Bezpłatny audyt zgodności z NIS2 / KSC

Dyrektywa NIS2 (Network and Information Systems Directive 2) to dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. Zastępuje ona wcześniejszą dyrektywę i nakłada na państwa członkowskie obowiązek ustanowienia wymogów w zakresie zarządzania ryzykiem w cyberbezpieczeństwie w sektorach krytycznych.

W Polsce dyrektywę NIS2 wdrożyła ustawa o krajowym systemie cyberbezpieczeństwa (KSC), która określa organizację tego systemu oraz obowiązki podmiotów w nim uczestniczących. Ustawa dzieli podmioty objęte regulacjami na dwie główne kategorie: podmioty kluczowe oraz podmioty ważne. Klasyfikacja zależy głównie od sektora działalności oraz wielkości przedsiębiorstwa, choć istnieją wyjątki dla podmiotów o szczególnym znaczeniu.

1. Podmioty kluczowe
Do tej grupy zalicza się podmioty wskazane w załączniku nr 1 do ustawy (określającym sektory kluczowe), które przewyższają wymogi dla średniego przedsiębiorstwa (zatrudniają powyżej 50 osób i mają odpowiedni obrót lub sumę bilansową).

Sektory kluczowe to:

• energia (w tym: wydobywanie kopalin, energia elektryczna, ciepło, ropa i paliwa, gaz, energetyka jądrowa, wodór),
• transport (lotniczy, kolejowy, wodny, drogowy),
• bankowość i infrastruktura rynków finansowych,
• ochrona zdrowia (np. szpitale, laboratoria, producenci leków),
• zaopatrzenie w wodę pitną i jej dystrybucja,
• zbiorowe odprowadzanie ścieków,
• infrastruktura cyfrowa (np. punkty wymiany ruchu internetowego, dostawcy chmury, centra danych),
• zarządzanie usługami ICT (B2B),
• przestrzeń kosmiczna,
• podmioty publiczne (administracja rządowa, ZUS, KRUS, NFZ).

Ponadto podmiotami kluczowymi -- niezależnie od wielkości -- są m.in.: dostawcy usług DNS, rejestry nazw domen TLD, dostawcy usług zaufania, podmioty krytyczne, podmioty publiczne wskazane w załączniku nr 1 do ustawy, przedsiębiorcy komunikacji elektronicznej spełniający co najmniej wymogi dla średniego przedsiębiorstwa.

2. Podmioty ważne
To podmioty, które nie kwalifikują się jako kluczowe, ale spełniają określone kryteria. Do tej grupy należą: podmioty wskazane w załączniku nr 1 do ustawy, które spełniają wymogi dla średniego przedsiębiorstwa (ale nie są dużym przedsiębiorstwem), oraz podmioty wskazane w załączniku nr 2 do ustawy (określającym sektory ważne), które są co najmniej średnimi przedsiębiorstwami.

Sektory ważne to:

• usługi pocztowe,
• inwestycje energetyki jądrowej,
• gospodarowanie odpadami,
• produkcja, wytwarzanie i dystrybucja chemikaliów,
• produkcja, przetwarzanie i dystrybucja żywności,
• produkcja (np. wyrobów medycznych, komputerów, urządzeń elektrycznych, maszyn, pojazdów),
• dostawcy usług cyfrowych (internetowe platformy handlowe, wyszukiwarki, sieci społecznościowe),
• badania naukowe (np. organizacje badawcze).

Ponadto do podmiotów ważnych zalicza się m.in.: niekwalifikowanych dostawców usług zaufania (mikro-, małe, średnie firmy), przedsiębiorców komunikacji elektronicznej będących mikro- lub małymi przedsiębiorcami, niektóre podmioty publiczne (np. samorządowe zakłady budżetowe, samorządowe instytucje kultury), jeśli realizują zadania publiczne z wykorzystaniem systemów informacyjnych.

Podmioty te podlegają obowiązkom w zakresie wdrażania systemu zarządzania bezpieczeństwem informacji, obsługi incydentów oraz zgłaszania incydentów poważnych do odpowiednich zespołów CSIRT (CSIRT MON, CSIRT NASK lub CSIRT GOV).

Aby sprawdzić, czy Twoja firma podlega ustawie o krajowym systemie cyberbezpieczeństwa (wdrażającej dyrektywę NIS2), musisz przeprowadzić samoocenę opartą przede wszystkim na rodzaju prowadzonej działalności (sektorze) oraz wielkości przedsiębiorstwa.

Oto kroki weryfikacyjne wynikające z przepisów ustawy:

Krok 1: Sprawdź, czy działasz w sektorze objętym regulacją
Musisz zweryfikować, czy profil działalności Twojej firmy został wskazany w jednym z załączników do ustawy:

• załączniku nr 1, który określa sektory kluczowe: energia, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja, zbiorowe odprowadzanie ścieków, infrastruktura cyfrowa, zarządzanie usługami ICT (B2B), przestrzeń kosmiczna, podmioty publiczne,
• załączniku nr 2, który określa sektory ważne: usługi pocztowe, inwestycje energetyki jądrowej, gospodarowanie odpadami, produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja (np. wyrobów medycznych, komputerów, elektroniki, maszyn, pojazdów), dostawcy usług cyfrowych (platformy handlowe, wyszukiwarki, serwisy społecznościowe), badania naukowe, podmioty publiczne.

