Prezydent podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wprowadza do polskiego porządku prawnego unijną dyrektywę NIS2. Dla firm w Polsce nadchodzą intensywne tygodnie – będą musiały zweryfikować, czy i w jakim zakresie podlegają nowym przepisom, uporządkować systemy zarządzania ryzykiem oraz przygotować zarząd na rozszerzoną odpowiedzialność, także finansową, za cyberbezpieczeństwo.
Termin wdrożenia przepisów wynikających z dyrektywy NIS2 minął 17 października 2024 roku. Regulacja zmieniła standardy w zakresie cyberbezpieczeństwa w całej Unii Europejskiej, rozszerzając obowiązki przedsiębiorstw m.in. w obszarze zarządzania ryzykiem, ochrony łańcuchów dostaw oraz raportowania incydentów. Niespełnienie nowych zasad będzie grozić karami sięgającymi nawet 10 mln euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa – w zależności od tego, która kwota jest wyższa.
Polska przyjęła nowelizację ustawy o KSC po niemal 18 miesiącach od upływu unijnego terminu, choć opóźnienia we wdrażaniu dyrektywy dotyczyły również innych państw członkowskich. Nowy akt prawny wejdzie w życie po miesiącu od ogłoszenia w Dzienniku Ustaw.
Jednocześnie prezydent skierował podpisaną ustawę do Trybunału Konstytucyjnego, który przyjrzy się wybranym zapisom i oceni ich poprawność.
Koniec okresu niejasności
Przedłużający się proces legislacyjny i kolejne wersje projektów ustawy powodowały, że przedsiębiorstwa przez wiele miesięcy funkcjonowały w warunkach niepewności. Potwierdza to badanie Fortinet przeprowadzone w 2024 r.: 3 na 4 polskie przedsiębiorstwa słyszały wtedy o dyrektywie NIS2, ale ponad połowa nie wiedziała, czy zostanie objęta nowymi wymaganiami. Największe wyzwania dotyczyły wdrożenia polityki zarządzania ryzykiem i bezpieczeństwa systemów IT (38%) oraz zapewnienia ciągłości działania biznesu (33%). Niemal połowa badanych przyznawała, że nie wie, jakie rozwiązania powinna wdrożyć, aby przygotować się na nowe regulacje.
– Świadomość cyberzagrożeń wśród przedsiębiorców cały czas rośnie, ale bez ostatecznego kształtu przepisów trudno się dziwić, że wiele firm wstrzymywało się z decyzjami inwestycyjnymi. W praktyce przedsiębiorstwa analizowały scenariusze, nie mając pewności, które obowiązki będą je dotyczyć i w jakim zakresie. Teraz ten etap się kończy, a podpisana ustawa oznacza konieczność przejścia od analiz do konkretnych działań – wskazuje Joanna Chmielak, Enterprise Sales Manager w firmie Fortinet.
Choć status legislacyjny ustawy jest dziś jednoznaczny, zakres nowych przepisów wciąż rodzi wątpliwości. Nowelizacja obejmuje 18 sektorów gospodarki, zgodnie z dyrektywą NIS2 oraz wprowadza podział na podmioty kluczowe i ważne, objęte zróżnicowanym poziomem nadzoru regulacyjnego. Przedsiębiorstwa będą musiały samodzielnie ocenić, czy podlegają ustawie o KSC i do której kategorii powinny zostać przypisane, a także dokonać rejestracji we właściwym organie. To na nich spoczywa odpowiedzialność za prawidłową interpretację przepisów, a ewentualne błędy mogą skutkować sankcjami administracyjnymi oraz ryzykiem finansowym i wizerunkowym.
Klimat regulacyjny dla firm w UE
Firmy funkcjonują dziś w środowisku, w którym liczba regulacji dotyczących cyberbezpieczeństwa systematycznie rośnie, a wymagania stają się coraz bardziej szczegółowe. Z jednej strony zwiększa się skala i zaawansowanie cyberataków, z drugiej – przedsiębiorstwa muszą równolegle odpowiadać na nowe obowiązki prawne.
W takich warunkach wiele podmiotów szuka stabilnego punktu odniesienia, pozwalającego stworzyć trwały model odporności, który wykracza poza jedną konkretną regulację. Badanie Fortinet z 2024 roku wskazało, że ponad 30% polskich firm wspiera się międzynarodowymi standardami, najczęściej normą ISO 27001 określającą zasady zarządzania bezpieczeństwem informacji. W ten sposób organizacje próbują porządkować i trzymać kontrolę nad procesami zarządzania cyberochroną, niezależnie od zmieniających się przepisów. A tych będzie coraz więcej.
Dyrektywa NIS2 nie jest jedyną regulacją, która w najbliższych latach wpłynie na funkcjonowanie przedsiębiorstw w Polsce. Równolegle państwa członkowskie wdrażają dyrektywę Critical Entities Resilience (CER) dotyczącą odporności podmiotów krytycznych, a na terenie UE zaczynają być stosowane rozporządzenia, takie jak Cyber Resilience Act (CRA) oraz AI Act. Każdy z tych aktów wymaga uporządkowania procesów, dokumentowania dojrzałości organizacyjnej oraz jasnego podziału odpowiedzialności. Opóźnienie we wdrażaniu NIS2 pokazało, jak wymagający dla podmiotów nimi objętych jest proces dostosowywania się do regulacji z zakresu cyberbezpieczeństwa. Bez systemowego podejścia w firmach ryzyko kumulacji obowiązków przy wprowadzaniu kolejnych wymogów rośnie.
– Największym wyzwaniem nie jest dziś pojedyncza regulacja, lecz zdolność przedsiębiorstwa do budowy trwałego modelu zarządzania cyberbezpieczeństwem. Wiele firm wciąż traktuje cyfrową ochronę projektowo, kończąc na dostawie sprzętu i „odhaczeniu” wymagań formalnych. Jednak bez utrzymania systemów i ich aktualizacji takie inwestycje są krótkoterminowe i w praktyce niewiele zmieniają. Poza kupowanym sprzętem potrzebne jest również inwestowanie w wiedzę i długofalowe wsparcie ekspertów. Bezpieczeństwo wymaga bowiem nie tylko rozwiązań technicznych, ale też dojrzałych procesów i kompetencji, których w wielu przedsiębiorstwach wciąż brakuje – podkreśla Joanna Chmielak z Fortinet.
W najbliższych latach regulacje w obszarze cyberbezpieczeństwa zaczną być egzekwowane w praktyce – poprzez kontrole, audyty i wymóg przedstawienia konkretnych dowodów spełniania obowiązków. Zgodność z przepisami przestanie być deklaracją w polityce bezpieczeństwa, a stanie się elementem codziennego funkcjonowania organizacji. Przedsiębiorstwa, które już dziś budują spójny model zarządzania bezpieczeństwem, będą lepiej przygotowane na rosnącą presję regulacyjną.