Cyberbezpieczeństwo –
nowe obowiązki dla biznesu

Co czeka przedsiębiorców i jak uniknąć kar związanych z dyrektywą NIS 2

Dyrektywa NIS 2 (Network and Information Security Directive) wprowadza nowe przepisy dotyczące cyberbezpieczeństwa w Unii Europejskiej. Przedsiębiorców czeka obowiązek raportowania incydentów cybernetycznych, zarządzania ryzykiem oraz zapewnienia ciągłości działania przez firmy i instytucje. Odpowiedzialność za przestrzeganie tych przepisów, w tym odpowiedzialność karną, ponoszą członkowie zarządów. Dyrektywa dotyczy m. in. podmiotów w sektorach takich jak: energetyka, transport, bankowość, infrastruktura cyfrowa, zarządzania ICT, produkcji chemikaliów czy przemysłu spożywczego.
Obowiązek raportowania i kary!

W ramach dyrektywy NIS 2 wprowadza się obowiązek raportowania incydentów związanych z cyberbezpieczeństwem. Firmy i instytucje będą musiały informować odpowiednie organy o wszelkich naruszeniach bezpieczeństwa. Brak terminowego raportowania będzie wiązał się z karami dla członków zarządów za niewłaściwe zarządzanie cyberbezpieczeństwem.

Nowe zadania dla przedsiębiorstw

Kluczowym filarem NIS 2 jest zarządzanie ryzykiem cybernetycznym. Firmy muszą oceniać swoje zasoby i infrastrukturę pod kątem podatności na ataki, a także monitorować swoich dostawców i partnerów biznesowych. Zgodnie z założeniami UE, przedsiębiorstwa powinny wdrażać zarządzanie ryzykiem na wszystkich poziomach łańcucha dostaw.

Sektory objęte dyrektywą NIS 2

Dyrektywa NIS 2 rozszerza katalog sektorów objętych nowymi przepisami. Obok branż, takich jak energetyka, transport czy bankowość, dołączają sektory związane z produkcją i dystrybucją chemikaliów, żywności, a także zarządzaniem ICT i przestrzenią kosmiczną. To oznacza, że nowe regulacje obejmą teraz znacznie szerszy zakres podmiotów, które muszą dostosować się do wymogów UE w zakresie cyberbezpieczeństwa.

NIS 2 a regulacje w Polsce – na co zwrócić uwagę
W Polsce znowelizowano przepisy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Nowelizacja dostosowuje polskie prawo do unijnej dyrektywy NIS 2, rozszerzając zakres podmiotów objętych przepisami.
  • Wprowadzono nowe wymagania dotyczące zarządzania ryzykiem cybernetycznym, wymiany informacji o zagrożeniach oraz obowiązek szybkiego zgłaszania incydentów

     

  • Wprowadzono system S46, służący do komunikacji pomiędzy podmiotami kluczowymi i ważnymi w zakresie cyberzagrożeń

     

  • Jednym z kluczowych elementów nowelizacji jest wprowadzenie pojęcia Dostawców Wysokiego Ryzyka, co może skutkować zakazem korzystania z ich produktów i usług, jeśli zagrażają bezpieczeństwu państwa

     

  • Przepisy przewidują surowe kary finansowe za nieprzestrzeganie obowiązków dotyczących cyberbezpieczeństwa

     

