie przepisów:
- Ustawa określi kompetencje organów odpowiedzialnych za nadzór nad przestrzeganiem przepisów dotyczących cyberbezpieczeństwa. Organy te będą miały prawo do przeprowadzania audytów, kontrolowania podmiotów oraz nakładania sankcji za naruszenia.
- Kary:
- Ustawa przewiduje surowe kary za nieprzestrzeganie przepisów, w tym:
- Kary finansowe dla przedsiębiorstw.
- Odpowiedzialność osobistą kadry zarządzającej.
- Obowiązek wdrożenia środków naprawczych.
- Ustawa przewiduje surowe kary za nieprzestrzeganie przepisów, w tym:
- Współpraca z podmiotami i wymiana informacji:
- Ustawa będzie promować współpracę i wymianę informacji między podmiotami krajowymi oraz na poziomie międzynarodowym, aby skuteczniej zwalczać cyberzagrożenia.
- Szkolenia i podnoszenie świadomości wśród pracowników:
- Ustawa może wprowadzać obowiązek regularnych szkoleń dla pracowników i kadry zarządzającej w zakresie cyberbezpieczeństwa, co jest kluczowe dla utrzymania wysokiego poziomu ochrony systemów informacyjnych.
Wzmocnienie ram prawnych:
Nowa ustawa o krajowym systemie cyberbezpieczeństwa będzie kluczowym narzędziem do wdrożenia Dyrektywy NIS 2 w Polsce, wzmacniając krajowe ramy prawne dotyczące ochrony cyberprzestrzeni. Planowana data uchwalenia to 17 października 2024 roku. Celem przepisów jest zwiększenie odporności na cyberzagrożenia oraz lepsza ochrona krytycznej infrastruktury i usług świadczonych w Polsce.
Zapraszamy do zapoznania się z naszym nowym produktem – wdrożenie dyrektywy NIS 2: