Karol Nawrocki podpisał ustawę. Firmom grożą kary nawet do 10 mln euro

Karol Nawrocki, Prezydent RP, podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która wdraża do polskiego porządku prawnego unijną dyrektywę NIS2. Jednocześnie część przepisów dotyczących dostawców wysokiego ryzyka została skierowana do kontroli następczej przez Trybunał Konstytucyjny.

Podpis prezydenta oznacza formalne zakończenie prac legislacyjnych i wejście Polski w nowy, znacznie bardziej rygorystyczny system odpowiedzialności za cyberbezpieczeństwo. Regulacja przewiduje surowe sankcje finansowe – dla podmiotów kluczowych mogą one wynieść nawet 10 mln euro lub do 2 proc. rocznych przychodów.

Nowe przepisy są odpowiedzią Unii Europejskiej na gwałtowny wzrost liczby cyberataków. Incydenty cyberbezpieczeństwa coraz częściej paraliżują działalność operacyjną przedsiębiorstw, zakłócają łańcuchy dostaw i generują wielomilionowe straty. Polska znajduje się dziś wśród państw europejskich z dużą liczbą zgłaszanych incydentów, dlatego regulacje w tym obszarze stają się nie tylko formalnym obowiązkiem, ale także strategicznym wyzwaniem dla biznesu.

Polska nadrabia zaległości wobec UE

Wiele państw członkowskich Unii Europejskiej zakończyło już wdrażanie dyrektywy NIS2 lub znajduje się na końcowym etapie implementacji. Organy nadzorcze w części krajów przechodzą już z fazy legislacyjnej do egzekwowania przepisów i przygotowują się do intensywniejszych kontroli.

Dotychczas Polska pozostawała w tyle za częścią europejskiego rynku, jednak podpis prezydenta zamyka etap prac legislacyjnych i przenosi regulację do fazy operacyjnej. Skierowanie wybranych przepisów do Trybunału Konstytucyjnego nie wstrzymuje obowiązywania ustawy ani przygotowań do jej egzekwowania.

– Podpisanie nowelizacji KSC to moment przełomowy dla zarządów. Cyberbezpieczeństwo przestaje być kwestią techniczną, a staje się elementem odpowiedzialności korporacyjnej i nadzoru właścicielskiego. W warunkach rosnącej liczby ataków brak systemowego podejścia do ryzyka cyfrowego to dziś ryzyko strategiczne – podkreśla Mateusz Masiak, CEO Quantifier.

Co NIS2 oznacza dla firm i zarządów?

Dyrektywa NIS2 znacząco rozszerza katalog podmiotów objętych regulacją oraz wprowadza wyraźną odpowiedzialność najwyższego kierownictwa za system zarządzania ryzykiem cyberbezpieczeństwa.

W praktyce oznacza to konieczność:

• sprawdzenia, czy organizacja kwalifikuje się jako podmiot kluczowy lub ważny,

• przeprowadzenia analizy luk w politykach bezpieczeństwa i procedurach,

• wdrożenia systemów reagowania na incydenty,

• przygotowania szybkiego raportowania naruszeń cyberbezpieczeństwa.

Istotnym elementem nowych regulacji jest także bezpieczeństwo łańcucha dostaw.

– Największe ryzyka często znajdują się poza organizacją, u dostawców i partnerów. NIS2 wymusza podejście systemowe – od zarządzania ryzykiem, przez dokumentację, po stałe monitorowanie zgodności. To nie jest projekt jednorazowy, lecz proces ciągły – wskazuje Weronika Czaplewska, wiceprezeska Quantifier.

Cyberbezpieczeństwo trafia na poziom zarządu

Nowe regulacje zmieniają podejście do cyberbezpieczeństwa – z obszaru technicznego wsparcia IT staje się ono elementem strategicznego zarządzania organizacją.

Dyrektywa wprowadza obowiązek szybkiego zgłaszania incydentów – wstępna informacja o naruszeniu musi zostać przekazana w ciągu 24 godzin od jego wykrycia. W praktyce oznacza to konieczność budowy systemów wczesnego ostrzegania, formalnych procedur eskalacyjnych oraz regularnego testowania mechanizmów reagowania.

Jednocześnie przepisy przenoszą odpowiedzialność na zarządy firm. Organy zarządzające muszą zatwierdzać środki zarządzania ryzykiem cyberbezpieczeństwa, nadzorować ich wdrażanie i dbać o rozwój kompetencji w tym obszarze.

Czy Twoja firma podlega NIS2?

W najbliższych miesiącach wiele przedsiębiorstw będzie analizować, czy nowe przepisy obejmują ich działalność. O kwalifikacji decyduje nie tylko sektor gospodarki, ale również wielkość firmy oraz jej rola w łańcuchach dostaw podmiotów objętych regulacją.

Eksperci wskazują, że pierwszym krokiem powinna być wstępna ocena kwalifikacji do NIS2 oraz identyfikacja obszarów wymagających dostosowania – od zarządzania ryzykiem cyberbezpieczeństwa po procedury raportowania incydentów i nadzór nad dostawcami.