2 godzin temu
Businessinsider.com.pl przypomina, iż 18 października, zacznie być stosowana dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii.
Do tego dnia każde państwo Unii, w tym Polska, powinno przygotować własne przepisy, przekładające unijne zasady do krajowych przepisów.
Co do zasady dyrektywa i krajowe ustawy mają zwiększyć poziom cyberbezpieczeństwa w porównaniu do NIS, czyli pierwszej dyrektywy, co w obecnej sytuacji wojny za naszą wschodnią granicą jest niezbędne i oczywiste.
Polska wciąż jest jednak na etapie projektu, za który odpowiada Ministerstwo Cyfryzacji.
Obecnie wszyscy z niepokojem czekają na opublikowanie wersji projektu, co miało nastąpić po wakacjach.
Choć zbliża się termin wejścia w życie dyrektywy, to projektu brak, choć resort zapewnia, iż na przełomie września i października trafi do odpowiednich komitetów.
Chodzi o nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Te przepisy są znane stąd, iż zmuszą określone firmy do wycofanie ze swoich systemów produktów dostawcy wysokiego ryzyka z państw trzecich. Problem w tym, iż jak zauważają autorzy uwag do projektu, zmiany proponowane przez MC są zbyt restrykcyjne, kosztowne i mogą prowadzić do odwrotnych skutków niż zamierzone.
Opinie przesłało ponad sto różnych podmiotów, od prywatnych, po publiczne.
Tak wysokie zaangażowanie w proces legislacyjny nie dziwi. Szacuje się bowiem, iż zmiany mogą dotknąć niemal 40 tys. podmiotów — tłumaczy Karolina Idziak z Grant Thornton.
Obecnie w krajowym systemie bezpieczeństwa (KSC) mamy do czynienia z operatorami usług kluczowych (OUK), którzy są wyznaczani na podstawie decyzji administracyjnej z siedmiu sektorów: energetyka, transport, bankowość, finanse, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja oraz infrastruktura cyfrowa Na liście OUK figuruje 397 podmiotów, w tym dużych kopalń, zakładów energetycznych, szpitali ze Szpitalnym Oddziałem Ratunkowym. One muszą szczególnie przygotować się na cyberataki, mają więc więcej kosztownych obowiązków itp.
Dyrektywa wprowadza dwie nowe kategorie podmiotów: najważniejsze i ważne, ale co ważniejsze obejmuje znacznie więcej sektorów. Do obecnych ośmiu kluczowych dochodzą sektory: telekomunikacyjny, administracja publiczna. Podmioty ważne będą z sektora dostawców usług cyfrowych i sześciu nowych: usługi pocztowe i kurierskie; gospodarowanie odpadami; produkcja, wytwarzanie i dystrybucja chemikaliów; produkcja, przetwarzanie i dystrybucja żywności; produkcja, badania naukowe.
W sumie dyrektywa NIS2 obejmie w Polsce blisko 40 tys. firm, w tym dużych i średnich. To oznacza, iż więcej przedsiębiorstw będzie musiało spełniać wymogi dyrektywy, niezależnie od ich dotychczasowego doświadczenia w obszarze cyberbezpieczeństwa. — Upraszczając, obejmie ona tysiące firm w Polsce, które muszą mieć czas na przygotowanie się do nowych wymagań — podkreśla Jolanta Malak, dyrektor Fortinet w Polsce.
Ponadto do wykazu podmiotów minister będzie mógł wpisać dany podmiot z urzędu, a wówczas niezależnie od wielkości, firma będzie miała bardzo mało czasu w dostosowanie się do wymagań ustawy.
