Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wprowadza fundamentalną zmianę w postrzeganiu odpowiedzialności za bezpieczeństwo cyfrowe. Do tej pory incydenty traktowano często jako awarie techniczne. Po wejściu w życie nowych przepisów, cyberbezpieczeństwo staje się elementem ładu korporacyjnego (governance). Ustawodawca mówi wprost: to kierownictwo podmiotu odpowiada za to, czy firma jest bezpieczna.
Osobista odpowiedzialność kadry zarządzającej To jeden z najgorętszych tematów nowelizacji. Ustawa nakłada na “kierowników podmiotów” (członków zarządu, dyrektorów) konkretne obowiązki:
-
Zatwierdzanie środków zarządzania ryzykiem: Zarząd nie może delegować odpowiedzialności “w ciemno” na dział IT. Musi świadomie zatwierdzić przyjęte procedury.
-
Nadzór nad wdrażaniem: Kierownictwo musi aktywnie nadzorować, czy systemy bezpieczeństwa faktycznie działają.
-
Obowiązkowe szkolenia: Członkowie organów zarządzających mają ustawowy obowiązek podnoszenia wiedzy w zakresie cyberbezpieczeństwa, aby mogli skutecznie oceniać ryzyka.
Kary, które mogą zaboleć System sankcji w nowym KSC jest wzorowany na RODO, co oznacza, że kary mają być “skuteczne, proporcjonalne i odstraszające”.
-
Dla podmiotów kluczowych: do 10 000 000 EUR lub 2% łącznego rocznego światowego obrotu.
-
Dla podmiotów ważnych: do 7 000 000 EUR lub 1,4% łącznego rocznego światowego obrotu. Co ważne, ustawa przewiduje również kary pieniężne nakładane bezpośrednio na osoby pełniące funkcje kierownicze, jeśli ich zaniedbania doprowadziły do naruszenia przepisów.
Audyt bezpieczeństwa – Twój “bezpiecznik” prawny Jak zarząd może dowieść, że dopełnił należytej staranności? Kluczowym narzędziem jest obowiązkowy audyt bezpieczeństwa systemów informacyjnych. Podmioty kluczowe muszą przeprowadzać taki audyt co najmniej raz na dwa lata. Musi on być wykonany przez niezależną stronę trzecią (audytora zewnętrznego) posiadającego odpowiednie certyfikaty (np. CISA, CISM czy uprawnienia audytora ISO 27001). Audyt nie tylko wykrywa luki, ale jest też dowodem dla organu nadzorczego, że firma aktywnie zarządza swoim bezpieczeństwem.
Jak przygotować się do kontroli? Organy nadzorcze (odpowiednie ministerstwa dla danych sektorów) zyskały szerokie uprawnienia. Mogą prowadzić kontrole doraźne, żądać dostępu do dokumentacji, a nawet przeprowadzać inspekcje na miejscu.
W idealdata.pl pomagamy kadrze zarządzającej “spać spokojnie”. Przeprowadzamy audyty przedkontrolne, które wskazują słabe punkty, zanim zrobi to regulator. Pomagamy również w szkoleniu zarządów, tłumacząc język techniczny na język ryzyka biznesowego i finansowego.
Podsumowanie Nowe KSC sprawia, że cyberbezpieczeństwo staje się integralną częścią zarządzania spółką. Kary są wysokie, ale ich celem nie jest gnębienie firm, lecz wymuszenie profesjonalizacji ochrony. W ostatnim wpisie z naszej serii podsumujemy wszystkie kroki i stworzymy mapę drogową, która pozwoli Twojej firmie sprawnie przejść proces certyfikacji i dostosowania.