Krok 2: Zweryfikuj wielkość przedsiębiorstwa
Zasada ogólna mówi, że ustawa dotyczy podmiotów, które nie są mikro- ani małym przedsiębiorstwem. Status ocenia się według stanu na dzień sporządzenia sprawozdania finansowego.

Jeśli Twoja firma jest średnim przedsiębiorstwem (zatrudnia od 50 do 249 osób lub ma odpowiedni obrót lub bilans) lub dużym przedsiębiorstwem – co do zasady podlega ustawie, o ile działa we wskazanych wyżej sektorach.

Krok 3: Określ status (podmiot kluczowy czy podmiot ważny)

• Podmiot kluczowy – jeśli jesteś dużym przedsiębiorstwem działającym w sektorze określonym w załączniku nr 1 do ustawy.
• Podmiot ważny – jeśli jesteś średnim przedsiębiorstwem wskazanym w załączniku nr 1 do ustawy LUB średnim albo dużym przedsiębiorstwem wskazanym w załączniku nr 2 do ustawy.

Krok 4: Sprawdź wyjątki (niezależne od wielkości firmy)
Niektóre podmioty podlegają ustawie niezależnie od wielkości (nawet jako mikro- i małe firmy). Należą do nich m.in.:

• dostawcy usług DNS i rejestry nazw domen TLD,
• dostawcy usług zaufania (kwalifikowani są kluczowi, niekwalifikowani – ważni),
• przedsiębiorcy komunikacji elektronicznej (dostawcy publicznych sieci lub usług),
• podmioty uznane za krytyczne na podstawie dyrektywy CER,
• dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa (jeśli nie są mikroprzedsiębiorcami).

Krok 5: Decyzja administracyjna
Nawet jeśli Twoja firma nie spełnia powyższych kryteriów, organ właściwy do spraw cyberbezpieczeństwa może wydać decyzję uznającą ją za podmiot kluczowy lub podmiot ważny, np. jeśli jest jedynym dostawcą kluczowej usługi lub jej zakłócenie miałoby poważne skutki dla bezpieczeństwa publicznego.

Co jeśli firma podlega ustawie?
Jeśli Twoja firma spełnia kryteria, masz obowiązek złożyć wniosek o wpis do wykazu podmiotów kluczowych i podmiotów ważnych w terminie 6 miesięcy od dnia spełnienia przesłanek. Wniosek składa się elektronicznie do ministra właściwego do spraw informatyzacji.

Ustawa o krajowym systemie cyberbezpieczeństwa, która wdrożyła w Polsce dyrektywę NIS2, nakłada na podmioty kluczowe i podmioty ważne szereg obowiązków, które koncentrują się na zarządzaniu ryzykiem oraz zgłaszaniu incydentów. Choć większość obowiązków jest wspólna dla obu kategorii, występują różnice w zakresie nadzoru i audytów.

Oto główne obowiązki nałożone na podmioty kluczowe i podmioty ważne:

1. Wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI)
Podmioty muszą wdrożyć system zarządzania bezpieczeństwem informacji w systemach informacyjnych wykorzystywanych do świadczenia usług. Zapewnia on systematyczne szacowanie ryzyka i zarządzanie nim. W ramach tego systemu należy wdrożyć środki techniczne i organizacyjne proporcjonalne do ryzyka, obejmujące m.in.:

• polityki szacowania ryzyka i bezpieczeństwa systemów informacyjnych,
• bezpieczeństwo fizyczne i środowiskowe oraz kontrolę dostępu,
• zarządzanie ciągłością działania (backupy, plany awaryjne, odtwarzanie po awarii),
• bezpieczeństwo łańcucha dostaw (bezpieczeństwo relacji z dostawcami usług i produktów ICT),
• szyfrowanie i kryptografię,
• uwierzytelnianie wieloskładnikowe (MFA) i bezpieczną komunikację,
• zarządzanie podatnościami i ich usuwanie,
• szkolenia z cyberbezpieczeństwa dla personelu (cyberhigiena).

2. Obowiązek zgłaszania incydentów
Podmioty mają rygorystyczne obowiązki w zakresie raportowania incydentów poważnych do właściwego zespołu CSIRT (CSIRT NASK, CSIRT GOV lub CSIRT MON). Procedura zgłoszeniowa obejmuje:

• wczesne ostrzeżenie – w ciągu 24 godzin od wykrycia incydentu,
• zgłoszenie incydentu – w ciągu 72 godzin od wykrycia incydentu (aktualizacja informacji, ocena wstępna),
• sprawozdanie końcowe – w ciągu miesiąca od zgłoszenia incydentu (lub po jego zakończeniu).

Dodatkowo podmiot musi informować odbiorców swoich usług o poważnych zagrożeniach i środkach zaradczych.

3. Odpowiedzialność kadry zarządzającej
Kierownik podmiotu (np. zarząd) ponosi osobistą odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa.

