Polska wdraża NIS2: Prezydent podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa

Prezydent RP podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, stanowiącą istotny krok w implementacji unijnej dyrektywy NIS2 oraz zestawu narzędzi Toolbox 5G (w rozszerzonej wersji).

Nowe regulacje są odpowiedzią na dynamiczny rozwój technologii i wprowadzają daleko idące zmiany w polskim systemie cyberbezpieczeństwa. W szczególności znacząco rozszerzają katalog podmiotów objętych obowiązkami oraz istotnie podnoszą poziom odpowiedzialności – w tym osobistej odpowiedzialności członków kadry zarządzającej.

Po podpisaniu przez Prezydenta ustawa powinna zostać ogłoszona w Dzienniku Ustaw w najbliższym czasie. Nowe przepisy wejdą w życie po upływie miesiąca od dnia ogłoszenia, a od tego momentu zaczną biec kluczowe terminy, w tym:

• 6 miesięcy – na złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych;
• 12 miesięcy – na wdrożenie środków zarządzania ryzykiem oraz rozpoczęcie korzystania z systemu S46 (zgłaszanie i obsługa incydentów);
• 24 miesiące – na przeprowadzenie pierwszego audytu zgodności;
• 2 lata – możliwość nałożenia pierwszych kar pieniężnych za niewywiązanie się z obowiązków.

Istotnym elementem nowelizacji jest wprowadzenie mechanizmu samoidentyfikacji, który obejmuje bardzo szeroką grupę podmiotów działających w 18 sektorach gospodarki wskazanych w załącznikach do ustawy. Niedostosowanie się do nowych obowiązków w zakresie cyberbezpieczeństwa w ustawowych terminach może skutkować karami liczonymi w milionach euro, a także dodatkowymi sankcjami, takimi jak wstrzymanie koncesji lub zezwoleń na prowadzenie działalności gospodarczej czy – w przypadku kadry zarządzającej – zakaz pełnienia funkcji zarządczych.

Jeżeli mają Państwo wątpliwości, czy nowe przepisy znajdują zastosowanie do Państwa organizacji lub jak przygotować się do nadchodzących obowiązków, zapraszamy do kontaktu. W SSW zapewniamy kompleksowe wsparcie – od samoidentyfikacji i szkoleń, przez kwestie kontraktowe, po reagowanie na incydenty – a także doradztwo w zakresie ochrony danych osobowych, ściśle powiązanej z obszarem cyberbezpieczeństwa.