MAKE SURE THAT YOUR DATA IS INSURED
/
NIS2: Jakie zmiany w nowym projekcie ustawy?

Druga wersja projektu nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa – nowe obowiązki i przedłużone terminy

7 października 2024 roku Ministerstwo Cyfryzacji opublikowało drugą wersję projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która ma na celu wdrożenie unijnej dyrektywy NIS 2 do polskiego porządku prawnego. Projekt uwzględnia znaczną liczbę uwag wynikających z publicznych konsultacji oraz uzgodnień międzyresortowych, wprowadzając zmiany w zakresie obowiązków dla podmiotów kluczowych i ważnych. Ministerstwo planuje przyjęcie projektu przez Radę Ministrów do końca 2024 roku, co umożliwi skierowanie nowelizacji do prac parlamentarnych i uchwalenie ustawy na początku 2025 roku.

Kluczowe zmiany w nowelizacji projektu ustawy o KSC

Druga wersja projektu przewiduje liczne zmiany, które mają ułatwić podmiotom kluczowym i ważnym dostosowanie się do nowelizacji, w tym szczególnie w zakresie obowiązków audytowych i rejestracyjnych oraz zarządzania bezpieczeństwem informacji.

1. Przedłużone terminy realizacji obowiązków dla podmiotów kluczowych i ważnych

Jednym z ważniejszych zmian są wydłużone terminy realizacji obowiązków, które wynikają z nowelizacji KSC:

  • Rejestracja w wykazie podmiotów kluczowych i ważnych – obecnie przewidziano, że termin na rejestrację podmiotów wynosi 3 miesiące od wejścia ustawy w życie lub od spełnienia kryteriów uznania za podmiot kluczowy lub ważny, podczas gdy poprzednia wersja projektu zakładała dwa miesiące.
  • Obowiązek audytu – podmioty kluczowe mają obecnie 24 miesiące na przeprowadzenie pierwszego audytu od wejścia ustawy w życie lub spełnienia kryteriów. W poprzedniej wersji obowiązek ten miał być realizowany w ciągu 12 miesięcy.
  • System zarządzania bezpieczeństwem informacji – podmioty kluczowe i ważne są zobowiązane do wdrożenia środków organizacyjnych i technicznych w zakresie bezpieczeństwa informacji w terminie 6 miesięcy, a podmioty wyznaczone przez organ ds. cyberbezpieczeństwa mają na to 12 miesięcy.

2. Zmiany w obowiązku audytowym

Zmiana w zakresie obowiązku audytowego jest znacząca, ponieważ nowa wersja projektu ogranicza obowiązek regularnych audytów zewnętrznych wyłącznie do podmiotów kluczowych. Podmioty ważne nie będą już zobowiązane do przeprowadzania audytów, co uprości ich działania oraz ograniczy dodatkowe koszty związane z przeprowadzaniem audytów zgodności z KSC.

Dodatkowo wydłużono okres ważności audytów – każdy kolejny audyt musi być przeprowadzony przez podmiot kluczowy w ciągu 36 miesięcy od poprzedniego, co stanowi zmianę wobec wcześniejszego terminu 24 miesięcy.

3. Uporządkowanie klasyfikacji podmiotów kluczowych i ważnych

Nowa wersja projektu dostosowuje kryteria uznania za podmiot kluczowy i ważny do wymagań dyrektywy NIS 2, co eliminuje błąd występujący w poprzedniej wersji. Obecnie podmiotami kluczowymi będą duże przedsiębiorstwa działające w sektorach kluczowych, natomiast podmiotami ważnymi będą przedsiębiorstwa średnie w sektorach kluczowych oraz średnie i duże w sektorach ważnych.

4. Zmiany w zakresie kar finansowych

Projekt nie zmienia wysokości kar finansowych, jednak rozszerza katalog przypadków, w których można nałożyć karę na podmiot lub jego kierownika. Kary przewidziane w nowelizacji ustawy o KSC odpowiadają minimalnym wymaganiom dyrektywy NIS 2 i obejmują m.in.:

  • Maksymalnie 10 mln EUR lub 2% rocznych przychodów dla podmiotów kluczowych.
  • Maksymalnie 7 mln EUR lub 1,4% rocznych przychodów dla podmiotów ważnych.

Warto zaznaczyć, że projekt przewiduje także kwalifikowane kary do 100 mln zł w przypadku poważnych naruszeń przepisów, które skutkują bezpośrednim zagrożeniem bezpieczeństwa lub porządku publicznego.

5. Relacje z rozporządzeniem DORA oraz wytycznymi Komisji Europejskiej

Nowelizacja dostosowuje niektóre przepisy do rozporządzenia DORA oraz wytycznych Komisji Europejskiej z 13 września 2023 roku, które odnoszą się do zakresu stosowania dyrektywy NIS 2. W wyniku tej zmiany wyłączono niektóre obowiązki dla sektora bankowego i infrastruktury rynków finansowych, obejmując je jednak pewnymi wyjątkami, jak obowiązek zgłaszania incydentów cyberbezpieczeństwa.

Zmiany w sektorach objętych przepisami KSC

Nowa wersja projektu porządkuje zakres podmiotowy ustawy o KSC. Dotyczą one między innymi sektorów: energii (modyfikacje w zakresie rodzajów podmiotów w podsektorze energii elektrycznej i dodanie podsektora energii jądrowej), ochrony zdrowia (nowy podsektor i nowe typy podmiotów, jak jednostki organizacyjne publicznej służby krwi), transportu wodnego (operatorzy portów), a także sektora badań naukowych.

Co dalej?

Ministerstwo Cyfryzacji planuje zakończenie prac nad projektem i skierowanie go do Rady Ministrów jeszcze w 2024 roku. Wprowadzenie nowelizacji z początkiem 2025 roku będzie oznaczało dla wielu podmiotów konieczność dostosowania się do nowych wymogów, a także ponowne przeanalizowanie posiadanych zabezpieczeń i procedur w zakresie cyberbezpieczeństwa.

Nowelizacja ustawy o KSC stanowi istotny krok w kierunku wzmacniania odporności na cyberzagrożenia i dostosowania polskich regulacji do unijnych standardów. Szczegółowe informacje i aktualny projekt nowelizacji można znaleźć na stronie BIP Ministerstwa Cyfryzacji, gdzie opublikowano pełną wersję dokumentu wraz z załącznikami.

Nowa wersja projektu ustawy o KSC wprowadza zmiany, które mogą mieć wpływ na szerokie spektrum podmiotów, zwłaszcza działających w sektorach kluczowych i ważnych.