Jak PKF Polska pomaga przygotować się do regulacji związanych z NIS 2 i KSC
Business Intelligence PKF Polska pomaga bezpiecznie przystosować przedsiębiorstwo do nowych regulacji. Oferujemy rozwiązania podnoszące cyberbezpieczeństwo w zgodzie z najnowszymi przepisami.
Kompleksowe wsparcie w przygotowaniu do spełnienia wymogów KSC
Business Intelligence PKF Polska oferuje kompleksowe wsparcie w przygotowaniu firm do spełnienia wymogów ustawy KSC. Nasze usługi obejmują opracowanie i wdrożenie dokumentacji dostosowanej do specyfiki organizacji, identyfikację obszarów ryzyka, a także procedury nadzoru nad incydentami cyberbezpieczeństwa. Wdrażamy efektywne procedury KSC oraz zapewniamy stałe doradztwo, dostosowując system do zmieniających się wymagań. Korzyści obejmują minimalizację ryzyka cyberataków, zwiększenie odporności IT, ciągłość działania organizacji i pełną zgodność z przepisami, co buduje zaufanie klientów.
Wdrożenie usługi CyberDefender
CyberDefender to usługa Managed Detection & Response (MDR) zapewniająca zarządzane wykrywanie i reagowanie na cyberincydenty. Działa 24/7, monitorując lokalne, chmurowe i hybrydowe środowiska, identyfikując zagrożenia w czasie rzeczywistym. Zespół ekspertów natychmiast reaguje na wykryte ataki, minimalizując ryzyko strat operacyjnych, finansowych i reputacyjnych. Dzięki wykorzystaniu zaawansowanej analityki i sztucznej inteligencji, CyberDefender skutecznie chroni przed zaawansowanymi zagrożeniami. Klienci otrzymują regularne raporty z analizami bezpieczeństwa, co zapewnia spokój i pewność stałej ochrony.
Audyt KSC i testy penetracyjne dla pełnej ochrony IT
Business Intelligence PKF oferuje audyty cyberbezpieczeństwa oraz zgodności z wymogami ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), a także testy penetracyjne infrastruktury IT. Audyt KSC ocenia gotowość firmy do realizacji obowiązków wynikających z ustawy, identyfikując luki w obszarach takich jak zarządzanie ryzykiem, bezpieczeństwo fizyczne, zarządzanie incydentami oraz dostawcami. Testy penetracyjne pozwalają na zidentyfikowanie podatności w systemach, wraz z propozycjami działań naprawczych. Raport z audytu zawiera wskaźnik krytyczności podatności, co ułatwia priorytetyzację działań naprawczych.
Nowe obowiązki w ramach ustawy KSC: kontrola, raportowanie, kary

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) znacząco podnosi wymagania w zakresie ochrony infrastruktury i systemów informacyjnych. Podmioty kluczowe i ważne muszą stawić czoła nowym wyzwaniom: od szczegółowych kontroli i rygorystycznego raportowania, przez natychmiastową reakcję na polecenia zabezpieczające, aż po surowe kary pieniężne za naruszenia przepisów. Poznaj kluczowe zagrożenia i możliwości, które te regulacje wprowadzają, aby skutecznie chronić swoją firmę i spełniać wymogi prawne.

Sektory objęte ustawą KSC

W stosunku do obecnie obowiązującej ustawy o krajowym systemie cyberbezpieczeństwa, katalog sektorów objętych przepisami uległ rozszerzeniu. Wynika to bezpośrednio z dyrektywy NIS 2, w której obok sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej, znalazły się także sektory: ścieków, zarządzania ICT, przestrzeni kosmicznej, poczty, produkcji, produkcji i dystrybucji chemikaliów, produkcji i dystrybucji żywności.

Wprowadzenie dyrektywy NIS 2 nakłada dodatkowe obowiązki na podmioty kluczowe i ważne, aby wzmocnić ochronę przed zagrożeniami cybernetycznymi i zapewnić zgodność z nowymi przepisami.

Kluczowe zagrożenia:

  • Rosnące cyberzagrożęnia - sektory wymienione objęte ustawą KSC w ocenie regulatorów są bardziej narażone na ataki.
  • Wysokie kary – podmioty kluczowe i ważne mogą być obciążone karami do 100 milionów zł za naruszenia.

Kluczowe możliwości:

  • Wzmocnienie bezpieczeństwa – dyrektywa NIS 2 zapewnia nowe procedury i wytyczne, które pomagają lepiej chronić infrastrukturę cyfrową.
  • Szeroki zasięg – ustawa obejmuje nowe sektory, które wcześniej nie były objęte regulacjami, zwiększając bezpieczeństwo gospodarki.
Kontrola cyberbezpieczeństwa w ramach KSC

W ramach nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, wprowadzono nowe mechanizmy kontroli mające na celu zwiększenie bezpieczeństwa systemów informacyjnych wykorzystywanych przez podmioty kluczowe i ważne.

Kluczowe zagrożenia:

  • Nadzór organów kontrolnych – Podmioty muszą liczyć się z częstymi kontrolami, które mogą być przeprowadzane zarówno w siedzibach firm, jak i zdalnie. Niezastosowanie się do zaleceń może prowadzić do nałożenia wysokich kar.
  • Ocena bezpieczeństwa systemów – Organy kontrolujące mają uprawnienia do przeprowadzania audytów systemów informacyjnych w przypadku podejrzeń o naruszenia lub wystąpienia incydentów.

