Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa nie zaskoczyła nikogo sposród naszych Czytelników – pisaliśmy o niej dużo. Nie oznacza to jednak, że wszyscy wiedzą co od czego zacząć i co robić dalej. Ministerstwo Cyfryzacji opracowało w związku z tym specjalny poradnik.
– Nowelizacja wyznacza jasny harmonogram działań. Instytucje publiczne i przedsiębiorstwa mają teraz czas, aby odpowiednio przygotować swoje organizacje do nowych wymagań z zakresu cyberbezpieczeństwa. Dzięki temu możemy stopniowo i skutecznie wzmacniać bezpieczeństwo cyfrowe kraju. To realna zmiana w stronę większej stabilności usług, lepszej ochrony danych i skuteczniejszego reagowania na cyberzagrożenia – powiedział wicepremier i minister cyfryzacji Krzysztof Gawkowski cytowany przez portal gov.pl.
Pierwszy istotny termin to 3 października 2026 r.
Do 3 października 2026 r. podmioty kluczowe i ważne mają czas, aby złożyć wniosek o wpis do odpowiedniego wykazu. To pierwszy ważny termin wynikający z ustawy. W praktyce oznacza on sześć miesięcy na sprawdzenie, czy dany podmiot podlega nowym przepisom, i na dopełnienie formalności. Jak wielokrotnie podkreślali nasi eksperci wszyscy przedsiębiorcy telekomunikacyjni kwalifikują się przynajmniej do kategorii podmiotów ważnych. Do kluczowych – nieliczni.
Co jednak najbardziej istotne nowe przepisy nakładają na podmioty, które działają w strategicznych sektorach gospodarki, obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, zwiększających bezpieczeństwo systemów informatycznych. Wprowadzają także odpowiedzialność kierowników za realizację zadań z zakresu cyberbezpieczeństwa.
Do 3 kwietnia 2027 r. podmioty kluczowe i ważne, które w dniu wejścia w życie nowelizacji spełniają ustawowe kryteria, muszą wdrożyć obowiązki wynikające z nowych przepisów.
Do 3 kwietnia 2028 r. podmioty kluczowe mają czas, aby przeprowadzić pierwszy obowiązkowy audyt cyberbezpieczeństwa. Kolejne audyty trzeba będzie przeprowadzać co najmniej raz na trzy lata.
Poradnik dla wszystkich
Ministerstwo Cyfryzacji zapowiada szereg działań wspierających skierowanych do podmiotów krajowego systemu cyberbezpieczeństwa. Przygotowany w formie pytań i odpowiedzi poradnik dotyczy wielu branż niż telekomunikacja i nie dla wszystkich będzie przydatny.
Warto jednak zwrócić uwagę na kilka kwestii, na przykład na sygnalizowaną juz przez nas nieefektywność rozwiązań kupionych poniżej stawek rynkowych:
Pytanie: Kupiłem dokumentację zgodną z NIS2. Czy jestem zgodny z ustawą o KSC?
Odpowiedź: Unijne i krajowe regulacje wymagają realnego zapewnienia cyberbezpieczeństwa. Organizacja musi być świadoma swoich aktywów, ryzyk, cyberzagrożeń i dopasować adekwatne środki techniczne i organizacyjne ograniczające ryzyko. Organizacja musi mieć wdrożone, przetestowane i stosowane w praktyce
procedury zarządzania incydentami. Kupiona dokumentacja, podpisana przez zarząd i schowana w “szafie NIS2” nie zapewni realnego cyberbezpieczeństwa w organizacji.
Nie zaszkodzi też utrwalić sobie główna zasadę zgłaszania incydentów:
Pytanie: Czy muszę zgłaszać wszystkie incydenty?
Odpowiedź: Każdy podmiot kluczowy lub podmiot ważny ma obowiązek zarządzania każdego incydentu. Jednakże obowiązkowemu zgłoszeniu podlegają jedynie incydenty poważne.
Zaś przeczytanie rozdziału 4. usystematyzuje nam wiedzę dotyczącą obowiązków kierownika podmiotu kluczowego lub ważnego.
W kolejnych tygodniach ministerstwo zapowiada także publikację cyklu komunikatów, w których omawiane będą kluczowe obowiązki wynikające z ustawy oraz przygotowanie mapowania dokumentów normalizacyjnych z zakresu cyberbezpieczeństwa na wymogi przepisów ustawy. Będziemy je śledzić.
Całość poradnika do pobrania:
Czytaj także:
