NIS2/UKSC - nowe obowiązki w zakresie cyberbezpieczeństwa

Przyjęcie dyrektywy NIS2 oraz jej wdrożenie do polskiego systemu prawnego w drodze nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa to jedna z najistotniejszych zmian regulacyjnych ostatnich lat. 

‍

PODMIOTY, KTÓRE PODLEGAJĄ OBOWIĄZKOWI

Przedsiębiorstwa mają samodzielnie ustalić, czy spełniają kryteria NIS-2 i wpisać się do rejestru podmiotów kluczowych lub ważnych (o czym poniżej). 

‍

Zakres sektorów jest szeroki, więc liczba firm objętych regulacją wzrośnie. Kryterium sektorów może obejmować między innymi infrastrukturę cyfrową, transport, bankowość, badania naukowe i ochronę zdrowia.

‍

Takimi podmiotami są średnie i duże przedsiębiorstwa, w których pracuje co najmniej 50 pracowników lub obrót/bilans jest równy lub przewyższa 10 mln euro (przy czym w niektórych przypadkach przepisy mogą mieć zastosowanie również dla przedsiębiorstw mniejszych niż średnie). Należy również uwzględnić powiązania kapitałowe - mogą one wpłynąć na zaliczenie również mniejszych spółek.

‍

OCENA ORGANIZACJI

Na początku trzeba ocenić, czy organizacja będzie musiała stosować się do UKSC, czyli czy jest podmiotem kluczowym, lub ważnym w rozumieniu nowych przepisów. To pierwszy krok, który pokazuje zakres obowiązków danego podmiotu w zakresie cyberbezpieczeństwa. Wskazuje też, czy trzeba podjąć dodatkowe kroki związane z przepisami UKSC.

‍

Warto sprawdzić, czy obowiązują przepisy sektorowe, takie jak DORA, które mogą wpływać na obowiązki związane z cyberbezpieczeństwem.

‍

REJESTRACJA

W ramach nowelizacji z lutego 2026 r. do UKSC wprowadzone zostały przepisy ustanawiające wykaz podmiotów kluczowych i podmiotów ważnych. Jeśli organizacja dostanie taki status, musi zarejestrować się w wykazie. Rejestracja musi się odbyć w ciągu 6 miesięcy od uzyskania statusu.

‍

SYSTEM ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI

Kolejnym wymogiem dla ważnych i kluczowych firm jest stworzenie systemu zarządzania bezpieczeństwem informacji. Taki system obejmuje zabezpieczenia informatyczne, ale nie można zapominać o organizacji, czyli odpowiednich procedurach i dokumentach związanych z tym systemem.

‍

ISTNIEJĄCE PROCEDURY

Jeśli w organizacji są już odpowiednie procedury, należy je sprawdzić. Trzeba upewnić się, że są zgodne z wymaganiami UKSC. Jeśli to potrzebne, należy je dostosować do nowych standardów. Ważne jest też, aby nie zapominać o zasadach ochrony i przetwarzania danych osobowych, które są przyjęte w organizacji.

‍

NOWE PROCEDURY

Ze względu na nowe obowiązki wprowadzone przez UKSC, może być potrzebne opracowanie i wprowadzenie nowych procedur. Będą one dotyczyć szczególnie zarządzania incydentami, oceniania ryzyka, sprawdzania skuteczności środków bezpieczeństwa oraz kontroli dostępu.

‍

Kolejnym ważnym krokiem do wprowadzenia jest procedura dotycząca incydentów. Ma ona zawierać zasady raportowania, zarówno wewnętrznego, jak i zewnętrznego do odpowiedniego zespołu CSIRT. Należy uwzględnić czas reakcji oraz informacje, które trzeba przekazać w przypadku incydentu.

‍

ZARZĄD

Zarząd organizacji, a wyjątkowo również wspólnicy w spółkach osobowych, są bezpośrednio odpowiedzialni za wykonanie obowiązków wynikających z UKSC.

‍

Warto wprowadzić system, który określa obowiązki i uprawnienia osób zajmujących się cyberbezpieczeństwem w organizacji. System ten powinien także zawierać zasady raportowania do zarządu i dokumentowania działań.

‍

UMOWY

UKSC to nie tylko procedury wewnętrzne i działania w organizacjach. Aby dostosować się do przepisów, trzeba sprawdzić umowy z dostawcami oprogramowania. Należy upewnić się, że są zgodne z prawem i nakładają na dostawcę obowiązki, które zapewniają odpowiedni poziom cyberbezpieczeństwa (m.in. kwestie SLA, zgłaszania incydentów, zakresu sprawozdawczości dostawcy).