• Kierownik odpowiada za nadzór nad systemem bezpieczeństwa oraz za wdrażanie tego systemu.
• Kierownik (oraz osoba odpowiedzialna za cyberbezpieczeństwo) ma obowiązek przechodzić szkolenie raz w roku.

4. Rejestracja w wykazie
Podmioty muszą złożyć wniosek o wpis do wykazu podmiotów kluczowych i podmiotów ważnych w terminie 6 miesięcy od dnia spełnienia przesłanek ustawowych. Mają również obowiązek aktualizowania danych w wykazie w ciągu 14 dni od ich zmiany.

5. Wyznaczenie osób do kontaktu
Należy wyznaczyć co najmniej dwie osoby odpowiedzialne za utrzymywanie kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa (w przypadku mikro- i małych przedsiębiorców wystarczy jedna osoba).

6. Audyt bezpieczeństwa (główna różnica między podmiotami)

• Podmioty kluczowe mają obowiązek przeprowadzać audyt bezpieczeństwa systemu co najmniej raz na 3 lata na własny koszt. Pierwszy audyt musi zostać wykonany w ciągu 24 miesięcy od uznania za podmiot kluczowy.
• • Podmioty ważne nie mają ustawowego obowiązku przeprowadzania cyklicznego audytu, chyba że organ właściwy nakaże audyt w drodze decyzji (np. po wystąpieniu incydentu lub naruszeniu przepisów).

7. Dokumentacja
Podmioty muszą opracowywać, stosować i aktualizować dokumentację bezpieczeństwa (normatywną i operacyjną) oraz przechowywać ją przez co najmniej 2 lata od wycofania z użytku.

Niedopełnienie tych obowiązków (np. brak zgłoszenia incydentu, brak audytu, niewdrożenie środków bezpieczeństwa) może skutkować nałożeniem wysokich kar pieniężnych zarówno na podmiot, jak i bezpośrednio na kierownika podmiotu.

Częstotliwość przeprowadzania audytów i przeglądów zgodności z ustawą o krajowym systemie cyberbezpieczeństwa (która wdrożyła dyrektywę NIS2) różni się w zależności od statusu podmiotu (kluczowy albo ważny) oraz rodzaju weryfikacji (audyt zewnętrzny albo przegląd wewnętrzny).

Oto szczegółowe zasady wynikające z przepisów i wytycznych:

1. Audyt bezpieczeństwa dla podmiotów kluczowych
Podmioty kluczowe mają ustawowy obowiązek regularnego poddawania się audytom zewnętrznym.

• Częstotliwość: co najmniej raz na 3 lata.
• Pierwszy audyt: w terminie 24 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy (np. od dnia wpisu do wykazu lub wydania decyzji).
• Koszt: na własny koszt podmiotu.
• Kto wykonuje: akredytowana jednostka oceniająca zgodność lub co najmniej dwóch audytorów spełniających określone wymagania (np. posiadających certyfikaty lub odpowiednią praktykę).

2. Audyt dla podmiotów ważnych
Podmioty ważne nie mają narzuconego ustawą sztywnego cyklu obowiązkowych audytów zewnętrznych (jak podmioty kluczowe). Mogą jednak zostać zobowiązane do przeprowadzenia audytu w szczególnych sytuacjach.

• Audyt na żądanie: Organ właściwy do spraw cyberbezpieczeństwa może nakazać podmiotowi ważnemu przeprowadzenie audytu zewnętrznego w przypadku wystąpienia incydentu poważnego lub innego naruszenia przepisów ustawy.
• Termin: Organ określa termin przekazania raportu z audytu w decyzji administracyjnej.

3. Audyt doraźny (na polecenie organu)
Niezależnie od planowych audytów organ właściwy może nakazać przeprowadzenie audytu bezpieczeństwa:

• podmiotowi kluczowemu – w każdym czasie,
• podmiotowi ważnemu – w przypadku stwierdzenia naruszeń lub incydentów.

Decyzje te podlegają natychmiastowemu wykonaniu.

4. Przeglądy wewnętrzne i monitorowanie (zalecenia ENISA)
Oprócz audytów ustawowych zarówno podmioty kluczowe, jak i podmioty ważne muszą regularnie weryfikować skuteczność stosowanych środków bezpieczeństwa w ramach procedur wewnętrznych.

Zgodnie z wytycznymi technicznymi ENISA:

• polityka bezpieczeństwa powinna być przeglądana i aktualizowana co najmniej raz w roku oraz po wystąpieniu znaczących incydentów lub zmian w infrastrukturze,
• analiza ryzyka powinna być aktualizowana w zaplanowanych odstępach czasu, co najmniej raz w roku,
• testy bezpieczeństwa (np. skanowanie podatności, testy penetracyjne) powinny odbywać się w zaplanowanych odstępach (rekomendowane: co najmniej raz w roku) lub po znaczących zmianach w systemach,
• niezależny przegląd (independent review) stanu bezpieczeństwa, który może być realizowany przez oddzielny dział wewnętrzny lub firmę zewnętrzną, powinien być przeprowadzany w zaplanowanych odstępach, np. corocznie.

