NIS 2 – nadzór i kontrola podmiotów kluczowych

Wdrożenie unijnej dyrektywy NIS2 do polskiego porządku prawnego zaowocowało gruntowną nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Ważną kwestią w tym zakresie jest nowe podejście do nadzoru i kontroli. Jeśli Twoja organizacja kwalifikuje się jako podmiot kluczowy lub ważny, musisz wiedzieć, że urzędnicy zyskali zestaw narzędzi weryfikacyjnych. Kluczowym aspektem zmian jest zróżnicowanie nadzoru i kontroli w zależności od statusu, jaki przypisano podmiotowi.

Ogólny nadzór dotyczący stosowania znowelizowanego UKSC sprawują organy właściwe do spraw cyberbezpieczeństwa.

W ramach nadzoru w stosunku do podmiotów kluczowych organ może:

• prowadzić kontrole, w tym doraźne, w siedzibie podmiotu lub zdalnie,
• w drodze decyzji nałożyć na podmiot obowiązek przeprowadzania audytu (w szczególności gdy wystąpił poważny incydent),
• wystąpić z wnioskiem o udzielenie informacji niezbędnych do oceny środków cyberbezpieczeństwa,
• wystąpić z wnioskiem o udzielenie dostępu do danych, dokumentów i informacji koniecznych do wykonywania nadzoru.

W przypadku podmiotów kluczowych działania nadzorcze mogę mieć charakter zarówno następczy jak i prewencyjny. Natomiast podmioty ważne mogą być nadzorowane tylko następczo.

Organ może w celu realizacji przepisów UKSC w stosunku do podmiotów kluczowych:

• nakazać podjęcie określonych czynności dotyczących obsługi incydentu,
• nakazać, w drodze decyzji, zaniechania naruszania przepisów ustawy,
• nakazać, w drodze decyzji, poinformowania, w określony przez niego sposób, odbiorców usług tego podmiotu,
• nakazać, w drodze decyzji, wdrożenia, w określonym terminie, zaleceń wydanych w wyniku audytu,
• wyznaczyć, w drodze decyzji, na określony czas, nie dłuższy niż miesiąc, spośród osób zatrudnionych w urzędzie obsługującym ten organ, urzędnika monitorującego do nadzorowania wykonywania obowiązków,
• nakazać, w drodze decyzji, podania do wiadomości publicznej informacji o naruszeniach przepisów ustawy.

W przypadku, gdy podmiot kluczowy nie zastosował się do nakazu, organ właściwy może:

• wstrzymać udzieloną temu podmiotowi koncesję albo ograniczyć jej zakres do czasu usunięcia uchybień lub zaprzestania naruszeń,
• wstrzymać w całości albo w części działalność podmiotu kluczowego wpisanego do rejestru działalności regulowanej, do czasu usunięcia uchybień lub zaprzestania naruszeń,
• zakazać pełnienia w podmiocie kluczowym funkcji zarządczych przez kierownika podmiotu do czasu usunięcia uchybień lub zaprzestania naruszeń.

Podsumowując, nowelizacja UKSC na dobre zrywa z iluzorycznym podejściem do cyfrowej ochrony. Nadzór nad podmiotami kluczowymi i ważnymi ma być realny, rygorystyczny i nieuchronny. Zamiast czekać na pierwszą kontrolę, organizacje powinny jak najszybciej dokonać audytu swoich infrastruktur cyfrowych. Cyberbezpieczeństwo stało się oficjalnym elementem ryzyka biznesowego najwyższego rzędu.