Zaloguj się 
Dzieje się!
Udostępnij przez e-mail Nowelizacja ustawy o KSC. Surowe kary dla firm zagrażających cyberbezpieczeństwu
Wprowadzenie unijnej dyrektywy NIS 2 do polskiego prawa oznacza nowe obowiązki i wysokie kary finansowe dla firm z sektorów kluczowych i ważnych. Maksymalna kara za poważne naruszenia może wynieść aż 100 mln zł – zapowiedział w rozmowie z PAP wicepremier i minister cyfryzacji Krzysztof Gawkowski.
Nowe obowiązki w ustawie o krajowym systemie cyberbezpieczeństwa
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), który trafił do Sejmu, wdraża unijną dyrektywę NIS 2 oraz dokument Toolbox 5G. Zgodnie z nowymi przepisami, firmy działające w sektorach strategicznych – takich jak energia, zdrowie, bankowość, infrastruktura cyfrowa, transport, produkcja żywności czy chemikaliów – będą musiały spełniać rygorystyczne wymogi z zakresu ochrony przed cyberzagrożeniami.
Do kluczowych obowiązków należą: wdrożenie systemu zarządzania bezpieczeństwem informacji, zabezpieczenie łańcucha dostaw produktów i usług ICT, regularna ocena ryzyka incydentów cybernetycznych.
Surowe sankcje za naruszenia – nawet do 100 mln zł
Nowe przepisy przewidują wysokie kary finansowe za łamanie zasad cyberbezpieczeństwa. W przypadku, gdy podmiot z sektora kluczowego lub ważnego stwarza realne i poważne zagrożenie dla życia, zdrowia, obronności lub porządku publicznego, maksymalna kara może sięgnąć 100 mln zł.
– Kary przewidziane w nowelizacji są po to, by wymusić poważne traktowanie kwestii cyberbezpieczeństwa przez firmy, instytucje i obywateli – powiedział Krzysztof Gawkowski.
– Jeśli nikt nie będzie łamał prawa, kar nie będzie – dodał.
Minister zapewnił, że państwo nie zamierza nadmiernie karać przedsiębiorców, lecz chronić obywateli w sytuacjach kryzysowych – takich jak potencjalne ataki hybrydowe, np. ze strony Rosji.
Nowy podział i nowe sektory pod nadzorem
Dyrektywa NIS 2 zmienia dotychczasową klasyfikację podmiotów na „kluczowe” i „ważne”. Rozszerza również zakres branż objętych przepisami, dodając m.in. sektor ścieków, pocztę, zarządzanie ICT, przestrzeń kosmiczną, a także produkcję i dystrybucję żywności i chemikaliów.
Obecna wersja ustawy o KSC pochodzi z 2018 roku i nie zawiera przepisów implementujących NIS 2. Termin wdrożenia dyrektywy upłynął 18 października 2024 roku. Jak podkreśliło Ministerstwo Cyfryzacji, obecnie w Polsce obowiązuje drugi stopień alarmowy BRAVO-CRP, co oznacza realne ryzyko cyberataków o charakterze terrorystycznym.
Źródło: PAP
