Ustawa wdrażająca dyrektywę NIS2 została podpisana przez Prezydenta. Wejdzie w życie po upływie miesiąca od ogłoszenia. Po jej wejściu w życie, obowiązki w zakresie cyberbezpieczeństwa obejmą znacznie szerszą grupę podmiotów niż dotychczasowe przepisy o krajowym systemie cyberbezpieczeństwa.

Najważniejsze zmiany

• rozszerzenie zakresu podmiotowego (podmioty kluczowe i ważne),
• obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI),
• zgłaszanie incydentów w 24h / 72h,
• większa odpowiedzialność kierownictwa,
• obowiązek szkoleń dla wszystkich członków zarządu,
• audyty (dla podmiotów kluczowych),
• realne sankcje administracyjne.

Co to jest SZBI?

SZBI to systemowe zarządzanie bezpieczeństwem informacji i ciągłością działania, obejmujące wszystkie systemy informacyjne wykorzystywane w procesach wpływających na świadczenie usług. Ochroną mają być objęte wszystkie systemy wykorzystywane do prowadzenia działalności.

Co obejmuje SZBI?

SZBI obejmuje w szczególności:

Zarządzanie ryzykiem: systematyczne szacowanie ryzyka wystąpienia incydentu, identyfikacja, analiza i ocena ryzyka, decyzje dotyczące postępowania z ryzykiem, dokumentowanie procesu.

Polityki bezpieczeństwa: polityka szacowania ryzyka, polityka bezpieczeństwa systemów informacyjnych, polityki tematyczne (np. dostęp, backup, kryptografia).

Bezpieczeństwo fizyczne: kontrola dostępu do pomieszczeń, ochrona infrastruktury.

Łańcuch dostaw ICT: ocena dostawców, bezpieczeństwo sprzętu i oprogramowania, zależności technologiczne.

Monitorowanie: System informacyjny wykorzystywany do świadczenia usług musi być: objęty monitorowaniem w trybie ciągłym, umożliwiać odtworzenie zdarzeń (logowanie), zapewniać rozliczalność działań.

Cyberhigiena: aktualizacje oprogramowania, zarządzanie podatnościami,  bezpieczne środki komunikacji.

Co oznacza w praktyce obowiązek wprowadzenia SZBI?

• identyfikację świadczonych usług (rozumianych szeroko – w także produkcji),

• mapowanie procesów służących świadczeniu tych usług,
• identyfikację systemów informacyjnych wykorzystywanych w tych procesach,
• przeprowadzenie oceny ryzyka,
• wdrożenie adekwatnych środków,
• udokumentowanie systemu,
• zapewnienie nadzoru kierownictwa.

Kogo dotyczy?

Nowe regulacje obejmą ponad 18 sektorów gospodarki i potencjalnie dziesiątki tysięcy podmiotów.  W praktyce oznacza to, że wiele średnich firm, które dotychczas nie podlegały reżimowi KSC, po raz pierwszy znajdzie się w zakresie obowiązków z obszaru cyberbezpieczeństwa.

Więcej artykułów o prawie HR w newsletterze – PRO HR Luty 2026