Prezydent RP podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa

Podpisanie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) stanowi przełomowy moment dla polskiego porządku prawnego w obszarze cyberbezpieczeństwa. Ustawa implementuje do prawa krajowego dyrektywę (UE) 2022/2555, znaną jako NIS 2, i kończy wielomiesięczny okres legislacyjnej niepewności związanej z opóźnieniem transpozycji unijnych regulacji. Nowe przepisy oznaczają nie tylko formalne dostosowanie prawa polskiego do wymogów UE, lecz przede wszystkim gruntowną przebudowę krajowego modelu zarządzania cyberbezpieczeństwem.

Najbardziej fundamentalną zmianą jest odejście od dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych. W ich miejsce wprowadzono nowe kategorie: podmioty kluczowe oraz podmioty ważne. Jednocześnie znacząco rozszerzono katalog sektorów objętych regulacją – nowymi obowiązkami objęto m.in. sektor ICT, produkcję (w tym chemiczną i spożywczą), gospodarkę ściekową, usługi pocztowe czy wybrane obszary infrastruktury krytycznej. Szacuje się, że nowymi wymaganiami w zakresie cyberbezpieczeństwa objętych może zostać ponad 10 000 podmiotów w Polsce.

Nowelizacja UKSC wprowadza rozbudowany system zarządzania ryzykiem ICT. Podmioty kluczowe i ważne będą zobowiązane do wdrożenia odpowiednich, opartych na ryzyku środków organizacyjnych i technicznych, a także do ustanowienia systemów zarządzania bezpieczeństwem informacji. Istotnym elementem nowych obowiązków są także zagadnienia związane z zarządzaniem ciągłością działania i bezpieczeństwa łańcucha dostaw, które przestają być dobrą praktyką, a stają się obowiązkiem regulacyjnym.

Duże znaczenie mają również zmiany w zakresie raportowania incydentów. Ustawa wprowadza dwuetapowy model zgłoszeń, obejmujący wczesne ostrzeżenie w ciągu 24 godzin od wykrycia poważnego incydentu oraz właściwe zgłoszenie w terminie 72 godzin, a następnie raport końcowy. W praktyce wymusi to sformalizowanie procedur reagowania na incydenty, jasny podział ról i odpowiedzialności oraz integrację obowiązków wynikających z UKSC i RODO.

Jednocześnie ustawodawca przewidział rozwiązania łagodzące. Na etapie prac parlamentarnych doprecyzowano definicję kierownictwa odpowiedzialnego za cyberbezpieczeństwo, wydłużono niektóre terminy rejestrowe i sprawozdawcze oraz wprowadzono dwuletnie odroczenie stosowania kar pieniężnych. Dodatkowo podmioty będą zobowiązane do stosowania wymagań w zakresie cyberbezpieczeństwa dopiero po upływie 12 miesięcy od dnia wejścia w życie ustawy. Ma to umożliwić podmiotom realne dostosowanie się do nowych wymagań bez natychmiastowego ryzyka sankcji finansowych.

Znaczenie podpisanej nowelizacji wykracza poza sam obszar IT. Nowe przepisy wymuszają zaangażowanie najwyższego kierownictwa, działów prawnych, zakupów, compliance i bezpieczeństwa, a cyberbezpieczeństwo staje się elementem ładu korporacyjnego i odpowiedzialności zarządczej. Dla wielu organizacji najbliższe miesiące będą okresem intensywnych przygotowań – od samoidentyfikacji statusu podmiotu, przez analizę ryzyka, po budowę i testowanie procedur. Podpis Prezydenta RP zamyka etap legislacyjny i otwiera nowy rozdział: praktycznego wdrażania NIS 2 w Polsce.

Ustawa wejdzie w życie w ciągu 30 dni od dnia jej podpisania.

Zaznaczyć jednocześnie należy, iż poza złożeniem podpisu pod ustawą, Prezydent RP podjął jednocześnie decyzję o skierowaniu ustawy do kontroli następczej przez Trybunał Konstytucyjny, który wedle oświadczenia Prezydenta RP ma zbadać aspekt proporcjonalności przyjętych rozwiązań.

Informacja oraz oświadczenie Prezydenta RP ws. podpisania ustawy dostępne są pod linkiem.

Kancelaria prawna KRWLegal / LegalWell zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie dyrektywy NIS 2, zgodności prawnej w zakresie cyberbezpieczeństwa oraz prowadzi szkolenia w tym obszarze dla pracowników instytucji obowiązanych.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.