Sprawdź swoją gotowość na NIS2 / KSC

W nowym porządku prawnym cyberbezpieczeństwo przestaje być domeną wyłącznie działów IT, a staje się kluczowym elementem odpowiedzialności najwyższego kierownictwa. Wyzwanie, przed którym stają tysiące polskich przedsiębiorstw, jest dwojakie.

Z jednej strony muszą one spełnić rygorystyczne wymagania ustawowe, z drugiej zaś – co ważniejsze – zbudować rzeczywistą zdolność do wykrywania, odpierania i ograniczania skutków incydentów. Kluczowym problemem, który ujawniają pierwsze analizy gotowości, jest odróżnienie formalnej deklaracji zgodności, opartej na martwych procedurach, od realnej odporności operacyjnej. W obliczu rosnącej liczby zagrożeń hybrydowych oraz bezprecedensowych kar finansowych audyt zgodności oraz rzetelna analiza luk (gap analysis) przestają być opcjonalnym badaniem, a stają się narzędziem zarządzania ryzykiem prawnym i biznesowym.

Podstawowe pojęcia i założenia nowego systemu cyberbezpieczeństwa

Zrozumienie nowej architektury bezpieczeństwa wymaga precyzyjnego określenia relacji między unijną dyrektywą NIS2 a polskim porządkiem prawnym. Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (dalej: KSC) jest instrumentem przenoszącym wymagania europejskie na grunt krajowy – precyzuje zadania i obowiązki poszczególnych podmiotów systemu. Zgodnie z art. 1 KSC jej zakres przedmiotowy obejmuje organizację krajowego systemu cyberbezpieczeństwa, zadania i obowiązki podmiotów wchodzących w skład tego systemu, a także sposób sprawowania nadzoru i kontroli w zakresie stosowania jej przepisów.

Aby organizacja mogła skutecznie zarządzać zgodnością, musi opierać się na precyzyjnych definicjach ustawowych:

• Bezpieczeństwo systemów informacyjnych (art. 2 pkt 3d KSC) – odporność systemów informacyjnych, przy danym poziomie pewności, na zdarzenia naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.
• Cyberbezpieczeństwo (art. 2 pkt 4 KSC) – definiowane przez odesłanie do rozporządzenia UE 2019/881 (aktu o cyberbezpieczeństwie): działania niezbędne do ochrony sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób przed cyberzagrożeniami.
• Incydent (art. 2 pkt 5 KSC) – każde zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych. Przepisy różnicują incydenty według ich wagi i skutków, m.in.:
• incydent krytyczny (art. 2 pkt 6 KSC) – skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich,
• incydent poważny (art. 2 pkt 7 KSC) – który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi, straty finansowe lub który wpływa na inne podmioty przez wywołanie poważnej szkody materialnej lub niematerialnej.

Zgodnie z art. 3 KSC nadrzędnym celem krajowego systemu cyberbezpieczeństwa jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług przez podmioty kluczowe lub podmioty ważne, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa ich systemów informacyjnych oraz skuteczną obsługę incydentów.

Podmioty kluczowe i podmioty ważne – czy Twoja organizacja podlega nowym przepisom?

Nowelizacja KSC znacząco rozszerza katalog podmiotów objętych obowiązkami. Klasyfikacja podmiotu determinuje zakres nadzoru oraz surowość sankcji. Podział opiera się głównie na sektorze działalności i wielkości przedsiębiorstwa, jednak przepisy przewidują również szereg kryteriów szczególnych.

Zgodnie z art. 5 ust. 4 KSC obowiązuje zasada prymatu klasyfikacji wyższej: jeśli podmiot spełnia kryteria zarówno dla podmiotu kluczowego, jak i dla podmiotu ważnego, jest uznawany za podmiot kluczowy.