Kluczowe możliwości:

  • Wzmocnienie infrastruktury – Kontrole umożliwiają identyfikację podatności i wdrożenie lepszych środków ochrony systemów informacyjnych.
  • Zgodność z przepisami – Regularne audyty i monitorowanie bezpieczeństwa pozwalają na bieżąco spełniać wymogi prawne i unikać potencjalnych sankcji.
Uprawnienia organów kontrolnych

W ramach nadzoru nad podmiotami kluczowymi i ważnymi organ właściwy może:

  • prowadzić kontrole, w tym doraźne, w siedzibie podmiotu, miejscu wykonywania działalności gospodarczej lub zdalnie – w przypadku przedsiębiorców; czas takiej kontroli nie może przekroczyć 48 dni roboczych w jednym roku kalendarzowym,
  • zobowiązać podmiot w drodze decyzji do przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi (art. 15 ust. 1), w szczególności w sytuacji wystąpienia poważnego incydentu lub naruszenia przepisów ustawy przez podmiot,
  • zlecić CSIRT: MON, NASK, GOV lub sektorowym dokonanie oceny bezpieczeństwa systemu informacyjnego podmiotu,
  • wystąpić z wnioskiem o udzielenie informacji niezbędnych do oceny:

- wdrożonych środków technicznych i organizacyjnych, odpowiednich i proporcjonalnych do oszacowanego ryzyka (art. 8 ust. 1 pkt 2),
- stosowanych środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi (art. 8 ust. 1 pkt 5),|
- stosowanych środków komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa (art. 8 ust. 1 pkt 6),
- zgodności z obowiązkiem przedkładania informacji właściwym organom zgodnie z przepisami o wykazie podmiotów kluczowych i ważnych (art. 7),

  • wystąpić z wnioskiem o udzielenie dostępu do danych, dokumentów i informacji koniecznych do wykonywania nadzoru;
  • wystąpić z wnioskiem o przedstawienie dowodów realizacji wymogów dotyczących wdrażania systemu zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez podmiot (art. 8 ust. 1).
Raportowanie w ramach ustawy KSC

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) wprowadza nowe obowiązki raportowania dla podmiotów kluczowych i ważnych. Raportowanie obejmuje wymianę informacji w systemie S46, który będzie podstawowym narzędziem przetwarzania informacji związanych z cyberbezpieczeństwem.

Kluczowe zagrożenia:

  • Kary za opóźnienia – Niezastosowanie się do terminów raportowania może prowadzić do wysokich kar finansowych.
  • Ścisłe terminy zgłaszania incydentów – Poważne incydenty muszą być zgłaszane w ciągu 72 godzin, co wymaga skutecznego systemu zarządzania cyberbezpieczeństwem.
  • Podmioty kluczowe i ważne będą korzystać z S46 w terminie 14 dni od dokonania wpisu do wykazu, a nieprzestrzeganie tego obowiązku narazi je (oraz organy zarządzające) na karę pienieżną.

Kluczowe możliwości:

  • Centralizacja wymiany danych – System S46 umożliwia sprawną wymianę informacji o cyberzagrożeniach, incydentach i podatnościach, co zwiększa efektywność ochrony.
  • Zgodność z przepisami – Regularne raportowanie i zgłaszanie incydentów zapewnia spełnienie wymogów ustawowych i unika potencjalnych sankcji.
Polecenie zabezpieczające

Polecenie zabezpieczające to nowy środek wprowadzony w ramach nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Może być wydane przez ministra właściwego do spraw informatyzacji w przypadku wystąpienia incydentu krytycznego. Dotyczy to nieokreślonej liczby podmiotów kluczowych i ważnych, a strony są informowane za pomocą Biuletynu Informacji Publicznej. Polecenie zabezpieczające jest ogłaszane w dzienniku urzędowym ministra i wchodzi w życie natychmiast po ogłoszeniu.