Podsumowując, podmioty kluczowe muszą przeprowadzać pełny audyt bezpieczeństwa co 3 lata, natomiast wszystkie podmioty objęte ustawą powinny realizować wewnętrzne przeglądy polityk i analizy ryzyka przynajmniej raz w roku.

Tak, ustawa o krajowym systemie cyberbezpieczeństwa, która wdrożyła dyrektywę NIS2, wymaga wyznaczenia osób odpowiedzialnych za kwestie cyberbezpieczeństwa. Przepisy rozróżniają przy tym kilka ról w zależności od zakresu odpowiedzialności (funkcja kontaktowa albo zarządcza) oraz siedziby podmiotu.

Oto szczegółowe wymagania wynikające z regulacji:

1. Osoby do kontaktu (wymóg ustawowy)
Każdy podmiot kluczowy i podmiot ważny ma obowiązek wyznaczyć osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa (np. z zespołami CSIRT i organami nadzoru).

• Zasada ogólna: należy wyznaczyć co najmniej dwie osoby.
• Mikro- i mali przedsiębiorcy mają obowiązek wyznaczyć co najmniej jedną osobę.
• Podmioty publiczne (ważne) mają obowiązek wyznaczyć co najmniej jedną osobę.

Dane tych osób (imię, nazwisko, telefon, e-mail) muszą zostać zgłoszone do wykazu podmiotów kluczowych i podmiotów ważnych.

2. Wewnętrzne struktury lub outsourcing (wymóg operacyjny)
Ustawa nakłada na podmioty obowiązek utworzenia wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcia umowy z zewnętrznym dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP). Oznacza to, że firma musi mieć wyznaczony zespół lub wyznaczoną osobę (np. CISO – Chief Information Security Officer) realizujące zadania techniczne i organizacyjne, chyba że zleci to na zewnątrz.

Zgodnie z wytycznymi technicznymi ENISA podmiot powinien wyznaczyć co najmniej jedną osobę, która bezpośrednio raportuje do organów zarządzających o kwestiach związanych z bezpieczeństwem sieci i systemów informatycznych. W mniejszych podmiotach obowiązki te mogą być przypisane do innych ról, ale muszą być jasno zdefiniowane.

3. Odpowiedzialność kierownika podmiotu
Niezależnie od obowiązku wyznaczenia pracowników merytorycznych ustawa wskazuje, że to kierownik podmiotu (zarząd, dyrektor) ponosi główną odpowiedzialność za cyberbezpieczeństwo.

• Kierownik może powierzyć obowiązki innej osobie (np. dyrektorowi IT lub bezpieczeństwa), ale nie zwalnia go to z odpowiedzialności za ich wykonanie.
• Kierownik (oraz osoba, której powierzono obowiązki) musi przechodzić regularne szkolenia.

4. Przedstawiciel (dla podmiotów spoza UE)
Szczególny wymóg dotyczy podmiotów (np. dostawców DNS, usług chmurowych, platform handlowych), które nie mają siedziby w Unii Europejskiej, ale oferują usługi w Polsce. Takie podmioty muszą wyznaczyć przedstawiciela na terytorium UE (jeśli wybiorą Polskę, przedstawiciel musi być ustanowiony w Polsce). Organy nadzoru mogą zwracać się do tego przedstawiciela w sprawach związanych z wykonywaniem obowiązków ustawowych.

Podsumowując, należy wyznaczyć co najmniej dwie osoby do kontaktu operacyjnego z CSIRT (lub jedną w przypadku małych firm) oraz zapewnić strukturę (osobę lub zespół) odpowiedzialną za realizację zabezpieczeń. Ostateczną odpowiedzialność prawną ponosi jednak zarząd lub kierownik jednostki.

Zgodnie z przepisami wdrażającymi dyrektywę NIS2 (czyli KSC) odpowiedzialność zarządu (definiowanego w ustawie jako kierownik podmiotu) jest kluczowa, osobista i nieprzenoszalna. Ustawodawca kładzie nacisk na to, by cyberbezpieczeństwo traktować jako zagadnienie strategiczne, a nie tylko techniczne.

Oto szczegóły dotyczące odpowiedzialności i obowiązków kadry zarządzającej:

1. Osobista odpowiedzialność prawna
Kierownik podmiotu kluczowego lub podmiotu ważnego (np. zarząd spółki, dyrektor) ponosi odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa. Co istotne, odpowiedzialność ta nie znika w momencie powierzenia zadań innej osobie (np. dyrektorowi IT lub CISO). Nawet jeśli zarząd zleci realizację zadań z zakresu cyberbezpieczeństwa firmie zewnętrznej lub wyznaczy do tego pracownika, ostateczna odpowiedzialność prawna za niedopełnienie obowiązków nadal spoczywa na zarządzie.

2. Konkretne obowiązki zarządu
Ustawa nakłada na kierownika podmiotu szereg konkretnych zadań zarządczych:

• nadzór nad systemem – podejmowanie decyzji dotyczących przygotowania, wdrażania, stosowania i przeglądu systemu zarządzania bezpieczeństwem informacji,
• budżet – planowanie adekwatnych środków finansowych na realizację obowiązków z zakresu cyberbezpieczeństwa,
• struktura – przydzielanie zadań z zakresu cyberbezpieczeństwa i nadzorowanie ich wykonania,
• świadomość – dbanie o to, aby personel był świadomy zagrożeń i znał wewnętrzne regulacje,
• obowiązkowe szkolenia – kierownik podmiotu (oraz osoba, której powierzono obowiązki) ma ustawowy obowiązek przechodzić szkolenie z zakresu cyberbezpieczeństwa raz w roku.

