Dyrektywa wprowadza dwie jasne kategorie podmiotów: kluczowe i ważne. Różnica pomiędzy podmiotami ważnymi i kluczowymi wyraża się w stosowaniu środków nadzoru. W przypadku podmiotów ważnych audyty są przeprowadzane po naruszeniach, nie są one też objęte kontrolami wyrywkowymi.
Transport wśród kluczowych sektorów
Dyrektywa obejmie 11 sektorów: energetyka, transport, bankowość, infrastruktura rynku finansowego, ochrona zdrowia, wodociągi, spółki wodno- kanalizacyjne, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i produkcja żywności.
Czytaj więcej
Firmy produkcyjne zaczynają inwestować, co ożywi gospodarkę i da pracę także branży logistycznej.
Na listę trafili też dostawcy produktów krytycznych, w tym systemów IT do sterowania ruchem kolejowym, transportem miejskim czy dostawami do strategicznych obiektów, a także operatorzy usług pocztowych i kurierskich.
Firmy z tych obszarów zostały zobligowane do regularnego przedstawiania dowodów na prowadzenie realnej polityki cyberbezpieczeństwa, oceny ryzyka, a także przeprowadzania audytów bezpieczeństwa, powiadamiania władz o wszelkich nieprawidłowościach oraz podejmowania działań w celu przeciwdziałania zagrożeniom.
Za nieprzestrzeganie przepisów grozi grzywna do 10 mln euro i co najmniej 2 proc. globalnych obrotów dla podmiotów kluczowych i do 7 mln euro i co najmniej 1,4 proc. dla podmiotów ważnych. W pierwszej kolejności firmy zostaną wezwane do usunięcia uchybień lub zapewnienie zgodności, a w przypadku braku pożądanych działań mogą stracić certyfikaty czy zezwolenia na świadczenie usług, lub nawet na całość działalności gospodarczej. Kary przewidziane są też dla dyrektorów generalnych i przedstawicieli prawnych spółek. Mogą oni zostać zawieszeni w ramach funkcji. – Stoimy w obliczu nowego sposobu prowadzenia wojny – wskazuje Krzysztof Wójtowicz z ICsec, licencjonowanego dostawcy usług z zakresu cyberbezpieczeństwa dla przemysłu.
Państwa UE mają ściślej współpracować w ramach zwalczania cyberprzestępczości. Powołana zostanie Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi.
Wdrożenie w Polsce
Na początku stycznia w wykazie prac legislacyjnych i programowych Rady Ministrów pojawiła się kolejna wersja projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Znalazły się w niej zapisy dotyczące współpracy operatorów przy tworzeniu strategii bezpieczeństwa, zgłaszania incydentów, zasad przyznawania certyfikatów. – Projekt wprowadza też niezwykle istotną w kontekście wykonania postanowień dyrektywy kategorię Operatora Strategicznej Sieci Bezpieczeństwa – zaznacza Wójtowicz.
Czytaj więcej
Przewoźnicy, spedytorzy i koncerny paliwowe protestują przeciwko planom usunięcia z ulic samochodów spalinowych.
Będzie to jednoosobowa spółka Skarbu Państwa, przedsiębiorca telekomunikacyjny, który posiada infrastrukturę telekomunikacyjną niezbędną do zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Musi posiadać środki techniczne i organizacyjne, zapewniające bezpieczne przetwarzanie danych w sieci telekomunikacyjnej czy świadectwo bezpieczeństwa przemysłowego pierwszego stopnia.
Ustawa o KRC w zaproponowanym brzmieniu wywołuje sprzeciw wśród małych i średnich przedsiębiorstw, dla których rządowy projekt wiąże się z koniecznością wdrożenia blisko 200 nowych obowiązków. – Oznaczać to będzie spore wydatki na poprawę stanu infrastruktury, szkolenia czy zatrudnienie nowych pracowników – zaznacza ekspert z ICsec. Ostrzega, że inwestycje mogą doprowadzić do fali bankructw.
Sprzeciw firm budzi krótkie vacatio legis projektu. Wyniesie zaledwie 30 dni. – To zdecydowanie zbyt mało, gdyż w przypadku małej i średniej firmy wdrożenie wymaganych zmian może zająć nawet kilkanaście miesięcy – szacuje Wójtowicz.