Nowe obowiązki cyberbezpieczeństwa dla małych firm. Co musisz wiedzieć
Nowelizacja ustawy o cyberbezpieczeństwie obowiązuje od kwietnia 2024. Małe firmy, producenci żywności i części samochodowych muszą się zarejestrować.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), która weszła w życie 3 kwietnia 2024, wprowadza nowe obowiązki dla firm z sektorów wcześniej nieobjętych regulacją, w tym producentów żywności, dystrybutorów i producentów sprzętu transportowego — a wiele z nich o tym nie wie.
Kto musi się dostosować do nowych przepisów?
Nowelizacja UKSC podzieliła firmy na dwie kategorie: podmioty kluczowe i ważne. Nowe przepisy dotyczą przede wszystkim firm z sektorów, które do tej pory nie podlegały ustawie. Radca prawny Tomasz Zalewski zauważa, że producenci żywności czy części samochodowych są zaskoczeni, gdy dowiedzą się, że podlegają krajowemu systemowi cyberbezpieczeństwa. Problem dotyczy szczególnie małych i mikrofirm, które uważają, że regulacja ich nie obowiązuje ze względu na rozmiar.
Jednak ekspertka cyberbezpieczeństwa Joanna Wziątek podkreśla, że wielkość firmy nie jest kryterium. Organ właściwy do spraw cyberbezpieczeństwa może uznać za podmiot kluczowy lub ważny także taką firmę, która jako jedyna świadczy usługę o kluczowym znaczeniu dla krytycznej działalności społecznej lub gospodarczej. Dotyczy to również firm, które są ogniwem łańcucha dostaw — jeśli ich awaria zatrzymałaby proces gospodarczy, mogą podlegać ustawie niezależnie od wielkości.
Obowiązki samoidentyfikacji i rejestracji
Firmy objęte znowelizowaną ustawą muszą samodzielnie ocenić, czy spełniają kryteria dla podmiotu kluczowego lub ważnego — to proces zwany samoidentyfikacją. Jeśli odpowiedź jest pozytywna, muszą zarejestrować się w wykazie podmiotów KSC. Termin rejestracji upłynął 3 października 2024 roku.
Resort cyfryzacji poinformował, że w ciągu dwóch miesięcy od uruchomienia wpisów do wykazu z obowiązku rejestracji wywiązało się zaledwie 200 firm. To liczba alarmująco niska, biorąc pod uwagę skalę zmian i liczbę potencjalnie objętych podmiotów.
Terminy i konsekwencje niezastosowania się
| Ważny termin | Data | Znaczenie |
|---|---|---|
| Wejście w życie nowelizacji | 3 kwietnia 2024 | Początek obowiązywania nowych przepisów |
| Termin rejestracji w wykazie KSC | 3 października 2024 | Ostateczny dzień na zarejestrowanie się |
| Termin dostosowania się do wymogów | 3 kwietnia 2027 | Czas na wdrożenie systemu zarządzania bezpieczeństwem |
| Początek nakładania kar | 3 kwietnia 2028 | Pierwsze kary finansowe za niezastosowanie się |
Co oznacza to dla małych firm?
Nowe przepisy wymagają od firm wdrożenia systemu zarządzania bezpieczeństwem informacji, regularnego oceniania ryzyka cyberincydentów, wdrożenia środków technicznych i organizacyjnych proporcjonalnych do oszacowanego ryzyka oraz procedur zarządzania incydentami. Dla małych firm to poważne wyzwanie, szczególnie pod względem budżetu.
Joanna Wziątek ostrzega, że specjaliści od cyberbezpieczeństwa są drodzy i mało dostępni. Małe firmy mogą nie mieć środków na profesjonalne wdrożenie wymogów. Dlatego ekspertka zaleca praktyczne podejście: firma powinna ocenić swój “apetyt na ryzyko” — czyli określić, jakie ryzyko może zaakceptować, a jakie musi ograniczyć.
