Unijna dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w EU, czyli NIS 2, obowiązuje od dwóch lat. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, która ma ją wdrożysz do polskiego porządku prawnego, już niebawem. Wtedy przedsiębiorcy będą mieć sześć miesięcy na realizację obowiązków z przepisów wynikających. Co jeśli nie zdążą?
NIS2 obowiązuje, polski system prawny wciąż próbuje nadążyć, a przedsiębiorcy zastanawiają się, czy go wdrażać czy nie? Anna Szura z itB Legal radzi: Wdrażać i to natychmiast.
NIS2 wdrażać już teraz
I to niezależnie od tego, jak długo potrwa procedowanie nowelizacji. Możliwe bowiem, że jeśli wszystko pójdzie sprawnie, to pojawi się ona jeszcze w tym roku. Od tego momentu przedsiębiorcy będą mieć sześć miesięcy na realizację obowiązków z ustawy wynikających. Wbrew pozorom wcale nie jest to dużo czasu.
– A dobre zaplanowanie bezpieczeństwa informacji i ciągłości działania oraz sporządzenie odpowiedniej dokumentacji to nie jest kwestia jednego dnia czy nawet jednego tygodnia. Oczywiście zakładając, że w danym przedsiębiorstwie regulacja ma być faktycznie wdrożona, a nie jedynie sprawiać pozory wdrożonej – zauważa Anna Szura z itB Legal.
Przedsiębiorcy mogą jednak zapytać, jakie przepisy majĄ oni dokładnie wdrażać, skoro ustawy jeszcze nie ma?
Ustawa nie jest uchwalona, ale jest jej projekt, a także dokumenty normalizacyjne oraz rozporządzenie wykonawcze Komisji 2024/2690. Ich lektura wskazuje, jakie zmiany w prawie nastąpią.
– W kwestiach dotyczących obowiązku wdrożenia systemu zarządzania bezpieczeństwem informacji w ostatnich wersjach projektu ustawy wiele się nie zmieniało i raczej już nie zmieni. Spokojnie można opierać się na najbardziej aktualnym projekcie. W dobrej sytuacji będą przedsiębiorcy, którzy wdrożyli u siebie np. normę ISO 27001 – przekonuje Anna Szura.
W połowie roku ENISA opublikowała też przewodnik techniczny. Jest on rodzajem wsparcia dla wdrożenia NIS2. Dodatkiem do niego jest tabela mapowania regulacji. Czyli opublikowany dokument podpowiada, które wymogi NIS2 mają odpowiednik w wymogach normy ISO 27001, a także w innych dokumentach normalizacyjnych.
– ENISA przygotowała dla przedsiębiorstw gotowca pokazującego tabelarycznie, jak wymogi NIS 2 przekładają się na wymogi normy lub innych dokumentów standaryzacyjnych. Dlatego jeśli ktoś ma wdrożoną normę ISO 27001 to może sprawdzić w tym dokumencie, które wymogi NIS2 „na dzień dobry” ma wdrożone – wyjaśnia specjalistka z itB Legal.
Kto odpowiada za wdrożenie zmian?
Za wdrożenie i prawidłowe funkcjonowanie systemu odpowiada imiennie „kierownik podmiotu” (kluczowego lub ważnego). Kim jest taka osoba zależy od tego, kim/czym jest podmiot kluczowy lub ważny. Może być:
– spółką osobową;
– spółką kapitałową;
– spółką cywilną;
– innym podmiotem.
– Projekt nowelizacji UKSC w zakresie definicji „kierownika podmiotu” odsyła do definicji „kierownika jednostki” zawartej w ustawie o rachunkowości – zaznacza Anna Szura.
Zgodnie z nią osobą taką jest:
– członek (lub członkowie) zarządu lub innego organu zarządzającego – z tego szeregu wyłączenie są pełnomocnicy ustanowieni przez jednostkę;
– wspólnik (lub wspólnicy) prowadzący sprawy spółki jawnej bądź spółki cywilnej;
– komplementariusz (lub komplementariusze) prowadzących sprawy spółki komandytowej bądź spółki komandytowo-akcyjnej;
– osoba fizyczna prowadząca działalność gospodarczą.
– Za „kierownika jednostki” uważa się również likwidatora, a także syndyka lub zarządcę ustanowionego w postępowaniu restrukturyzacyjnym oraz zarządcę sukcesyjnego przedsiębiorstwem osoby fizycznej. Są to mniej oczywiste przypadki, w których na określoną osobę „spadną” obowiązki przewidziane w UKSC – wyjaśnia specjalistka itB Legal.
Jakie obowiązki ma kierownik jednostki?
W UKSC (ustawie o krajowym systemie cyberbezpieczeństwa) znalazł się katalog obowiązków, jakie ma kierownik jednostki. Są to:
– podejmowanie decyzji w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru systemu zarządzania bezpieczeństwem informacji w podmiocie;
– planowanie adekwatnych środków finansowych realizację obowiązków z zakresu cyberbezpieczeństwa;
– przydzielanie zadań z zakresu cyberbezpieczeństwa w tym podmiocie i nadzoruje ich wykonanie;
– zapewnienie personelowi podmiotu wiedzy z zakresu cyberbezpieczeństwa oraz wewnętrznych regulacji podmiotu w tym zakresie;
– zapewnienie zgodności działania podmiotu z przepisami prawa oraz z wewnętrznymi regulacjami.
– Odpowiedzialność kierownika za realizację obowiązków jest osobista i nie da się jej przenieść na inną osobę. Innymi słowy, jeśli zostaną stwierdzone uchybienia w realizacji obowiązków wynikających z UKSC, będzie możliwe nałożenie administracyjnej kary pieniężnej bezpośrednio na kierownika i to niezależnie od kary nakładanej na sam podmiot kluczowy lub ważny – mówi Anna Szura z itB Legal.
Wysokość kar nakładanych na kierownika jednostki
Górny zakres możliwej kary, która nakładana będzie na kierownika jednostki w przypadku niewywiązania się z zadań to 300 proc. otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
– Cel takiego rozwiązania jest oczywisty: egzekwowanie obowiązków, aby bezpieczeństwo nie było wyłącznie „na papierze”, ale stanowiło dobrze zaplanowany, nadzorowany i przede wszystkim funkcjonujący system – zauważa specjalistka itB Legal.
Przedsiębiorcy powinni mieć świadomość, że nowe obowiązki nakładane na nich wraz z NIS2 to nie tylko ogrom spraw administracyjnych, ale również ciągłe monitorowanie i doskonalenie systemu. W przeciwnym razie kary będą nieuniknione.
Źródło: okablowani.pl/ itB Legal
Czytaj także:
