7 maja uruchomiony został Wykaz Krajowego Systemu Cyberbezpieczeństwa. Firmy nim objęte muszą się do niego wpisać. Spoczywają na nich obowiązki wynikające z wdrażania w Polsce unijnej dyrektywy NIS2. Kto podlega nowemu systemowi i jakie powinności na nim ciążą? - wskazał w informacji serwis Bankier.pl
To data, którą wielu przedsiębiorców w natłoku biznesowych spraw mogło przegapić. 7 maja ruszyła rejestracja do Wykazu Krajowego Systemu Cyberbezpieczeństwa (KSC). Muszą się w nim znaleźć firmy podlegające KSC. Na zapisanie się mają czas do 3 października. A to dopiero początek ich powinności związanych z ustawą dotyczącą cyberochrony – wskazano w treści.
Przypomniano, iż 3 kwietnia w Polsce weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Wprowadziła ona do polskiego porządku prawnego unijną dyrektywę NIS 2 dotyczącą cyberochrony oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G - czytany.
Nowe przepisy rozszerzają katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Istniejący do tej pory podział na operatorów usług kluczowych i dostawców usług cyfrowych zastąpiono innym podziałem - na podmioty kluczowe i podmioty ważne.
Muszą one wdrożyć obowiązki związane z obszarem cyberochrony. Chodzi m.in. o wprowadzenie w życie systemu zarządzania bezpieczeństwem informacji, regularną ocenę ryzyka wystąpienia incydentów i zarządzanie incydentami. Będą też musiały np. zbierać informacje o cyberzagrożeniach i podatnościach na incydenty oraz stosować środki ograniczające ich wpływ na działalność gospodarczą - wskazano.
Powyższymi obowiązkami zostaną objęte firmy z określonych branż (wymienionych na końcu tekstu). Według szacunków Ministerstwa Cyfryzacji, KSC może objąć około 38 tys. podmiotów, w tym około 27 tys. podmiotów publicznych. Przedsiębiorcy z określonych sektorów już teraz powinni przeanalizować, czy ich firmy są objęte nowymi przepisami – podkreślono dalej.
Przed złożeniem wniosku o wpis do wykazu przedsiębiorca powinien upewnić się, czy jego podmiot faktycznie spełnia kryteria ustawy dla podmiotu kluczowego lub podmiotu ważnego. Właściciele firm muszą ocenić to samodzielnie. W tym celu powinni sprawdzić profil działalności, właściwy kod PKD oraz wielkość podmiotu, uwzględniając przedsiębiorstwa powiązane i partnerskie. Jeśli spełniają kryteria, będą zobowiązani zarejestrować się w Wykazie podmiotów KSC. Jeśli przedsiębiorcy nie wpiszą się do wykazu, będą im groziły kary finansowe. Szczegółowy opis procesu samoidentyfikacji znajdziesz pod tym linkiem - podano.
Wykaz KSC jest aplikacją, która zawiera listę podmiotów kluczowych i podmiotów ważnych. Zawiera dane podmiotów, które umożliwiają współpracę z zespołami CSIRT i organami właściwymi ds. cyberbezpieczeństwa w ramach krajowego systemu cyberbezpieczeństwa. Dzięki wpisowi do wykazu przedsiębiorcy uzyskają dostęp do S46 Cyber Hub i wypełnią obowiązki nałożone ustawą, m.in. dotyczące zgłaszania incydentów – wyjaśniono.
Nowe przepisy przewidują dwa tryby wpisu firmy do wykazu. W pierwszej kolejności przedsiębiorca powinien ustalić, który z nich dotyczy jego organizacji - czytamy.
Pierwsza opcja to samorejestracja – w jej ramach przedsiębiorca składa wniosek o wpis do wykazu samodzielnie. Taka możliwość ruszyła 7 maja. Ten tryb obejmuje osoby, które prowadzą działalność w sektorze objętym ustawą (załącznik nr 1 lub nr 2), spełniają kryteria wielkościowe, a ich podmiot nie jest wpisywany do wykazu z urzędu - chodzi tu przede wszystkim o podmioty prywatne. Warto dodać, że próba umieszczenia podmiotu w wykazie w przypadku, gdy podmiot jest już w nim wpisany, w szczególności z urzędu, zakończy się błędem. Samorejestracji można dokonać pod tym linkiem. Termin składania wniosków mija 3 października - wskazano dalej.
