„`html
Od 7 maja do 3 października br. podmioty podlegające pod Krajowy System Cyberbezpieczeństwa (KSC) mają obowiązek wpisać się do Wykazu KSC. Dotyczy to między innymi sektorów zarządzania usługami teleinformatycznymi (ICT), odprowadzania ścieków oraz produkcji i dystrybucji żywności. Kluczowe jest, aby każda firma samodzielnie oceniła, czy podlega pod KSC.
Nowelizacja ustawy o KSC i nowe obowiązki
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, która weszła w życie 3 kwietnia bieżącego roku, wprowadziła podział na podmioty kluczowe i ważne, a także objęła nowymi przepisami kolejne sektory. Należą do nich m.in. zbiorowe odprowadzanie ścieków, zarządzanie usługami ICT oraz działalność związana z przestrzenią kosmiczną.
Zgodnie z nowymi regulacjami, objęte nimi podmioty muszą spełnić szereg nowych obowiązków, w tym obowiązek wpisania się do Wykazu KSC. Proces ten jest możliwy od 7 maja poprzez stronę internetową https://wykaz-ksc.gov.pl, a wnioski można składać do 3 października br.
Kto nie musi składać wniosku o wpisanie do wykazu
Obowiązku składania wniosku o wpisanie do wykazu nie mają podmioty, które zostały objęte wpisem z urzędu. Dotyczy to podmiotów publicznych, przedsiębiorców telekomunikacyjnych, dostawców usług cyfrowych oraz podmiotów, które przed nowelizacją posiadały status operatorów usług kluczowych. Do 6 maja br. Ministerstwo Cyfryzacji miało obowiązek dokonać ich wpisu.
Przede wszystkim każda firma musi zweryfikować, czy jej działalność mieści się w sektorach lub podsektorach określonych w nowelizacji ustawy o KSC. Załącznik nr 1 do ustawy wymienia sektory kluczowe, takie jak: energetyka; transport; ochrona zdrowia; bankowość i infrastruktura rynków finansowych; zaopatrzenie w wodę pitną i jej dystrybucja; zbiorowe odprowadzanie ścieków; infrastruktura cyfrowa oraz przestrzeń kosmiczna.
Zgodnie z załącznikiem nr 2, do sektorów ważnych zaliczają się: usługi pocztowe; inwestycje w energetyce jądrowej; gospodarowanie odpadami; produkcja, wytwarzanie i dystrybucja chemikaliów; produkcja, wytwarzanie i dystrybucja żywności; dostawcy usług cyfrowych oraz badania naukowe. Do sektora ważnego należą również firmy produkujące między innymi: wyroby medyczne; komputery; wyroby elektroniczne i optyczne; urządzenia elektryczne; pojazdy samochodowe, przyczepy i naczepy; a także pozostały sprzęt transportowy.
Po ustaleniu, czy działalność mieści się w wymienionych sektorach, kluczowe jest sprawdzenie wielkości podmiotu. Należy przy tym uwzględnić progi dla mikro, małych i średnich przedsiębiorstw. Przy obliczaniu wielkości firmy konieczne jest także uwzględnienie przedsiębiorstw powiązanych i partnerskich. Progi dla mikroprzedsiębiorstw to mniej niż 10 pracowników oraz maksymalnie 2 miliony euro obrotu rocznego lub sumy bilansowej. Dla małych firm progi wynoszą odpowiednio: mniej niż 50 pracowników i maksymalnie 10 milionów euro obrotu rocznego lub sumy bilansowej. Średnie przedsiębiorstwa to podmioty z mniej niż 250 pracownikami oraz maksymalnie 50 milionami euro obrotu rocznego lub 43 milionami euro sumy bilansowej. Duże firmy przekraczają te progi.
Warto zaznaczyć, że wszyscy przedsiębiorcy telekomunikacyjni, niezależnie od swojej wielkości, podlegają pod ustawę o KSC.
