Projekt nowelizacji UKSC: Jesteś na liście? Sprawdź, zanim zrobi to za Ciebie regulator.

W dobie cyfryzacji, cyberbezpieczeństwo to konieczność. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa stawia tę kwestię w centrum uwagi, wprowadzając klarowny podział na podmioty kluczowe i ważne. Pierwszym krokiem do zgodności z nowymi przepisami jest samoocena. To od niej zależy, czy Twoja firma znajdzie się w nowym rejestrze, a co za tym idzie – jakie obowiązki i konsekwencje na nią spadną. Ignorancja nie będzie usprawiedliwieniem, a jej koszty mogą być dotkliwe.

Decydujące są dwa podstawowe kryteria (self-assessment):

• sektor działalności: przepisy precyzyjnie wymieniają sektory gospodarki o kluczowym znaczeniu dla funkcjonowania państwa i społeczeństwa, m.in. energetykę, transport, zdrowie, infrastrukturę cyfrową, bankowość czy produkcję żywności.
• wielkość podmiotu: co do zasady, regulacjom podlegają średnie i duże przedsiębiorstwa. Istnieją jednak istotne wyjątki, w ramach których nawet mniejsze podmioty, świadczące strategiczne usługi, zostaną objęte dyrektywą bez względu na ich wielkość.

Samoocena nie jest jedynie formalnością. To strategiczny proces, który powinien zaangażować zarząd i kadrę menedżerską. Od jego rzetelności zależy bowiem przyszłość firmy w nowym krajobrazie regulacyjnym.

Rejestr podmiotów – kto i dlaczego się w nim znajdzie?

Podmioty, które w wyniku samooceny zidentyfikują się jako kluczowe lub ważne, będą miały obowiązek zgłoszenia tego faktu do odpowiednich organów krajowych. W Polsce pieczę nad tym procesem będzie sprawował odpowiedni minister. Na tej podstawie zostanie stworzony krajowy rejestr podmiotów kluczowych i ważnych.

Celem rejestru jest zapewnienie organom nadzorczym pełnego obrazu krajowego systemu cyberbezpieczeństwa. Umożliwi to efektywne monitorowanie, reagowanie na incydenty oraz egzekwowanie nowych, rygorystycznych wymogów.

Znalezienie się w rejestrze to sygnał, że Twoja organizacja odgrywa istotną rolę w krajowej infrastrukturze. Wiąże się to jednak z szeregiem konkretnych obowiązków i potencjalnych, dotkliwych konsekwencji w przypadku ich zaniechania.

Istotnym elementem samooceny jest weryfikacja, czy przedsiębiorstwo nie podlega pod jeden z licznych wyjątków od reguły wielkości. Prawo obejmuje pewne kategorie podmiotów niezależnie od ich rozmiaru ze względu na strategiczne znaczenie świadczonych przez nie usług.

Do tej grupy należą między innymi:

• dostawcy publicznych sieci łączności elektronicznej lub publicznie dostępnych usług łączności elektronicznej;
• dostawcy kwalifikowanych i niekwalifikowanych usług zaufania;
• podmioty zidentyfikowane jako podmioty krytyczne na mocy odrębnej dyrektywy w sprawie odporności podmiotów krytycznych (CER);
• podmioty, które są jedynym w danym państwie członkowskim dostawcą usługi kluczowej dla trzymania krytycznej działalności społecznej lub gospodarczej.

Małe i mikroprzedsiębiorstwa działające w tych obszarach nie mogą zakładać, że są zwolnione z obowiązków NIS2 i muszą przeprowadzić pełną analizę.

Podsumowując, proces self-assessment powinien zostać przeprowadzony przez każdy podmiot w celu uniknięcia ryzyk prawnych związanych ze stosowaniem dyrektywy NIS2.