Cyberbezpieczeństwo – tylko slogan czy realny nowy obowiązek?

Nowelizacja ustawy o KSC oznacza dla wielu organizacji konieczność przeprowadzenia audytu istniejących procedur bezpieczeństwa oraz dostosowania systemów zarządzania ryzykiem do nowych wymogów.

Rubicon Kancelaria Radców Prawnych i Adwokatów Wacht, Kijek sp.k.

Pod koniec stycznia Sejm RP uchwalił zmianę ustawy o krajowym systemie cyberbezpieczeństwa (KSC), jednocześnie nadrabiając obowiązek implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r., potocznie znanej jako NIS2. Regulacja wprowadza istotne zmiany w zakresie odpowiedzialności za bezpieczeństwo systemów informatycznych w przedsiębiorstwach i znacząco rozszerza krąg podmiotów objętych obowiązkami. Nowością jest podział przedsiębiorców będących dostawcami usług cyfrowych na podmioty kluczowe i ważne, nakładający na nich często nowe obowiązki organizacyjne i zarządcze. Cyberbezpieczeństwo staje się więc nie tylko kwestią technologiczną, ale także elementem odpowiedzialności zarządu i kadry kierowniczej.

Nowelizacja ustawy o KSC wprowadza okresy przejściowe, które zapewniają podmiotom kluczowym oraz ważnym dodatkowy czas na wdrożenie wymaganych rozwiązań:

∑ na dostosowanie się do obowiązków wynikających z nowych regulacji przewidziano 12 miesięcy od dnia wejścia w życie nowelizacji, czyli do 3 kwietnia 2027 r.,

∑ podmioty kluczowe są zobowiązane do przeprowadzenia pierwszego audytu bezpieczeństwa w terminie 24 miesięcy od wejścia w życie przepisów, tj. do 3 kwietnia 2028 r.

Implementacja dyrektywy NIS2

Nowelizacja ustawy...