Kancelaria transportowa
Zmień język

Skontaktuj się z Nami

+48 509 894 573

Dyrektywa SIN-2 czyli podstawa do zmiany ustawy o krajowym systemie cyberbezpieczeństwa.

Jak polski ustawodawca zamierza dostosować przepisy krajowe do przepisów unijnych w zakresie cyberbezpieczeństwa. Czy szykuje się cyberrewolucja dla polskich przewoźników, jakie nowe obowiązki ich czekają i co grodzi podmiotom, które zbagatelizują nowe przepisy? 

  1. Nowy katalog podmiotów objętych obowiązkami z zakresu cyberbezpieczeństwa

Dziś ustawa o Krajowym systemie bezpieczeństwa wymienia katalog podmiotów, które są zobowiązane do wprowadzenia dodatkowych (specjalnych) zabezpieczeń w zakresie cyberbezpieczeństwa. Obejmuje on głównie podmioty wykonujące usługi z zakresu cyberbezpieczeństwa oraz podmioty strategiczne dla polskiej gospodarki tj. BGK, NBP, UDT, po nowelizacji ten katalog ma się znacznie rozszerzyć- także o podmioty z sektora prywatnego oraz uczestników łańcucha dostaw. 

Nowe przepisy określają warunki objęcia danego podmiotu obowiązkami wynikającymi z ustawy, a także procedurę umieszczenia go w wykazie podmiotów kluczowych lub ważnych.

Podmioty kluczowe czyli osoby fizyczne, osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej: 

Podmioty ważne czyli osoby fizyczne, osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej

Oprócz tego, za podmiot ważny uznawany będzie także

Najogólniej rzecz ujmując, dla oceny, czy dany podmiot jest zobowiązany do wprowadzenia zmian w swoim przedsiębiorstwie, pod uwagę będą brane kryterium wielkościowe i ważności dla gospodarki. Kryterium wielkości – obejmuje co do zasady średnich i dużych przedsiębiorców (zatrudniających powyżej 50 pracowników i z obrotem do lub powyżej 10 mln euro). Kryterium ważnościowe- określa katalog podmiotów kluczowych, do którego jest zaliczony np. transport drogowy w zakresie organów administracji drogowej oraz operatorów inteligentnych systemów transportowych, w których technologie informatyczne i komunikacyjne stosowane są w obszarze transportu drogowego, obejmującym infrastrukturę, pojazdy i użytkowników, oraz w zarządzaniu ruchem i zarządzaniu mobilnością, jak również do interfejsów z innymi rodzajami transportu.

Co ważne zmiany wywołane dyrektywą NIS 2, zakładają samoidentyfikację podmiotów, które zobowiązane są następnie złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych. Nowe przepisy umożliwiają jednak wpisanie określonego podmiotu do wykazu, jeżeli nie złożył on wniosku o wpis, a spełnia przesłanki uznania go za kluczowy lub ważny. Jest to istotna zmiana, bowiem w aktualnie podmioty usług kluczowych byli wyznaczani w drodze decyzji administracyjnej.

  1. Nowe obowiązki

W ramach nowych przepisów, podmioty kluczowe i ważne będą zobowiązane do przygotowania i wdrożenia:

  1. polityki bezpieczeństwa systemu informacyjnego oraz metodyki szacowania ryzyka
  2. procesu zarządzania incydentami
  3. planów działania i polityki awaryjnej umożliwiającej ciągłe i niezakłócone świadczenie usługi
  4. dokumentacji określającej bezpieczeństwo łańcucha dostaw produktów, usług i procesów w tym polityk bezpieczeństwa stron trzecich
  5. polityki i procedury służących do oceny skuteczności środków zarządzania ryzykiem

Ponadto podmioty kluczowe i ważne będę musiały przeprowadzać cykliczne szkolenia pracowników oraz na bieżąco monitorować bezpieczeństwo systemów teleinformatycznych.

Warto także zwrócić uwagę, że nowe regulacje analogicznie jak miało to miejsce dotychczas, nakładają na podmioty ważne i kluczowe obowiązek zgłaszania incydentów poważnych tj. mający istotny wpływ na świadczenie przez podmiot kluczowy lub ważny usług, jeśli:

  1. Nadzór nad podmiotami kluczowymi i ważnymi 

Nowe przepisy będą nadawały uprawnienia nadzorcze wobec podmiotów kluczowych i ważnych organom właściwym do spraw cyberbezpieczeństwa. W ramach nadzoru wskazane organy będą mogły: 

  1. prowadzić kontrole w siedzibie podmiotu kluczowego/ ważnego;
  2. zobowiązać podmiot kluczowy/ważny do przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi;
  3. zlecić CSIRT: MON, NASK, GOV lub sektorowym dokonanie oceny bezpieczeństwa systemu informacyjnego podmiotu;
  4. wystąpić z wnioskiem o udzielenie informacji niezbędnych do oceny: 

4. Dotkliwe kary pieniężne 

Nowe przepisy, przewidują nowy zakres kar pieniężnych dla podmiotów kluczowych i ważnych, który zakłada, że za niewypełnianie obowiązków wynikających z przepisów o cyberbezpieczeństwie  na podmiot kluczowy może zostać nałożona kara w wysokości do 10 milionów euro (wyrażona w złotych) lub 2% przychodów z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, a na podmiot ważny – do 7 milionów euro lub 1,4% przychodu

Podsumowując planowane zmiany mogą wywołać wiele pytań i wątpliwości zaczynając od ustalenia, czy dany podmiot faktycznie będzie podlegał pod regulacje znowelizowanej ustawy o Krajowym systemie cyberbezpieczeństwa wynikające z Dyrektywy NIS2, w jaki sposób w praktyce dostosować infrastrukturę przedsiębiorstwa do nowych obowiązków i jak skutecznie uniknąć kary pieniężnej, której wysokość może doprowadzić do zamknięcia biznesu – jeśli mają Państwa powyższe pytania lub chcieliby otrzymać więcej informacji na temat opisany w niniejszym artykule zapraszam do kontaktu z Kancelarią. 

Autor: Patrycja Szostek, radca prawny w kancelarii prawnej Trans Lawyers

Kancelaria transportowa
  • Trans Lawyers Kancelaria Prawna
  • ul. L. Petrażyckiego 60/1
  • 52-434 Wrocław
  • NIP: 6912409437
  • REGON: 381295030
  • Nr rachunku mBank S.A
  • 30 1140 2004 0000 3102 7804 3775
Kancelaria transportowa
  • Biurowiec Black&White
  • ul. Mokronoska 2/307,
  • 52-407 Wrocław
  • NIP: 69212409437
  • REGON: 381295030
  • Nr rachunku mBank S.A
  • 30 1140 2004 0000 3102 7804 3775
  • Copyright © 2023 Trans-Lawyers
  • Wszelkie prawa zastrzeżone
  • Wszelkie prawa zastrzeżone

Designed by

Kancelaria transportowa

Powerd by

Kancelaria transportowa

Ustawienia języka: