Impementacja Dyrektywy NIS – cyberbezpieczeństwo w Polsce

Dnia 21 listopada 2018 r. opublikowane zostało rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny, a tym samym zakończył się w Polsce proces implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa NIS), którego pierwszym etapem było przyjęcie do polskiego porządku prawnego ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

Jak zatem ukształtowany został system cyberbezpieczeństwa w Polsce?

Przepisy ustawy nakładają określone obowiązki na dostawców usług cyfrowych, podmioty publiczne oraz operatorów tzw. usług kluczowych – podmioty operujące m.in. w sektorze energii, transportu, bankowości i infrastruktury rynków finansowych, infrastruktury cyfrowej oraz ochrony zdrowia. Nie każdy podmiot funkcjonujący na rynku jest zatem obowiązany do jej stosowania.

Ustawa nakłada na operatorów usług kluczowych, dostawców usług cyfrowych oraz podmioty publiczne generalny obowiązek zapewnienia bezpieczeństwa informacji oraz systemów informatycznych, m.in. poprzez prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu, wdrożenie odpowiednich środków zapobiegawczych i ograniczających wpływ incydentów na bezpieczeństwo wykorzystywanego systemu informacyjnego, systematyczne zbieranie informacji o zagrożeniach cyberbezpieczeństwa, wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, a także środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.

Nadzór nad stosowaniem przepisów ustawy jest sprawowany na szczeblu ministerialnym. Ustawa przewiduje kary finansowe za naruszenie obowiązków nałożonych na podmioty obowiązane do jej stosowania. Wysokość kar zależy od rodzaju naruszenia i może być nałożona do maksymalnej wysokości 150.000,00 zł. W przypadku stwierdzenia uporczywego naruszania przepisów ustawy, powodującego bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla bezpieczeństwa państwa, porządku publicznego lub życia i zdrowia ludzi, albo zagrożenie wywołania poważnej szkody majątkowej organ nadzoru upoważniony jest do nałożenia kary w wysokości do 1.000.000,00 zł.

radca prawny Ewa Lejman

aplikant radcowski Kamila Spalińska