Natomiast drugi tryb to wpis z urzędu. W tym przypadku przedsiębiorca powinien czekać na wezwanie, po którym ma uzupełnić wpis - zaznaczono.
Niektóre podmioty kluczowe lub podmioty ważne są wpisywane do wykazu przez Ministra Cyfryzacji z urzędu – bez składania wniosku o wpis. Taki wpis dotyczy:
— podmiotów publicznych,
— przedsiębiorców telekomunikacyjnych,
— dostawców usług zaufania,
— podmiotów, które wcześniej miały status operatora usługi kluczowej.
W przypadku, gdy przedsiębiorca należy do tej grupy, nie powinien składać wniosku o wpis do wykazu. Po wpisie dokonanym z urzędu otrzyma zawiadomienie i wezwanie do uzupełnienia wpisu z odpowiednim linkiem i kodem dostępu. Na uzupełnienie danych w wykazie ma sześć miesięcy od otrzymania wezwania. O wpisie z urzędu więcej można przeczytać pod tym linkiem.
Aby złożyć wniosek w ramach samorejestracji, przedsiębiorca w pierwszej kolejności powinien wejść na stronę https://wykaz-ksc.gov.pl i zalogować się przez Węzeł Krajowy (Profil Zaufany, mObywatel, e-Dowód, bankowość elektroniczna lub kwalifikowany certyfikat). Jeśli robi to pierwszy raz, musi zarejestrować konto użytkownika – zaznaczono w treści.
W kolejnym kroku powinien kliknąć „Wpisz nowy podmiot” i wypełnić formularz – dane podmiotu, klasyfikację sektorową, dane kontaktowe. W kolejnym kroku należy podpisać wniosek elektroniczne - napisano.
Wnioski do wykazu składa i podpisuje kierownik podmiotu albo osoba przez niego upoważniona. W razie konieczności do wniosku należy dołączyć udzielone pełnomocnictwo. Kolejne kroki zostały bardziej szczegółowo opisane pod tym linkiem.
Poniżej przedstawiono ustawowy podział na sektory kluczowe i ważne.
Sektory kluczowe
1. Energia:
— wydobywanie kopalin
— energia elektryczna
— ciepło
— ropa i paliwa
— gaz
— energetyka jądrowa
— wodór
2. Transport:
— lotniczy
— kolejowy
— wodny
— drogowy
3. Bankowość i infrastruktura rynków finansowych
4. Ochrona zdrowia:
— udzielanie świadczeń zdrowotnych i zdrowie publiczne
—produkcja i dystrybucja substancji czynnych, produktów leczniczych i wyrobów medycznych
5. Zaopatrzenie w wodę pitną i jej dystrybucja
6. Zbiorowe odprowadzanie ścieków
7. Infrastruktura cyfrowa:
— infrastruktura cyfrowa z wyłączeniem komunikacji elektronicznej
— komunikacja elektroniczna
8. Zarządzanie usługami ICT
9. Przestrzeń kosmiczna
10. Podmioty publiczne
Sektory ważne
1. Usługi pocztowe
2. Inwestycje energetyki jądrowej
3. Gospodarowanie odpadami:
— zbieranie odpadów
— transport odpadów
— przetwarzanie odpadów, w tym sortowanie, wraz z nadzorem nad wymienionymi — działaniami, a także późniejsze postępowanie z miejscami unieszkodliwiania odpadów
— działania wykonywane w charakterze sprzedawcy odpadów lub pośrednika w obrocie odpadami
4. Produkcja, wytwarzanie i dystrybucja chemikaliów
5. Produkcja, wytwarzanie i dystrybucja żywności
6. Produkcja:
— wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro
— komputerów, wyrobów elektronicznych i optycznych
— urządzeń elektrycznych
— maszyn i urządzeń, gdzie indziej niesklasyfikowana
— pojazdów samochodowych, przyczep i naczep
— pozostałego sprzętu transportowego
7. Dostawcy usług cyfrowych
8. Badania naukowe
9. Podmioty publiczne, inne niż wymienione w Załączniku nr 1- zaznaczono w podsumowaniu. (jmk )
Foto: Pixabay.com
Źródło: Bankier.pl
Portal internetowy ForumBiznesu.pl
Portal internetowy ForumBiznesu.pl