3. Akceptacja i przegląd polityk (standardy ENISA)
Zgodnie z wymogami technicznymi ENISA zarząd musi formalnie zatwierdzić politykę bezpieczeństwa systemów sieciowych i informatycznych. Datę zatwierdzenia należy udokumentować. Ponadto zarząd powinien dokonywać przeglądu tej polityki co najmniej raz w roku lub po wystąpieniu istotnych incydentów.

4. Kary finansowe nakładane na osoby fizyczne
To jedna z najważniejszych zmian w porównaniu z poprzednimi przepisami. Organ nadzoru może nałożyć karę pieniężną bezpośrednio na kierownika podmiotu (osobę fizyczną), jeśli nie wykonuje on swoich obowiązków (np. nie zgłosi incydentu, nie zapewni audytu, nie przejdzie szkolenia, nie wyznaczy osób do kontaktu).

• Wysokość kary może wynieść do 300% wynagrodzenia otrzymywanego przez ukaranego kierownika (obliczanego jak ekwiwalent za urlop).
• W przypadku kierowników podmiotów publicznych kara może wynieść do 100% wynagrodzenia.

5. Możliwość zawieszenia w czynnościach
W skrajnych przypadkach, jeśli podmiot kluczowy uporczywie narusza przepisy i nie usuwa uchybień mimo nałożonych kar, organ właściwy może wydać decyzję o zakazie pełnienia funkcji zarządczych przez kierownika podmiotu. Zakaz ten obowiązuje do czasu usunięcia uchybień lub zaprzestania naruszeń.

Podsumowując, zarząd nie może już traktować cyberbezpieczeństwa wyłącznie jako domeny działu IT. Członkowie zarządu muszą aktywnie uczestniczyć w zarządzaniu ryzykiem, zapewniać budżet oraz odbywać szkolenia. Ponoszą też osobistą odpowiedzialność finansową za zaniedbania w tym obszarze.

Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (wdrażająca dyrektywę NIS2) znacząco zaostrza sankcje finansowe i administracyjne. Kary mogą być nakładane nie tylko na samą firmę, lecz także bezpośrednio na osoby zarządzające.

Oto szczegółowy podział kar i sankcji:

1. Kary pieniężne dla podmiotów (firm i instytucji)
Wysokość kar zależy od kategorii podmiotu (kluczowy czy ważny) oraz wysokości rocznych przychodów.

Podmioty kluczowe:

• maksymalna kara – do 10 000 000 euro lub 2% łącznego rocznego światowego obrotu z poprzedniego roku obrotowego (stosuje się kwotę wyższą),
• minimalna kara – 20 000 zł.

Podmioty ważne:

• maksymalna kara – do 7 000 000 euro lub 1,4% łącznego rocznego światowego obrotu (stosuje się kwotę wyższą),
• minimalna kara – 15 000 zł.

Kara nadzwyczajna: nawet 100 000 000 zł w przypadku naruszenia powodującego bezpośrednie i poważne zagrożenie dla obronności, bezpieczeństwa państwa lub życia i zdrowia ludzi.

Za co grożą te kary? Kary te mogą być nakładane m.in. za brak rejestracji w wykazie, niewdrożenie systemu zarządzania bezpieczeństwem informacji, brak audytu, niezgłoszenie incydentu poważnego lub niewykonanie zaleceń pokontrolnych.

2. Osobiste kary finansowe dla kadry zarządzającej
To jedna z najważniejszych zmian. Jeśli podmiot nie wykonuje obowiązków (np. nie przeprowadza audytów, nie zgłasza incydentów), organ nadzoru może nałożyć karę pieniężną bezpośrednio na kierownika podmiotu (np. prezesa zarządu, dyrektora).

• Wysokość kary wynosi do 300% wynagrodzenia otrzymywanego przez ukaraną osobę (liczonego jak ekwiwalent za urlop).
• Dla kierowników podmiotów publicznych limit ten wynosi 100% wynagrodzenia.

3. Okresowe kary pieniężne (za zwłokę)
Aby przymusić podmiot do wykonania decyzji organu nadzoru (np. nakazu usunięcia podatności), organ może nałożyć okresową karę za każdy dzień opóźnienia.

Wysokość kary wynosi od 500 zł do 100 000 zł za każdy dzień zwłoki.

4. Sankcje administracyjne (w tym zawieszenie działalności)
W przypadku uporczywego naruszania przepisów przez podmiot kluczowy oraz niewykonania nakazów organu możliwe jest zastosowanie dotkliwych środków administracyjnych (nie dotyczą one podmiotów publicznych):

• zakaz pełnienia funkcji zarządczych – organ może wydać decyzję o zakazie pełnienia funkcji przez kierownika podmiotu (np. prezesa) do czasu usunięcia nieprawidłowości,
• zawieszenie działalności – możliwe jest wstrzymanie koncesji, zezwoleń lub wykreślenie z rejestru działalności regulowanej, a nawet wstrzymanie działalności gospodarczej w określonym zakresie,
• podanie do publicznej wiadomości – organ może nakazać publiczne ujawnienie informacji o naruszeniach przepisów przez firmę, co wiąże się ze stratami wizerunkowymi.

