13 maja 2024 r.
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa rozszerza stosowanie ustawy do kilkudziesięciu tysięcy podmiotów z 18 branż zdefiniowanych w ustawie, w tym sektor ochrony zdrowia. Projekt implementować ma tzw. Dyrektywę NIS2.
Z uwagi na znikomą liczbę działań edukacyjnych wiele podmiotów nie ma w ogóle świadomości, że będą objęte zakresem nowelizacji. Z niewyjaśnionych przyczyn w zaproszeniu do konsultacji publicznych pominięto podmioty z sektorów: energetycznego, odpadów, ochrony zdrowia, zaopatrzenia w wodę, chemikaliów, żywności, badań naukowych, ścieków, przestrzeni kosmicznej. Nie przekazano też zaproszeń do podsektorów, zachowując jedynie wezwanie do udziału w konsultacjach na stronie internetowej ministerstwa.
Kogo dotyczy
W branży ochrony zdrowia nowe regulacje dotyczyć obejmą:
- 44 podmioty z podsektora produkcji wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro,
- 1248 podmiotów z podsektorów:
- Opieka zdrowotna,
- Produkcja podstawowych substancji farmaceutycznych oraz leków i pozostałych wyrobów farmaceutycznych,
- Dystrybucja i import/import równoległy produktów leczniczych i substancji czynnych, w tym prowadzenie aptek ogólnodostępnych lub hurtowni farmaceutycznych,
- Badania naukowe i prace rozwojowe w dziedzinie biotechnologii,
- Laboratoria referencyjne,
- Producenci niektórych wyrobów medycznych, w tym rozwiązań telemedycznych, w szczególności korzystający z chmury obliczeniowej.
Dotychczasowe przepisy obejmowały swoim zakresem tylko podmioty, wobec których wydano decyzje o uznaniu ich za tzw. operatorów usług kluczowych (ok. 270 podmiotów). Nowe przepisy wg szacunków Ministerstw Cyfryzacji obejmą 5-krotnie więcej. Co istotne, nowe przepisy dotyczyć będą nie tylko dużych organizacji, ale organizacji zatrudniających co najmniej 50 osób lub mających co najmniej 10 mln EUR rocznego przychodu.
Co istotne, na potrzeby obsługi podmiotów objętych ustawą zakłada się stworzenie aż 43 nowych etatów w Ministerstwie Zdrowia. Nowi urzędnicy będą zajmowali się wykonywaniem obowiązków ustawowych oraz prowadzenie kontroli zgodności z nowymi przepisami.
Nowe obowiązki
Projekt nakłada na firmy szereg nowych obowiązków, za niespełnienie których przewidziano wielomilionowe kary finansowe, w tym m.in.:
- obowiązek stworzenia systemów zarządzania bezpieczeństwem informacji zgodnie z normami ISO 27001 oraz ISO 22301,
- obowiązek wdrożenia zabezpieczeń chroniących przed incydentami cyberbezpieczeństwa zgodnie z analizą ryzyka oraz na podstawie najnowszego stanu wiedzy,
- obowiązek dokonywania zgłoszeń incydentów do organu nadzorczego (wczesne ostrzeżenie w terminie 12h/24h, zgłoszenie w ciągu 72h) oraz powiadamiania o incydentach własnych użytkowników,
- obowiązek wdrożenia nowej, rozbudowanej dokumentacji dot. cyberbezpieczeństwa,
- obowiązek prowadzenia na własny koszt audytu wstępnego w ciągu 12 miesięcy i regularnych audytów bezpieczeństwa co dwa lata przez osoby o odpowiednich kompetencjach oraz udostępniania wyników audytów organowi regulacyjnemu w ciągu 3 dni od ich otrzymania,
- obowiązek rejestracji w krajowym systemie informatycznym S46 oraz wymiany informacji za jego pośrednictwem,
- obowiązek zarządzania ryzykiem łańcucha dostawców usług ICT,
- obowiązek zapewnienia dostępu do wiedzy pozwalającej na zrozumienie cyberzagrożeń dot. cyberbezpieczeństwa wśród własnych pracowników.
UWAGA! Dla każdego sektora Rada Ministrów może określić, w drodze rozporządzenia, szczegółowe wymagania odrębnie dla danego rodzaju działalności.
Ustawa nakłada osobistą odpowiedzialność na osoby kierujące daną firmą lub organizacją. Jeśli osoba odpowiedzialna nie zostanie wyznaczona, odpowiedzialność będzie ponosić cały zarząd.
Przepis ustawy wyraźnie wskazują, że kary finansowe dotyczą również sytuacji, gdy doszło wyłącznie do jednorazowego naruszenia.
Koszty wdrożenia nowych regulacji
Szacunkowe koszty wdrożenia nowych przepisów w sektorze prywatnym mogą wynosić od kilkudziesięciu do kilkuset tysięcy złotych, a czasami nawet przekroczyć milion złotych (szczególnie w przypadku podmiotów, które nie skupiały swojej działalności na cyberbezpieczeństwie, np. sektora producentów żywności). Coroczne koszty spełnienia wszystkich obowiązków mogą wynosić ponad 100 tysięcy złotych rocznie, a w przypadku dużych podmiotów wielokrotnie więcej.
Zgodnie z założeniami przygotowanej przez Ministerstwo Cyfryzacji oceny skutków regulacji, rocznie należy przeprowadzić kontrolę ok. 4000 podmiotów (ok. 10% nadzorowanych podmiotów). Według założeń Ministerstwa zespół kontrolny liczący 3 osoby jest w stanie przeprowadzić jedynie ok. 6 kontroli rocznie. Dla przykładu – w zakresie RODO dotychczas prowadzono ok. 50 kontroli rocznie, choć przepisy dotyczyły niemal miliona podmiotów.
Nowe przepisy mają wejść w życie w ciągu 1 miesiąca od opublikowania w dzienniku ustaw. Podmioty objęte zakresem przepisów będą miały 6 miesięcy na dostosowanie swojej działalności do nowych wymogów.
Informacje o przepisach
- Informacja dotyczy opracowanego przez Ministerstwo Cyfryzacji projektu z dnia 23 kwietnia 2024 r. nowelizacji ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
- Projekt nowelizacji ma stanowić wdrożenie do polskiego prawa Dyrektywy NIS2 – Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148.
- Dyrektywa NIS2 obowiązuje wszystkie państwa UE od 16 stycznia 2023 r. Termin jej wdrożenia do polskiego prawa to 17 października 2024 r.
Kogo dotyczą przepisy?
- Administracja publiczna: 27 905 podmiotów
- Komunikacja elektroniczna: 3784 podmioty
- Produkcja, przetwarzanie i dystrybucja żywności: 1204 podmioty
- Zdrowie: 1248 podmiotów
- Produkcja, z wyłączeniem wyrobów medycznych: 1120 podmiotów
- Bankowość i infrastruktura rynków finansowych: 547 podmiotów
- Energia: 365 podmiotów
- Infrastruktura cyfrowa (bez komunikacji elektronicznej): 462 podmioty
- Produkcja wyrobów medycznych i diagnostyka in vitro: 44 podmioty
- Usługi cyfrowe: 40 podmiotów
- Zarządzanie ICT: 43 podmioty
- Badania naukowe: 169 podmiotów
- Produkcja, wytwarzanie i dystrybucja chemikaliów: 214 podmioty
- Gospodarowanie odpadami: 276 podmiotów
- Usługi pocztowe i kurierskie: 280 podmiotów
- Woda pitna: 268 podmiotów
- Ścieki: 102 podmioty
- Transport: 450 podmiotów
- Transport wodny: 11 podmiotów