Od 7 maja do 3 października firmy podlegające Krajowemu Systemu Cyberbezpieczeństwa muszą zapisać do Wykazu KSC. Obowiązek dotyczy m.in. sektorów zarządzania usługami ICT (teleinformatycznymi), odprowadzania ścieków, produkcji i dystrybucji żywności. Firmy muszą same ustalić, czy podlegają KSC.
- Nowelizacja ustawy o KSC
- Kto nie musi składać wniosku o wpisanie do wykazu
- Podmiot kluczowy, podmiot ważny
- Unijna dyrektywa do spraw cyberbezpieczeństwa
Nowelizacja ustawy o KSC
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która w większości weszła w życie 3 kwietnia br., wprowadziła podział na podmioty kluczowe i ważne, a także nowe sektory, które podlegają ustawie. Chodzi m.in. o zbiorowe odprowadzanie ścieków, zarządzanie usługami ICT (teleinformatycznymi) i przestrzeń kosmiczna.
Zgodnie z nowelą, podmioty objęte przepisami mają szereg nowych obowiązków, w tym wpisanie się do Wykazu KSC. Jest to możliwe od czwartku i można to zrobić przez stronę https://wykaz-ksc.gov.pl. Wpisanie firmy do wykazu będzie możliwe do 3 października br.
Kto nie musi składać wniosku o wpisanie do wykazu
Wniosku o wpisanie do wykazu nie muszą składać podmioty, które zostały objęte wpisem realizowanym z urzędu. Chodzi o podmioty publiczne, przedsiębiorców telekomunikacyjnych, dostawców usług cyfrowych oraz podmioty, które miały status operatorów usług kluczowych przed nowelizacją ustawy. Do 6 maja Ministerstwo Cyfryzacji miało obowiązek wpisać te podmioty do wykazu.
Jak podał resort na swojej stronie internetowej, w pierwszej kolejności firma musi zweryfikować, czy prowadzona przez nią działalność mieści się w sektorach lub podsektorach objętych nowelą. W załączniku 1. nowelizacji ustawy o KSC wśród sektorów kluczowych znalazły się: energia; transport; ochrona zdrowia, bankowość i infrastruktura rynków finansowych; zaopatrzenie w wodę pitną i jej dystrybucja, zbiorowe odprowadzanie ścieków; infrastruktura cyfrowa i przestrzeń kosmiczna.
Natomiast zgodnie z załącznikiem 2. noweli do sektorów ważnych należą: usługi pocztowe; inwestycje energetyki jądrowej; gospodarowanie odpadami; produkcja, wytwarzanie i dystrybucja chemikaliów; produkcja, wytwarzanie i dystrybucja żywności; dostawcy usług cyfrowych i badania naukowe. Podmioty sektora ważnego to również firmy, które zajmują się produkcją np.: wyrobów medycznych; komputerów; wyrobów elektronicznych i optycznych urządzeń elektrycznych; pojazdów samochodowych, przyczep i naczep; pozostałego sprzętu transportowego.
Jak wskazał resort cyfryzacji po sprawdzeniu, czy działalność mieści się w wymienionych sektorach, należy sprawdzić wielkości podmiotu. Trzeba przy tym wziąć pod uwagę progi dla mikro, małych i średnich przedsiębiorstw. Resort zaznaczył, że przy obliczaniu wielkości, firmy muszą także wziąć pod uwagę przedsiębiorstwa powiązane i partnerskie. Dla mikroprzedsiębiorstw progi wynoszą odpowiednio: mniej niż 10 pracowników oraz maksymalnie 2 mln euro rocznego obrotu lub rocznej sumy bilansowej. Progi dla małych firm to mniej niż 50 pracowników i maks. 10 mln euro rocznego obrotu lub rocznej sumy bilansowej; dla średnich przedsiębiorstw - mniej niż 250 pracowników oraz maks. 50 mln euro rocznego obrotu lub 43 mln euro rocznej sumy bilansowej. Natomiast duże firmy to te, które przekraczają wymienione progi.
