3 kwietnia weszły w życie przepisy wdrażające nową dyrektywę cyberbezpieczeństwa NIS2 w ramach nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Regulacje wprowadzają bardziej rygorystyczne wymagania dotyczące ochrony systemów informatycznych, zarządzania ryzykiem i reagowania na incydenty bezpieczeństwa. Nowe przepisy nakładają na przedsiębiorstwa i instytucje publiczne obowiązek bardziej kompleksowego podejścia do cyberbezpieczeństwa obejmującego zarówno kwestie technologiczne, jak i organizacyjne.

Jednym z podstawowych wymogów jest przeprowadzenie szczegółowej inwentaryzacji zasobów informatycznych i identyfikacja potencjalnych zagrożeń dla funkcjonowania systemów teleinformatycznych. Organizacje będą musiały także opracować i udokumentować procedury związane z ciągłym zarządzaniem bezpieczeństwem, w tym monitorowaniem ryzyka oraz reagowaniem na incydenty. W praktyce oznacza to konieczność wdrożenia spójnego systemu zarządzania bezpieczeństwem informacji oraz regularnego aktualizowania procedur ochrony danych i infrastruktury cyfrowej.

Nowelizacja ustawy wprowadza również istotną zmianę w klasyfikacji podmiotów objętych regulacjami. Dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych został zastąpiony nową kategorią podmiotów kluczowych i podmiotów ważnych. Rozszerzono jednocześnie katalog instytucji i przedsiębiorstw zobowiązanych do stosowania nowych wymogów. Obejmują one organizacje działające w sektorach mających szczególne znaczenie dla funkcjonowania państwa, gospodarki i bezpieczeństwa obywateli.

Szacuje się, że nowe przepisy mogą objąć ok. 38 tys. podmiotów, w tym ok. 27 tys. instytucji publicznych. Firmy i instytucje działające w wskazanych sektorach powinny już teraz przeanalizować, czy podlegają nowym regulacjom. Ustawa przewiduje 12-miesięczny okres dostosowawczy, który ma umożliwić organizacjom przygotowanie się do pełnego wdrożenia nowych obowiązków oraz wprowadzenie odpowiednich procedur i rozwiązań organizacyjnych.

13 kwietnia Minister Cyfryzacji rozpoczął proces wpisywania z urzędu do wykazu Krajowego Systemu Cyberbezpieczeństwa dotychczasowych operatorów usług kluczowych, dostawców usług zaufania, przedsiębiorców telekomunikacyjnych i podmiotów publicznych. Z kolei od 7 maja uruchomiona zostanie możliwość samodzielnego wpisu do wykazu dla podmiotów, które nie zostały objęte wpisem dokonywanym automatycznie.

Do sektorów kluczowych zaliczono: energetykę (wydobywanie kopalin, energia elektryczna, ciepło, ropa i paliwa, gaz, energetyka jądrowa, wodór), transport (lotniczy, kolejowy, wodny, drogowy), bankowość i infrastrukturę rynków finansowych, ochronę zdrowia (udzielanie świadczeń zdrowotnych i zdrowie publiczne, produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych), zaopatrzenie w wodę pitną i jej dystrybucję, zbiorowe odprowadzanie ścieków, infrastrukturę cyfrową (infrastruktura cyfrowa z wyłączeniem komunikacji elektronicznej, komunikacja elektroniczna), zarządzanie usługami ICT, działalność w przestrzeni kosmicznej oraz podmioty publiczne.

W grupie sektorów ważnych znalazły się natomiast usługi pocztowe, inwestycje energetyki jądrowej, gospodarka odpadami (zbieranie odpadów, transport odpadów, przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów, działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami), produkcja, wytwarzanie i dystrybucja chemikaliów oraz żywności, produkcja: wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, komputerów, wyrobów elektronicznych i optycznych, urządzeń elektrycznych, maszyn i urządzeń, gdzie indziej niesklasyfikowana, pojazdów samochodowych, przyczep i naczep, pozostałego sprzętu transportowego, dostawcy usług cyfrowych i jednostki prowadzące działalność badawczą, a także inne podmioty publiczne.

W najbliższym czasie Ministerstwo Cyfryzacji planuje także przekazać do konsultacji publicznych projekt zestawienia wymogów dokumentów normalizacyjnych, w tym norm, które mają pomóc w określeniu szczegółowych wymagań dotyczących systemów zarządzania bezpieczeństwem informacji w poszczególnych sektorach objętych regulacją.

Czytaj także: 96% firm doświadczyło cyberataku. W życie wchodzą przepisy NIS 2

fot. freepik.com
oprac. /kp/