5. Okoliczności łagodzące
Przy ustalaniu wysokości kary organ bierze pod uwagę m.in. wagę naruszenia, czas jego trwania, stopień współpracy z organem, a także to, czy naruszenie było umyślne oraz jakie szkody wyrządziło. Organ może odstąpić od kary, jeśli waga naruszenia jest znikoma, a podmiot zaprzestał naruszania prawa.

Tak, zgodnie ze znowelizowaną ustawą o krajowym systemie cyberbezpieczeństwa (wdrażającą dyrektywę NIS2) członkowie zarządu (określani w ustawie jako „kierownik podmiotu") mogą ponosić osobistą odpowiedzialność finansową za naruszenie przepisów.

Oto szczegóły dotyczące kar nakładanych na osoby fizyczne pełniące funkcje zarządcze:

1. Wysokość kary pieniężnej
Organ właściwy do spraw cyberbezpieczeństwa może nałożyć na kierownika podmiotu kluczowego lub podmiotu ważnego karę pieniężną w wysokości:

• do 300% wynagrodzenia otrzymywanego przez ukaraną osobę (obliczanego według zasad stosowanych przy ustalaniu ekwiwalentu pieniężnego za urlop wypoczynkowy),
• do 100% wynagrodzenia – w przypadku kierowników podmiotów publicznych.

2. Odpowiedzialność wszystkich członków zarządu
Ustawa precyzuje, że jeśli kierownikiem podmiotu jest organ wieloosobowy (np. zarząd spółki), a nie wyznaczono konkretnej osoby odpowiedzialnej za cyberbezpieczeństwo, odpowiedzialność ponoszą wszyscy członkowie tego organu.

3. Naruszenia zagrożone karą osobistą
Kara osobista może zostać nałożona za niewykonanie konkretnych obowiązków ustawowych, w szczególności za:

• niezłożenie wniosku o wpis do wykazu podmiotów kluczowych i podmiotów ważnych,
• niewdrożenie lub niewłaściwe utrzymanie systemu zarządzania bezpieczeństwem informacji (szacowanie ryzyka, środki techniczne),
• brak nadzoru nad dokumentacją bezpieczeństwa,
• niezgłoszenie incydentu poważnego do odpowiedniego zespołu CSIRT,
• nieprzeprowadzenie obowiązkowego audytu bezpieczeństwa (w przypadku podmiotów kluczowych),
• niewyznaczenie osób do kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa,
• nieodbycie obowiązkowego szkolenia z zakresu cyberbezpieczeństwa (wymaganego raz w roku).

4. Delegowanie zadań nie zwalnia z odpowiedzialności
Członkowie zarządu ponoszą odpowiedzialność nawet wtedy, gdy powierzą wykonywanie obowiązków innej osobie (np. dyrektorowi IT lub firmie zewnętrznej). Zarząd ma obowiązek nadzorować te działania i zapewniać środki na ich realizację.

5. Inne sankcje wobec zarządu
Oprócz kar finansowych, w skrajnych przypadkach (np. uporczywego naruszania przepisów przez podmiot kluczowy), organ nadzoru może wydać decyzję o zakazie pełnienia funkcji zarządczych przez kierownika podmiotu do czasu usunięcia nieprawidłowości.

Ustawa o krajowym systemie cyberbezpieczeństwa, która wdrożyła dyrektywę NIS2, obejmuje bardzo szeroki zakres gospodarki. Dzieli podmioty na dwie główne grupy w zależności od sektora działalności: sektory kluczowe (załącznik nr 1 do ustawy) oraz sektory ważne (załącznik nr 2 do ustawy).

Oto szczegółowy wykaz sektorów i branż objętych regulacją w Polsce:

1. Sektory kluczowe (podmioty kluczowe)
To sektory o krytycznym znaczeniu dla funkcjonowania państwa i gospodarki. Są one określone w załączniku nr 1 do ustawy:

