Obowiązek czy nowy standard rynkowy?
Stosowanie się do wymogów cyberbezpieczeństwa wobec rosnącej liczby cyberataków będzie istotne dla kwestii wizerunkowych i finansowych wielu podmiotów gospodarczych
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS 2), a w ślad za nią projekt nowelizacji ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (u.k.s.c.) istotnie modyfikują ramy systemu cyberbezpieczeństwa. Wymagania i obowiązki zostaną zwiększone, mają też objąć szerszy zakres podmiotów, jednak konsekwencje wprowadzanych zmian mogą sięgnąć dalej.
Projekt nowelizacji u.k.s.c. proponuje rozszerzenie katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki. Do sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej zgodnie z dyrektywą NIS 2 w nowelizacji dodano sektory: gospodarowanie odpadami, zarządzanie ICT, przestrzeń kosmiczną, pocztę, produkcję, produkcję i dystrybucję chemikaliów, produkcję i dystrybucję żywności. Dyrektywa NIS 2 wprowadza podział na podmioty kluczowe i podmioty ważne. Z kolei polski ustawodawca, implementując dyrektywę, uznał, że głównym kryterium podziału będzie wielkość podmiotu. I tak co do zasady podmioty, które spełniają warunki dla średniego przedsiębiorstwa, uznawane są za podmioty ważne, a te, które przewyższają te warunki, uznawane są za podmioty kluczowe. Nie ma znaczenia to, w jakiej branży działają.