Aktualności

Bądź na bieżąco z najnowszymi wydarzeniami i informacjami z branży IT.

Clockwise

Jak realnie przygotować organizację na obowiązki wynikające z KSC dot. NIS2?

Aktualności 5 min czytania

Wiele firm patrzy dziś na ustawę o Krajowym Systemie Cyberbezpieczeństwa wyłącznie przez pryzmat formalnych wymogów. Tymczasem praktyka pokazuje, że samo „wdrożenie polityki” czy zakup narzędzia nie oznacza zgodności z prawem. Nowe przepisy – implementujące dyrektywę NIS2 – wymagają systemowego podejścia do bezpieczeństwa, a nie punktowych działań.

Najważniejsze zmiany i obowiązki, które wynikają z KSC

1. Szerszy zakres podmiotów objętych obowiązkami

Nowe przepisy KSC nie ograniczają się do „operatorów usług kluczowych”, jak to miało miejsce w poprzednim prawie. Obecnie katalog podmiotów objętych systemem cyberbezpieczeństwa jest znacznie szerszy i bardziej szczegółowy — obejmuje one m.in.:

  • operatorów infrastruktury kluczowej (energetyka, transport, bankowość, opieka zdrowotna),
  • dostawców usług cyfrowych i ICT,
  • administrację publiczną,
  • sektor wodny i ściekowy,
  • producentów żywności i chemikaliów,
  • dostawców usług chmurowych i rejestrów domen — oraz wiele innych kategorii.

Nowością względem poprzednich regulacji jest obowiązek samodzielnego zgłaszania się do systemu przez podmioty, które spełniają kryteria podmiotu kluczowego lub ważnego — brak zgłoszenia może skutkować sankcjami.

2. Obowiązki dotyczące zarządzania cyberbezpieczeństwem.

Podmioty kluczowe i ważne muszą wdrożyć systemy zarządzania bezpieczeństwem informacji i ryzykiem, obejmujące m.in.:

  • systematyczne szacowanie ryzyka cybernetycznego,
  • środki techniczne i organizacyjne dopasowane do charakteru działalności,
  • procesy wykrywania, analizy i reagowania na incydenty,
  • kontrolę dostępu, szyfrowanie, regularne aktualizacje oprogramowania,
  • polityki zapewniające poufność, integralność i dostępność systemów.

Takie rozwiązania są zgodne z najlepszymi praktykami branżowymi, choć ustawa nie narzuca konkretnych certyfikatów czy narzędzi — kluczowe jest dopasowanie środków do ryzyka i rzeczywistych potrzeb organizacji.

3. Zgłaszanie incydentów i reakcja na zagrożenia.

Nowe przepisy KSC precyzują zasady zgłaszania incydentów:

  • 24 godziny od wykrycia — obowiązek zgłoszenia tzw. wczesnego ostrzeżenia,
  • 72 godziny od wykrycia — szczegółowe zgłoszenie incydentu poważnego,
  • szczególne obowiązki zgłoszeniowe dla dostawców usług zaufania.

Ustawa definiuje, co oznacza incydent poważny (np. poważne obniżenie jakości usług lub straty finansowe) oraz incydent na dużą skalę, czyli o skutkach wykraczających poza możliwości reakcji pojedynczego państwa.

Dodatkowo przewidziano możliwość obowiązku informowania użytkowników o incydentach, jeśli te mogą wpływać na ich bezpieczeństwo.

4. Audyty, kontrole i nadzór organów.

KSC przewiduje:

  • obowiązek przeprowadzania audytów systemów informatycznych co najmniej raz na 3 lata,
  • możliwość nakazu audytu lub kontroli przez właściwy organ ds. cyberbezpieczeństwa,
  • uprawnienia CSIRT-ów do ocen stanu cyberbezpieczeństwa systemów z minimalnym zakłóceniem pracy.

Posiadanie certyfikatów (np. ISO) nie zwalnia z obowiązku zgodności z wymogami KSC — ustawa kładzie nacisk na rzeczywiste procesy, a nie tylko formalne dokumenty.

5. Odpowiedzialność kadry zarządzającej i sankcje.

KSC nakłada odpowiedzialność za realizację obowiązków cyberbezpieczeństwa na kierownictwo organizacji — w praktyce oznacza to, że:

  • członkowie zarządów muszą nie tylko wdrożyć polityki i środki ochrony, ale też je monitorować i raportować,
  • kierownicy są odpowiedzialni, nawet jeśli niektóre zadania powierzyli innym osobom,
  • przewidziano możliwość kar finansowych (nawet wysokich), jeżeli organizacja nie spełni wymogów.

6. Nowe uprawnienia państwa i narzędzia reagowania.

KSC wprowadza także nowe narzędzia dla organów państwowych — np. tzw. polecenie zabezpieczające, które minister cyfryzacji może wydać w razie krytycznych incydentów. Narzędzie to umożliwia m.in.:

  • nakazy przeprowadzenia analiz ryzyka,
  • nakazy aktualizacji poprawek lub konfiguracji,
  • ograniczenia ruchu sieciowego,
  • wstrzymania dystrybucji niebezpiecznego oprogramowania.

To znacząco poszerza kompetencje państwa w obszarze reagowania na zagrożenia cybernetyczne.

Co to oznacza w praktyce dla firm i instytucji?

  1. Większa liczba podmiotów musi spełniać wymogi cyberbezpieczeństwa — nie tylko duże firmy, ale także mniejsze, które świadczą usługi ICT lub inne usługi o znaczeniu systemowym.
  2. Samodzielne zgłaszanie się do systemu to nowa realność — brak zgłoszenia może oznaczać ryzyko sankcji.
  3. Koszty i nakłady na cyberbezpieczeństwo trzeba uwzględnić w budżetach i planach strategicznych, aby być gotowym na zmiany i obowiązki, które wprowadzi w życie znowelizowana ustawa o KSC wraz z aktami wykonawczymi.
  4. Rzeczywiste wdrożenie procesów (monitoring, reakcja na incydenty, audyty) staje się koniecznością — nie tylko formalnością.

7. Sankcje i konsekwencje

KSC przewiduje wysokie kary administracyjne:

  • do 10 mln EUR lub 2% obrotu dla podmiotów kluczowych,
  • do 7 mln EUR lub 1,4% obrotu dla podmiotów ważnych,
  • do 600% wynagrodzenia dla osób z zarządu przy odpowiedzialnym kierownictwie.

To oznacza, że niezgodność z ustawą ma realne i dotkliwe skutki dla biznesu

8. Jak Clockwise może pomóc?

W kontekście obowiązującego KSC, Clockwise oferuje wsparcie w:

  • analizie zgodności z nowymi przepisami,
  • wdrożeniu procesów i narzędzi cyberbezpieczeństwa (np. SIEM, NDR, EDR/XDR),
  • audytach i przygotowaniu do certyfikacji,
  • szkoleniach i budowie świadomości w organizacji.

Dostosowanie do wymogów nowej ustawy to inwestycja w odporność cyfrową i stabilność działania – zarówno organizacji, jak i jej odbiorców.

Chcesz dowiedzieć się więcej? Skontaktuj się -> sales@clock-wise.pl

Chcesz dowiedzieć się więce? Skontaktuj się z nami!

sales@clock-wise.pl