• Energia: wydobywanie kopalin, energia elektryczna (m.in. wytwarzanie, przesyłanie, dystrybucja, obrót, punkty ładowania), ciepło (wytwarzanie, obrót, przesyłanie, dystrybucja), ropa i paliwa (m.in. wytwarzanie, przesyłanie, magazynowanie, przeładunek, obrót), gaz (m.in. wytwarzanie, przesyłanie, obrót, dystrybucja, magazynowanie, skraplanie), energetyka jądrowa (operatorzy), wodór (przesyłanie, magazynowanie, wytwarzanie, dystrybucja).
• Transport: transport lotniczy (m.in. przewoźnicy lotniczy, zarządzający lotniskami, kontrola ruchu), transport kolejowy (zarządcy infrastruktury, przewoźnicy), transport wodny (m.in. armatorzy, podmioty zarządzające portami morskimi i śródlądowymi), transport drogowy (zarządcy dróg, podmioty świadczące usługę inteligentnych systemów transportowych – ITS).
• Bankowość i infrastruktura rynków finansowych (m.in. instytucje kredytowe, banki krajowe, oddziały banków zagranicznych, spółdzielcze kasy oszczędnościowo-kredytowe, giełdy, kontrahenci centralni).
• Ochrona zdrowia: udzielanie świadczeń zdrowotnych i zdrowie publiczne (m.in. podmioty lecznicze, laboratoria referencyjne UE), produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych (m.in. producenci produktów farmaceutycznych, w tym szczepionek w sytuacjach kryzysowych).
• Zaopatrzenie w wodę pitną i jej dystrybucja (podmioty dostarczające wodę przeznaczoną do spożycia przez ludzi).
• Zbiorowe odprowadzanie ścieków (podmioty odprowadzające lub oczyszczające ścieki).
• Infrastruktura cyfrowa: dostawcy punktów wymiany ruchu internetowego (IXP), dostawcy usług DNS, rejestry nazw domen najwyższego poziomu (TLD), dostawcy chmury obliczeniowej, dostawcy usług centrum przetwarzania danych, dostawcy sieci dostarczania treści (CDN), dostawcy usług zaufania, podmioty świadczące usługę rejestracji nazw domen, przedsiębiorcy komunikacji elektronicznej.
• Zarządzanie usługami ICT (B2B): dostawcy usług zarządzanych (MSP), dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa (MSSP).
• Przestrzeń kosmiczna (operatorzy infrastruktury naziemnej wspierający świadczenie usług kosmicznych, Polska Agencja Kosmiczna).
• Podmioty publiczne (m.in. rządowe podmioty publiczne, np. ministerstwa, ZUS, KRUS, NFZ).

2. Sektory ważne (podmioty ważne)
To sektory istotne dla gospodarki. Są one określone w załączniku nr 2 do ustawy:

• Usługi pocztowe (operatorzy pocztowi, w tym firmy kurierskie).
• Inwestycje energetyki jądrowej (podmioty będące inwestorami obiektów energetyki jądrowej).
• Gospodarowanie odpadami: zbieranie odpadów, transport odpadów, przetwarzanie odpadów (w tym sortowanie), wraz z nadzorem nad wymienionymi działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów, działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami.
• Produkcja, wytwarzanie i dystrybucja chemikaliów.
• Produkcja, przetwarzanie i dystrybucja żywności (przedsiębiorstwa spożywcze zajmujące się dystrybucją hurtową lub produkcją przemysłową).
• Produkcja: produkcja wyrobów medycznych i wyrobów do diagnostyki in vitro, produkcja komputerów, wyrobów elektronicznych i optycznych, produkcja urządzeń elektrycznych, produkcja maszyn i urządzeń, produkcja pojazdów samochodowych, przyczep i naczep, produkcja pozostałego sprzętu transportowego.
• Dostawcy usług cyfrowych (internetowych platform handlowych, wyszukiwarek internetowych, platform sieci usług społecznościowych).
• Badania naukowe (m.in. organizacje badawcze).
• Podmioty publiczne (m.in. samorządowe zakłady budżetowe, samorządowe instytucje kultury, spółki komunalne, jeśli świadczą usługi z wykorzystaniem systemów IT).

Warto pamiętać, że przypisanie do kategorii (podmiot kluczowy albo podmiot ważny) zależy również od wielkości przedsiębiorstwa. Co do zasady regulacja obejmuje średnie i duże przedsiębiorstwa, choć istnieją wyjątki dotyczące niektórych małych firm w sektorach krytycznych, takich jak telekomunikacja czy usługi zaufania.

Przygotowanie organizacji do kontroli zgodności z ustawą o krajowym systemie cyberbezpieczeństwa (która wdrożyła dyrektywę NIS2) to kompleksowy proces, który wymaga działań prawnych, organizacyjnych i technicznych. Kontrola może przybrać formę obowiązkowego audytu (dla podmiotów kluczowych) lub czynności nadzorczych organu właściwego (dla wszystkich podmiotów).

Oto kluczowe kroki (oparte na wymaganiach ustawy i wytycznych technicznych ENISA), które organizacja powinna podjąć, aby przygotować się do weryfikacji zgodności:

1. Weryfikacja statusu i rejestracja
Pierwszym krokiem jest formalne potwierdzenie statusu organizacji, czyli ustalenie, czy jest ona podmiotem kluczowym czy podmiotem ważnym (zależy to od sektora działalności i wielkości firmy).

• Wpis do wykazu: należy złożyć wniosek o wpis do wykazu podmiotów kluczowych i podmiotów ważnych w ciągu 6 miesięcy od spełnienia przesłanek ustawowych.
• Dane kontaktowe: należy wyznaczyć i zgłosić co najmniej dwie osoby do kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa (a w przypadku mikro- lub małych firm – co najmniej jedną osobę).

2. Zaangażowanie zarządu (governance)
Audytorzy będą weryfikować, czy kadra zarządzająca jest aktywnie zaangażowana w proces cyberbezpieczeństwa.