Zestawienie kryteriów klasyfikacji (art. 5 i 5a KSC)

Warto zwrócić uwagę na istotny niuans prawny, często pomijany w uproszczonych opracowaniach. Zgodnie z art. 5 ust. 6 i 7 ustawy o KSC, nawet gdy firma przekracza kryteria wielkości (np. jako część dużej grupy kapitałowej), może nie zostać uznana za podmiot kluczowy lub podmiot ważny, jeżeli wykaże, że jej system informacyjny jest całkowicie niezależny od systemów przedsiębiorstw powiązanych lub partnerskich oraz że nie świadczy usług wspólnie z tymi przedsiębiorstwami. To krytyczny punkt dla grup kapitałowych w procesie ustalania podległości wobec ustawy o KSC.

Nowy katalog obowiązków – szczegółowa analiza art. 8 KSC

Najważniejszym operacyjnie przepisem jest art. 8 KSC, który zobowiązuje podmioty do wdrożenia systemu zarządzania bezpieczeństwem informacji. Ustawodawca wymaga, aby środki techniczne i organizacyjne były „odpowiednie i proporcjonalne” do ryzyka, przy jednoczesnym uwzględnieniu najnowszego stanu wiedzy oraz kosztów wdrożenia.

Oto 10 kluczowych obszarów wymagających wdrożenia wraz z komentarzem eksperckim:

Polityki szacowania ryzyka i bezpieczeństwa (art. 8 ust. 1 pkt 2 lit. a)

Nie wystarczy ogólna polityka. Wymagane są polityki tematyczne, precyzyjnie uwzględniające zidentyfikowane zagrożenia w konkretnych procesach biznesowych.

Bezpieczeństwo fizyczne i środowiskowe (art. 8 ust. 1 pkt 2 lit. c)

Ochrona infrastruktury przed nieuprawnionym dostępem fizycznym oraz zagrożeniami środowiskowymi (pożar, zalanie) musi zostać uwzględniona w analizie ryzyka SZBI.

Bezpieczeństwo łańcucha dostaw (art. 8 ust. 1 pkt 2 lit. e oraz ust. 2)

To jeden z najbardziej rygorystycznych obszarów. Podmiot musi uwzględnić nie tylko techniczne aspekty bezpieczeństwa, lecz także podatności związane z dostawcą (art. 8 ust. 2 pkt 1), ogólną jakość produktów ICT oraz – co niezwykle ważne – wyniki skoordynowanej oceny bezpieczeństwa na poziomie unijnym. Organizacja musi udowodnić, że weryfikuje swoich dostawców pod kątem ryzyka geopolitycznego i technicznego.

Ciągłość działania i plany odtworzeniowe (art. 8 ust. 1 pkt 2 lit. f)

Ustawa wymaga dokumentowania i regularnego testowania planów ciągłości działania (BCP) oraz planów odtworzenia systemów po awarii (DRP). Brak udokumentowanych testów jest jedną z najczęstszych przyczyn negatywnych wyników audytu.

Edukacja i cyberhigiena (art. 8 ust. 1 pkt 2 lit. i oraz j)

Ustawa nakłada obowiązek regularnych szkoleń dla personelu oraz wdrożenia podstawowych zasad cyberhigieny. Bezpieczeństwo zasobów ludzkich musi być poparte weryfikacją świadomości pracowników.

Kryptografia i bezpieczna komunikacja (art. 8 ust. 1 pkt 2 lit. k oraz l)

Podmiot zobowiązany jest do stosowania szyfrowania wszędzie tam, gdzie jest to uzasadnione, oraz do korzystania z bezpiecznych kanałów komunikacji – wewnątrz podmiotu i w ramach krajowego systemu cyberbezpieczeństwa.

Uwierzytelnianie wieloskładnikowe (MFA) (art. 8 ust. 1 pkt 2 lit. l)

W stosownych przypadkach MFA powinno być standardem ochrony dostępu do systemów przetwarzających dane wpływające na świadczenie usługi.