Podmiot kluczowy, podmiot ważny – analiza kryteriów
Trzecim krokiem dla przedsiębiorców jest analiza artykułu 5 ustawy o KSC, który szczegółowo określa zasady uznawania podmiotów za kluczowe lub ważne. Przepis ten wskazuje na sytuacje, w których podmiot może podlegać ustawie niezależnie od swojej wielkości, a także szczególne okoliczności uzasadniające zakwalifikowanie go do określonej kategorii. Spełnienie przesłanek z art. 5 jednoznacznie oznacza objęcie podmiotu przepisami ustawy.
Podmiot, który ustalił, że podlega pod krajowy system cyberbezpieczeństwa, powinien następnie założyć konto w Wykazie KSC, co umożliwi złożenie wniosku o wpis. Po wejściu na dedykowaną stronę internetową, należy kliknąć przycisk „Zaloguj z login.gov.pl”, wybrać metodę logowania i uwierzytelnić się.
Po pierwszym zalogowaniu system poprosi użytkownika o zarejestrowanie konta poprzez wypełnienie formularza rejestracji i zaakceptowanie wymaganych oświadczeń. Następnie na podany adres e-mail użytkownik otrzyma kod weryfikacyjny, który należy wprowadzić w odpowiednim polu. Po poprawnej weryfikacji pojawi się komunikat „Sukces”, a na adres e-mail przyjdzie potwierdzenie rejestracji.
Kolejnym krokiem jest złożenie wniosku w Wykazie KSC. Za ten proces odpowiada kierownik podmiotu lub osoba przez niego upoważniona. Należy kliknąć pole „Wpisz nowy podmiot” i wypełnić formularz wniosku. Formularz składa się z kilku sekcji, w których należy wpisać m.in. dane identyfikacyjne podmiotu (NIP, REGON, nazwa) oraz dane adresowe i kontaktowe. Po wypełnieniu i zatwierdzeniu formularza, należy kliknąć „Przejdź do podpisu” i elektronicznie podpisać wniosek, np. za pomocą Profilu Zaufanego lub aplikacji zewnętrznej. Jeśli w zakładce „Lista wniosków” pojawi się komunikat „Zatwierdzony”, oznacza to, że wpis został dokonany. Użytkownik otrzyma również potwierdzenie złożenia wniosku na adres e-mail.
Unijna dyrektywa NIS 2 i Toolbox 5G
Nowelizacja ustawy o KSC wdrożyła w Polsce unijną dyrektywę NIS 2 dotyczącą cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Nowela nakłada na organizacje z sektorów kluczowych i ważnych szereg nowych obowiązków związanych z cyberbezpieczeństwem. Należą do nich m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, regularna ocena ryzyka wystąpienia incydentów oraz zarządzanie incydentami. Do nowych obowiązków zalicza się również wdrożenie środków technicznych i organizacyjnych proporcjonalnych do oszacowanego ryzyka.
Nowymi przepisami objęta została część podmiotów publicznych, w tym urzędy, samorządy, szkoły, szpitale, instytuty badawcze oraz Polska Agresja Prasowa.
Nowela zakłada również, że podmioty kluczowe i ważne będą wymieniać się informacjami o incydentach, cyberzagrożeniach i podatnościach za pomocą systemu s46. Korzystanie z tego systemu będzie możliwe od 12 czerwca br.
Podmioty kluczowe i ważne mają czas na dostosowanie się do nowych przepisów do 3 kwietnia 2027 roku. Za niewywiązanie się z nowych obowiązków przedsiębiorcom grożą kary finansowe, które będą mogły być nakładane od 3 kwietnia 2028 roku.
Wyniki Biznes Fakty:
- Pilne działanie: Już teraz sprawdź, czy Twoja firma podlega pod KSC i jakie masz obowiązki. Termin składania wniosków mija 3 października br.
- Zrozumienie przepisów: Dokładnie przeanalizuj sektory i wielkość swojej firmy. Skorzystaj z profesjonalnego doradztwa, jeśli masz wątpliwości dotyczące kwalifikacji jako podmiot kluczowy lub ważny.
- Przygotowanie technologiczne: Zacznij wdrażać wymagane środki bezpieczeństwa i systemy zarządzania ryzykiem, aby zdążyć przed terminem dostosowania się do przepisów (do 3 kwietnia 2027 r.).
„`
Szczegóły można znaleźć na stronie internetowej : mojafirma.infor.pl