• Zatwierdzenie polityk: polityka bezpieczeństwa systemów sieciowych i informatycznych musi być formalnie zatwierdzona przez kierownika podmiotu (np. zarząd), z udokumentowaną datą zatwierdzenia.
• Szkolenia zarządu: należy udokumentować, że kierownik podmiotu przeszedł obowiązkowe szkolenie z zakresu cyberbezpieczeństwa (wymagane raz w roku).
• Odpowiedzialność: należy wykazać, że kierownik podmiotu nadzoruje system zarządzania bezpieczeństwem i przydziela na niego budżet.

3. Zarządzanie ryzykiem (fundament zgodności)
System zarządzania bezpieczeństwem informacji (SZBI) musi opierać się na ryzyku. Organizacja musi przedstawić dowody potwierdzające:

• metodykę – posiadanie udokumentowanej metodyki zarządzania ryzykiem,
• analizę – przeprowadzenie identyfikacji i oceny ryzyk dla systemów informacyjnych (podejście all-hazards, uwzględniające nie tylko cyberataki, lecz także awarie, błędy ludzkie i klęski żywiołowe),
• plan postępowania z ryzykiem – dokumentację wskazującą, kto jest odpowiedzialny za mitygację ryzyka i jakie środki zastosowano.

4. Wdrożenie i udokumentowanie środków bezpieczeństwa
Organizacja musi posiadać dokumentację normatywną (polityki, procedury) oraz dokumentację operacyjną (logi, raporty), które potwierdzają realizację obowiązków.

Przygotowanie do kontroli powinno obejmować co najmniej następujące obszary (zgodnie z art. 8 KSC i wytycznymi ENISA):

• obsługa incydentów – procedura wykrywania, rejestrowania i zgłaszania incydentów (w tym wczesnego ostrzeżenia w ciągu 24 godzin), rejestr incydentów oraz zdolność do ich kategoryzacji,
• ciągłość działania (BCM) i zarządzanie kryzysowe – plany awaryjne, plany odtwarzania po awarii oraz dowody na wykonywanie i testowanie kopii zapasowych (zasada 3–2–1, testy odtwarzania),
• bezpieczeństwo łańcucha dostaw – polityka oceny dostawców usług ICT i sprzętu, klauzule dotyczące cyberbezpieczeństwa w umowach z dostawcami,
• bezpieczeństwo zasobów ludzkich – procedury onboardingu i offboardingu pracowników (nadawanie i odbieranie uprawnień), weryfikacja tła (background checks) dla kluczowych stanowisk oraz regularne szkolenia z cyberhigieny (potwierdzone listami obecności lub certyfikatami),
• kontrola dostępu – stosowanie zasady wiedzy koniecznej (need-to-know) i zasady najmniejszych przywilejów, a także – tam, gdzie jest to uzasadnione – uwierzytelnianie wieloskładnikowe (MFA) oraz zarządzanie tożsamością,
• szyfrowanie – polityka stosowania kryptografii i szyfrowania danych (w spoczynku i w transmisji),
• zarządzanie podatnościami – regularne skanowanie podatności i wdrażanie poprawek bezpieczeństwa (patch management).

5. Przygotowanie do audytu (specyfika dla podmiotów kluczowych)
Podmioty kluczowe muszą przeprowadzać audyt co najmniej raz na 3 lata na własny koszt.

• Wybór audytora: audyt może przeprowadzić akredytowana jednostka oceniająca zgodność lub co najmniej dwóch kwalifikowanych audytorów (z odpowiednim doświadczeniem lub certyfikatami).
• Niezależność: audytor nie może być osobą, która realizuje zadania z zakresu cyberbezpieczeństwa w danej firmie.
• Zakres: audyt obejmuje ocenę systemów informacyjnych wykorzystywanych do świadczenia usługi kluczowej.

6. Przeglądy wewnętrzne (self-assessment)
Nawet przed oficjalną kontrolą organizacja powinna regularnie (np. raz w roku) przeprowadzać niezależny przegląd (independent review) stanu bezpieczeństwa. Taki przegląd może realizować oddzielna komórka wewnątrz firmy (np. audyt wewnętrzny) lub firma zewnętrzna. Wyniki muszą być raportowane do zarządu.

Lista kontrolna dokumentacji (dowody według ENISA)
Podczas kontroli audytorzy mogą poprosić o następujące dowody:

• schemat organizacyjny z określeniem ról w obszarze bezpieczeństwa (CISO),
• rejestr ryzyk i raporty z szacowania ryzyka,
• umowy z dostawcami zawierające wymagania dotyczące bezpieczeństwa,
• raporty z testów bezpieczeństwa i skanowania podatności,
• logi systemowe (np. z systemów SIEM, firewall) potwierdzające monitorowanie,
• protokoły z testów odtwarzania backupów,
• listy obecności ze szkoleń z zakresu budowania świadomości (awareness),
• polityka haseł i dowody stosowania MFA.

Przygotowanie wymaga więc nie tylko „papierowej" zgodności, lecz także dowodów potwierdzających, że procesy faktycznie działają (np. logów, raportów z testów, protokołów z incydentów).