Zarządzanie aktywami i kontrola dostępu (art. 8 ust. 1 pkt 2 lit. m oraz n)

Każdy podmiot musi posiadać pełną inwentaryzację aktywów ICT oraz rygorystyczne polityki kontroli dostępu oparte na zasadzie minimalnych uprawnień.

Zarządzanie incydentami (art. 8 ust. 1 pkt 4)

Obowiązek obejmuje pełen cykl: od wykrywania, przez rejestrowanie i analizę, aż po ograniczanie skutków. Procedura musi być zintegrowana z wymaganiami raportowania do właściwego CSIRT.

Aktualizacja oprogramowania i zarządzanie podatnościami (art. 8 ust. 1 pkt 5 lit. b)

Ustawodawca wprowadził konkretny wymóg operacyjny: przed wdrożeniem aktualizacji należy przeprowadzić analizę jej wpływu na bezpieczeństwo świadczonej usługi. To radykalnie zmienia podejście do automatycznych poprawek w systemach krytycznych.

Dlaczego weryfikacja gotowości (audyt) jest niezbędna?

Przeprowadzenie audytu luk (gap analysis) przed wejściem w reżim kontrolny jest jedynym sposobem na uniknięcie ryzyka regulacyjnego. Organy właściwe posiadają szerokie uprawnienia kontrolne, a wykrycie braków w trakcie oficjalnej kontroli skutkuje wydaniem zaleceń pokontrolnych lub nałożeniem kar.

Główne luki identyfikowane podczas audytów gotowości

• Martwa dokumentacja – procedury BCP/DRP istnieją na papierze, ale nigdy nie były testowane w warunkach symulowanej awarii.
• Brak nadzoru nad łańcuchem dostaw – organizacje nie posiadają dowodów na weryfikację bezpieczeństwa dostawców zgodnie z kryteriami określonymi w art. 8 ust. 2 KSC.
• Niewłaściwa analiza wpływu zmian – brak dokumentowania analizy wpływu aktualizacji oprogramowania na ciągłość usług (wymóg z art. 8 ust. 1 pkt 5 lit. b KSC).

Korzyści z audytu zgodności

• Prawna ochrona kierownictwa – posiadanie dowodów na należytą staranność w nadzorze nad SZBI.
• Optymalizacja inwestycji IT – skupienie budżetu na realnych lukach w bezpieczeństwie, a nie na niepotrzebnych rozwiązaniach technicznych.
• Ciągłość biznesowa – zmniejszenie prawdopodobieństwa wystąpienia incydentu poważnego, który mógłby sparaliżować działalność firmy.
• Wiarygodność rynkowa – status podmiotu zgodnego z ustawą o KSC staje się głównym atutem w przetargach i relacjach B2B.

Ryzyka i odpowiedzialność – od kar finansowych po nadzór zarządu

Nowelizacja ustawy o KSC wprowadza bezprecedensową odpowiedzialność osobistą. Zgodnie z art. 2 pkt 8a pojęcie „kierownika podmiotu” jest ściśle powiązane z art. 3 ust. 1 pkt 6 ustawy o rachunkowości. Oznacza to, że odpowiedzialność za cyberbezpieczeństwo spoczywa bezpośrednio na zarządzie (w spółkach kapitałowych) lub na kierowniku jednostki (w sektorze publicznym).

Kierownik podmiotu odpowiada za:

• wdrożenie i utrzymanie SZBI,
• zatwierdzanie analizy ryzyka,
• zapewnienie środków na realizację obowiązków ustawowych.

Konsekwencje braku zgodności są dotkliwe. Poza gigantycznymi karami finansowymi (sięgającymi milionów euro lub określonego procentu obrotu) organizacja naraża się na ryzyko operacyjne (paraliż usług) oraz ryzyko reputacyjne. W skrajnych przypadkach organ nadzorczy może zawiesić certyfikację lub nałożyć ograniczenia na prowadzenie działalności, jeśli stwierdzi uporczywe naruszanie zasad cyberbezpieczeństwa.