Wszyscy przedsiębiorcy telekomunikacyjni, niezależnie od ich wielkości, podlegają pod ustawę.
Podmiot kluczowy, podmiot ważny
Trzecim krokiem przedsiębiorców powinna być analiza art. 5 ustawy o KSC, który określa szczegółowe zasady uznawania podmiotów za podmiot kluczowy albo podmiot ważny. Resort wyjaśnił, że przepis ten wskazuje na m.in. przypadki, w których podmiot może zostać objęty ustawą niezależnie od swojej wielkości, a także szczególne sytuacje uzasadniające zakwalifikowanie podmiotu do jednej kategorii. „Spełnienie przesłanek z art. 5 jednoznacznie oznacza objęcie podmiotu przepisami ustawy” - podkreśliło ministerstwo.
Podmiot, który ustalił, że podlega pod krajowy system cyberbezpieczeństwa, powinien następnie założyć konto w Wykazie KSC, co umożliwi w następnej kolejności złożenie wniosku o wpis. Po wejściu na dedykowaną stronę internetową, należy kliknąć przycisk „Zaloguj z login.gov.pl”. Kolejny krok to wybranie metody logowania i uwierzytelnienie się.
Po pierwszym zalogowaniu system poprosi użytkownika o zarejestrowanie konta. Należy to zrobić przez wypełnienie formularza rejestracji i zaakceptowanie wymaganych oświadczeń. Następnie na podany adres e-mail użytkownik otrzyma kod weryfikacyjny, który trzeba wpisać w odpowiednim polu. Po poprawnej weryfikacji pojawi się komunikat „Sukces”, a na na e-mail przyjdzie potwierdzenie rejestracji.
Kolejna czynność to złożenie wniosku w Wykazie KSC. Odpowiada za to kierownik podmiotu lub osoba przez niego upoważniona. W tym celu należy kliknąć pole „Wpisz nowy podmiot” i wypełnić formularz wniosku. Jak objaśnił resort cyfryzacji, formularz składa się z kilku sekcji i trzeba w nim wpisać m.in. dane identyfikacyjne podmiotu, w tym NIP, REGON i nazwę; dane adresowe i kontaktowe. Po wypełnieniu i zatwierdzeniu formularza, należy kliknąć „Przejdź do podpisu” i elektronicznie podpisać wniosek. Można to zrobić przez Profil Zaufany lub aplikację zewnętrzną. Jeśli w zakładce „Lista wniosków” pojawi się komunikat „Zatwierdzony”, oznacza to, że wpis został dokonany. Użytkownik otrzyma też potwierdzenie złożenia wniosku na adres e-mail.
Unijna dyrektywa do spraw cyberbezpieczeństwa
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrożyła w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Nowela przewiduje, że organizacje z sektorów kluczowych i ważnych będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem, w tym m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne ocenianie ryzyka wystąpienia incydentów i zarządzanie incydentami. Do nowych obowiązków należy również wdrożenie środków technicznych i organizacyjnych proporcjonalnych do oszacowanego ryzyka.
Nowymi przepisami objętych jest część podmiotów publicznych, w tym urzędy, samorządy, szkoły, szpitale, instytuty badawcze i Polska Agencja Prasowa.
Nowela zakłada także, że podmioty kluczowe i ważne będą przekazywać sobie nawzajem informacje o incydentach, cyberzagrożeniach i podatnościach za pomocą systemu s46. Korzystanie z tego systemu będzie możliwe od 12 czerwca br. - podał resort cyfryzacji.
Podmioty kluczowe i ważne mają czas na dostosowanie się do nowych przepisów do 3 kwietnia 2027. Za niewywiązanie się z nowych obowiązków przedsiębiorcom grożą kary finansowe, które będą mogły być nakładane od 3 kwietnia 2028 r.