Kluczowe zagrożenia:

  • Natychmiastowa wykonalność – Polecenie zabezpieczające ma natychmiastową wykonalność, co oznacza, że podmioty muszą niezwłocznie reagować na nałożone obowiązki, co może być wyzwaniem organizacyjnym.
  • Brak czynnego udziału stron – W postępowaniu dotyczącym wydania polecenia nie stosuje się wielu zasad postępowania administracyjnego, co ogranicza możliwości podmiotów do obrony swojego stanowiska.

Kluczowe możliwości:

  • Ochrona przed eskalacją incydentów – Polecenie zabezpieczające umożliwia szybkie wdrożenie środków zaradczych, co może zapobiec dalszemu rozprzestrzenianiu się incydentu krytycznego.
  • Przejrzystość działań – Publiczne ogłoszenie w Biuletynie Informacji Publicznej i dostępność decyzji dla wszystkich zainteresowanych stron zwiększa transparentność działań w odpowiedzi na krytyczne zagrożenia cybernetyczne.
Kary pieniężne w ramach ustawy KSC

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) wprowadza surowe kary pieniężne za naruszenia przepisów.

Kluczowe zagrożenia:

  • Wysokie kary dla podmiotów kluczowych i ważnych – Za najcięższe naruszenia grożą kary do 100 milionów złotych. Mniejsze naruszenia mogą skutkować karami do 10 milionów euro (dla podmiotów kluczowych) oraz do 7 milionów euro (dla podmiotów ważnych).
  • Osobista odpowiedzialność kierowników – Kierownicy podmiotów kluczowych i ważnych mogą być osobiście ukarani karą wynoszącą nawet do 600% ich miesięcznego wynagrodzenia.

Kluczowe możliwości:

  • Zgodność z przepisami – Przestrzeganie obowiązków wynikających z ustawy eliminuje ryzyko nałożenia wysokich kar pieniężnych.
  • Zapobieganie eskalacji – Możliwość unikania okresowych kar pieniężnych za opóźnienia, poprzez bieżące monitorowanie zgodności i szybkie działania naprawcze​

PKF - Twój partner w obszarze cyberbezpieczeństwa

PKF to wiarygodny partner w obszarze cyberbezpieczeństwa. Łączymy globalne standardy naszej międzynarodowej sieci PKF International z głębokim zrozumieniem lokalnego rynku.

  • Ponad 400 ekspertów, w tym z obszaru cyberbezpieczeństwa

    Zespół ekspertów, o różnorodnych specjalizacjach, to przewaga, która pozwala nam sprostać najbardziej wymagającym wyzwaniom klientów.

  • 31 lat doświadczenia

    Jako firma doradcza i audytorska od ponad 30 lat pomagamy naszym Klientom rozwiązywać ich problemy biznesowe.

  • 7. pozycja w rankingu firm audytorskich w Polsce

    Wysokie pozycje w rankingach to wynik pracy merytorycznej naszych pracowników, którzy konsekwentnie dostarczają usługi na najwyższym poziomie.

Zapraszamy do kontaktu
Zapewnimy bezpieczeństwo Twojego biznesu.
Tomasz Zaniuk
Project Manager w Departamencie Audytu
Dyrektor Departamentu Business Intelligence
+48 601 541 748
* Pola oznaczone gwiazdką muszą być wypełnione.
Administratorem Pani/Pana danych osobowych, w zależności od przedmiotu zapytania ofertowego, będzie PKF Consult Sp. z o.o. Sp. k., PKF BPO Sadowska – Malczewska Sp. z o.o. Sp. k., PKF Tax&Legal Chamera Orczykowski Sp. k., PKF Advisory Sp. z o. o. lub PKF Brevells Cekiera Sp. k., wszystkie z siedzibą przy ul. Orzyckiej 6/1B, 02-695 Warszawa. Pani / Pana dane będą przetwarzane w celu obsługi skierowanego zapytania. Więcej informacji na temat przetwarzania danych osobowych, w tym o przysługujących Pani / Panu prawach oraz o danych kontaktowych Administratorów,znajduje się w naszej Polityce Prywatności.
Wyślij
copyrights © 2024
"PKF" i logo PKF są zastrzeżonymi znakami towarowymi wykorzystywanymi przez PKF International Limited oraz firmy członkowskie należące do sieci PKF Global. Nie mogą one być używane przez żadną osobę poza należycie licencjonowaną firmą członkowską sieci.
site by webdepartment