Nowa ustawa w pracach rządu. Będą certyfikaty i ogromne kary

W obliczu rosnących zagrożeń w przestrzeni cyfrowej, rząd zapowiada wprowadzenie nowej ustawy mającej na celu wzmocnienie systemu certyfikacji cyberbezpieczeństwa w Polsce. Projektowane przepisy mają dostosować nasze prawo do wymogów unijnej dyrektywy NIS2, stawiając przed przedsiębiorstwami nowe wyzwania w zakresie ochrony danych i infrastruktury IT.

Dlaczego potrzebujemy nowych regulacji?

W dobie cyfrowej transformacji firmy gromadzą i przetwarzają ogromne ilości danych, w tym wrażliwe dane osobowe. Unia Europejska, świadoma zagrożeń płynących z tej sytuacji, dąży do ujednolicenia i zaostrzenia norm bezpieczeństwa we wszystkich państwach członkowskich. Dyrektywa NIS2 to jasny sygnał, że wspólnota nie będzie biernie przyglądać się, jak cenne informacje są narażone na ataki hakerów czy wycieki.

Nowe przepisy mają na celu zmobilizowanie przedsiębiorstw do inwestycji w zabezpieczenia i dołączenie do krajowego systemu cyberbezpieczeństwa. To ważne, bo wraz z postępującą cyfryzacją rośnie też skala i częstotliwość incydentów w sieci.

Co zmieni się dla firm?

Projekt ustawy przewiduje znaczące rozszerzenie katalogu podmiotów objętych krajowym systemem cyberbezpieczeństwa (KSC). Do grona firm, które będą musiały dostosować się do nowych wymogów, dołączą m.in. przedsiębiorstwa z sektora telekomunikacji, usług pocztowych i kurierskich, chmury obliczeniowej, centrów danych, gospodarki ściekami i odpadami, a także administracja publiczna.

Dla wielu z tych podmiotów będzie to oznaczało konieczność modernizacji systemów IT, wdrożenia nowych procedur bezpieczeństwa i przejścia przez proces certyfikacji. Nie obędzie się bez dodatkowych nakładów finansowych i czasowych na implementację wymaganych rozwiązań.

Na czym będzie polegać certyfikacja?

Ustawa ma wprowadzić przejrzyste procedury certyfikacyjne, określające sposób weryfikacji zgodności z normami bezpieczeństwa oraz nadzór nad ich przestrzeganiem. Kluczową rolę w tym procesie będzie pełnił minister właściwy ds. informatyzacji jako krajowy organ ds. certyfikacji cyberbezpieczeństwa. To on będzie zatwierdzał certyfikaty o najwyższym poziomie zaufania.

Nad prawidłowością procesów certyfikacyjnych czuwać ma także Polskie Centrum Akredytacji, nadzorując podmioty uprawnione do wydawania certyfikatów. Ustawa przewiduje możliwość kontroli w firmach objętych KSC oraz sankcje za nieprzestrzeganie nałożonych obowiązków.

Kiedy zmiany wejdą w życie?

Według zapowiedzi, projekt ustawy ma trafić pod obrady Rady Ministrów w trzecim kwartale 2024 roku. To oznacza, że przedsiębiorstwa powinny już teraz rozpocząć przygotowania do nadchodzących zmian, analizując swoje systemy pod kątem zgodności z nowymi wymaganiami.

Choć dostosowanie się do zaostrzonych norm bezpieczeństwa może być wyzwaniem organizacyjnym i finansowym, to długofalowo leży w interesie samych firm. W końcu żadne przedsiębiorstwo nie chce narazić się na utratę zaufania klientów czy wysokie kary w wyniku zaniedbań w sferze cyberbezpieczeństwa.