Praktyczne kroki dla małych firm
Wziątek rekomenduje, aby małe firmy zaczęły od trzech rzeczy:
- Spokojnej samoidentyfikacji — oceny, czy rzeczywiście podlegają ustawie
- Mapy procesów krytycznych — zidentyfikowania, które procesy są kluczowe dla działalności
- Sprawdzenia zależności — zbadania, od których systemów i dostawców faktycznie zależy ciągłość działania
Ważne jest, aby firma znała swoje aktywa, ryzyka i zagrożenia, a następnie dobrała adekwatne środki. Sama dokumentacja schowana w segregatorze z napisem “UKSC” nie zapewnia cyberbezpieczeństwa — wymaga to realnego wdrożenia i testowania procedur.
Lepiej być ostrożnym niż narażonym
Jeśli firma ma wątpliwości, czy podlega nowym przepisom, eksperci radzą zapisanie się do wykazu “na wyrost”. Podmiot wpisany do wykazu, który w rzeczywistości nie podlega ustawie, może zostać z niego wykreślony przez organ właściwy. Natomiast niezarejestrowanie się, gdy firma faktycznie podlega ustawie, niesie znacznie większe ryzyko sankcji finansowych.
Radca prawny Tomasz Zalewski postuluje, aby Ministerstwo Cyfryzacji rozpoczęło szerszą kampanię informacyjną nakierowaną na konkretne branże, które wcześniej nie podlegały ustawie. Najlepszym kanałem byłoby dotarcie do firm przez izby handlowe i organizacje branżowe — w ten sposób wszyscy zainteresowani dowiedzieliby się o nowych regulacjach.
Co to oznacza dla Twojego biznesu?
Jeśli prowadzisz firmę w sektorach produkcji żywności, dystrybucji, transportu lub świadczysz usługę o istotnym znaczeniu dla gospodarki, nie możesz już ignorować cyberbezpieczeństwa. Nowe przepisy zmusiły przedsiębiorców do spojrzenia na swoją działalność przez pryzmat bezpieczeństwa cybernetycznego i wpływu na łańcuchy dostaw. To nie jest już opcjonalne — to wymóg ustawy z konkretnymi terminami i karami finansowymi. Warto działać proaktywnie: dokonać samoidentyfikacji, zarejestrować się w wykazie (jeśli się kwalifikujesz) i zacząć przygotowania do pełnego wdrożenia wymogów do kwietnia 2027 roku.
Najczęstsze pytania
Czy moja mała firma podlega nowej ustawie o cyberbezpieczeństwie?
Jeśli prowadzisz działalność w sektorach takich jak produkcja żywności, dystrybucja, produkcja sprzętu transportowego lub świadczysz usługę o kluczowym znaczeniu dla gospodarki, możesz podlegać ustawie niezależnie od wielkości firmy. Musisz dokonać samoidentyfikacji i ocenić, czy jesteś podmiotem kluczowym lub ważnym.
Jaki jest termin rejestracji w wykazie KSC?
Firmy spełniające kryteria podmiotu kluczowego lub ważnego muszą zarejestrować się w wykazie podmiotów KSC do 3 października 2024. Do tej daty z obowiązku wywiązało się 200 firm.
Jakie są konsekwencje braku rejestracji?
Przedsiębiorcom grożą kary finansowe za niewywiązanie się z nowych obowiązków. Kary będą mogły być nakładane od 3 kwietnia 2028 roku. Eksperci radzą, że ryzyko niezarejestrowania się jest większe niż ostrożne wpisanie się do wykazu.
Co muszę wdrożyć, aby spełnić wymogi ustawy?
Musisz wdrożyć system zarządzania bezpieczeństwem informacji, regularne oceniać ryzyko incydentów, wdrożyć środki techniczne i organizacyjne proporcjonalne do ryzyka, oraz mieć procedury zarządzania incydentami. Masz czas do 3 kwietnia 2027.
Ile kosztuje wdrożenie wymogów cyberbezpieczeństwa?
Koszty zależą od wielkości firmy i zakresu wymaganych zmian. Eksperci podkreślają, że usługi specjalistów są drogie, dlatego małe firmy powinny zacząć od oceny ryzyka i mapy procesów krytycznych, a następnie dobierać rozwiązania adekwatne do budżetu.
Na podstawie: Bankier.pl. Tekst opracowany redakcyjnie.