Podpisana przez Prezydenta nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wdraża unijną dyrektywę NIS2. To zmiana przepisów, ale też prawdziwa rewolucja w filozofii ochrony państwa i biznesu przed zagrożeniami cyfrowymi. Nowe prawo zastępuje dotychczasowy model (UKSC) i nakłada na tysiące firm obowiązki, których zlekceważenie może prowadzić do surowych konsekwencji. 

Od wyznaczania do samoidentyfikacji – rewolucja w dostępie do systemu 

Najistotniejsza zmiana w kontekście NIS2 dotyczy sposobu, w jaki firma staje się częścią systemu. W poprzednim modelu podmioty były wyznaczane decyzją administracyjną jako „operatorzy usług kluczowych”. Obecnie to przedsiębiorcy ma obowiązek samodzielnej weryfikacji, czy jego działalność mieści się w katalogu ustawowym i dokonania zgłoszenia do nowo utworzonego wykazu. 

Przy ustalaniu wielkości podmiotu warto pamiętać, że do progu zatrudnienia wlicza się nie tylko umowy o pracę, ale również współpracowników na kontraktach B2B. Co więcej, nowa definicja „systemu informacyjnego” obejmuje nie tylko tradycyjne IT ale każde urządzenie lub grupę urządzeń przetwarzających dane. Włącza to do systemu np. zaawansowane sterowniki przemysłowe. 

NIS2 w kontekście odpowiedzialności osobistej i obowiązkowych szkoleń 

Cyberbezpieczeństwo przestało być domeną wyłącznie działów IT. Ustawa wprowadza osobistą odpowiedzialność kierownika podmiotu (np. zarządu spółki) za wdrożenie i nadzór nad systemem zarządzania bezpieczeństwem informacji (SZBI). 

Członkowie zarządu mają ustawowy obowiązek przechodzenia regularnych, dokumentowanych szkoleń z zakresu cyberbezpieczeństwa. Za rażące uchybienia (np. brak wdrożenia procedur) na osobę zarządzającą może zostać nałożona kara finansowa sięgająca nawet 300% jej miesięcznego wynagrodzenia. 

Surowość kar a praktyka rynkowa: Lekcja z DORA i RODO 

Choć przewidziane sankcje są drastyczne – dla podmiotów kluczowych do 10 mln euro lub 2% globalnego obrotu – warto osadzić je w realiach rynkowych.

Przykładowo, rok po wdrożeniu rozporządzenia DORA w sektorze finansowym nie odnotowano jeszcze żadnej kary, podczas gdy UODO w obszarze danych osobowych nakłada ich średnio 40–50 rocznie. Sugeruje to, że organy nadzoru mogą początkowo przyjąć ścieżkę edukacyjną, zanim przejdą do surowego egzekwowania prawa.  

Dodatkowym „bezpiecznikiem” jest przepis, według którego administracyjne kary pieniężne za brak wdrożenia nowych standardów będą mogły być nakładane dopiero po upływie 24 miesięcy od wejścia ustawy w życie. 

Nowe standardy raportowania i ciągłość działania 

Warto wiedzieć, że w przeciwieństwie do RODO, w systemie NIS2 wyciek danych osobowych nie zawsze będzie traktowany jako incydent, o ile nie doprowadzi on do przerwania ciągłości świadczenia usługi kluczowej lub ważnej. 

Ustawa wprowadza jednak kaskadowy, restrykcyjny system raportowania „incydentów poważnych”: 

• Wczesne ostrzeżenie: w ciągu 24 godzin od wykrycia. 

• Zgłoszenie incydentu (pełne): w ciągu 72 godzin. 

• Sprawozdanie końcowe: w ciągu 1 miesiąca. 

  
  

Pojawił się także nowy obowiązek informowania klientów o poważnych zagrożeniach cyfrowych wraz ze wskazaniem środków zaradczych, jakie mogą podjąć (np. instrukcja zmiany haseł). 

Ważne terminy dla biznesu 

Proces dostosowania do NIS2 został określony w sposób jednoznaczny. Wpis do wykazu podmiotów następuje w terminie 6 miesięcy zgodnie z harmonogramem Ministra, natomiast na pełne wdrożenie obowiązków przedsiębiorcy mają 12 miesięcy od dnia wejścia ustawy w życie lub od momentu spełnienia przesłanek objęcia regulacją. Podmioty kluczowe są dodatkowo zobowiązane do przeprowadzenia pierwszego audytu w ciągu 24 miesięcy, a następnie do jego cyklicznego powtarzania co 3 lata. 

Czy moje dane wyciekły? Nowa usługa publiczna 

Ciekawostką dla każdego obywatela jest fakt, że CSIRT NASK został zobowiązany do stworzenia bezpłatnej publicznej usługi online. Pozwoli ona sprawdzić, czy nasze dane (np. login lub PESEL) nie zostały upublicznione w sieci w wyniku cyberataku. 

Podsumowanie 

Wdrożenie standardów NIS2 to proces ciągły, wymagający m.in. regularnego szacowania ryzyka i monitorowania systemów w trybie 24/7. Choć kary są wysokie, ich celem jest wymuszenie realnej odporności cyfrowej. W praktyce wdrożenie ISO 27001 pozwala pokryć znaczną część wymogów nowej ustawy. Wynika to z faktu, że obie regulacje opierają się na identycznym fundamencie: obowiązku wdrożenia i ciągłego monitorowania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Zarówno standard ISO, jak i znowelizowana ustawa o KSC, przesuwają ciężar z prostego reagowania na incydenty na aktywne zarządzanie ryzykiem, za które osobistą odpowiedzialność ponosi najwyższe kierownictwo.  

Należy jednak pamiętać, że posiadanie certyfikatu ISO nie zwalnia automatycznie z obowiązków ustawowych ani z audytów przeprowadzanych przez organy nadzorcze. Stanowi ono jednak doskonałą „listę kontrolną”, dzięki której większość procesów – takich jak inwentaryzacja aktywów, polityki kontroli dostępu czy plany ciągłości działania – jest już w firmie gotowa i przetestowana. 

Analiza opiera się na aktualnym brzmieniu ustawy; jej ostateczny kształt może ulec zmianie w związku ze skierowaniem aktu do Trybunału Konstytucyjnego.