UKSC: Tysiące firm nieświadomie łamią prawo. Termin 3 października
Nowelizacja ustawy o cyberbezpieczeństwie obowiązuje od kwietnia. Firmy muszą się zarejestrować do 3 października. Sprawdź, czy Twój biznes musi się dostosować.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) wprowadza nowe obowiązki dla tysięcy firm w Polsce, a wiele z nich wciąż o tym nie wie. Przepisy weszły w życie 3 kwietnia 2024 r., a firmy mają czas do 3 października 2024 r. na dokonanie samoidentyfikacji i rejestrację w wykazie Krajowego Systemu Cyberbezpieczeństwa (KSC). Problem w tym, że w ciągu pierwszych dwóch miesięcy zarejestrowało się zaledwie 200 firm — liczba znacznie poniżej oczekiwań.
Kto musi się zarejestrować w wykazie KSC?
Nowelizacja UKSC rozszerzyła katalog sektorów objętych przepisami. Do nowych obowiązanych podmiotów należą:
- producenci żywności,
- dystrybutorzy żywności,
- producenci sprzętu transportowego,
- podmioty kluczowe i ważne w sektorach wcześniej objętych ustawą.
Kluczowe słowo to “samoidentyfikacja” — każda firma musi samodzielnie ocenić, czy spełnia kryteria podmiotu kluczowego lub ważnego. To właśnie tutaj leży sedno problemu. Wiele przedsiębiorstw, szczególnie tych z branż, które do tej pory nie podlegały regulacji cyberbezpieczeństwa, nie zdaje sobie sprawy z istnienia tych obowiązków.
Tomasz Zalewski, radca prawny, wskazuje w rozmowie z PAP, że zaskoczeni nowymi wymogami byli przede wszystkim producenci żywności i części samochodowych. — Z mojego doświadczenia wynika, że często brak wiedzy na temat tego, że jest coś takiego jak nowelizacja UKSC, która może obowiązywać daną firmę, dotyczy branż, które do tej pory nie były objęte tą ustawą — mówi ekspert.
Błąd małych firm: założenie, że przepisy ich nie dotyczą
Joanna Wziątek, ekspertka ds. cyberbezpieczeństwa, identyfikuje największe zagrożenie: przekonanie małych i mikroprzedsiębiorstw, że regulacja ich nie dotyczy. — Z moich obserwacji wynika, że przekonanie, że skoro podmiot jest mały, to regulacja go nie dotyczy, jest dość powszechne — ocenia.
To założenie jest błędne. Nowe przepisy wymagają od przedsiębiorców spojrzenia na swoją działalność znacznie szerzej niż dotychczas. Firma nie musi być dużą korporacją, aby podlegać UKSC — wystarczy, że jest ogniwem łańcucha dostaw, którego awaria mogłaby zatrzymać proces gospodarczy.
— Dla wielu przedsiębiorców może to być szokujące, ponieważ dotąd część z nich w ogóle nie patrzyła na swoją działalność przez pryzmat wpływu na ciągłość usług, zależności międzysektorowych ani skutków cyberincydentu dla innych uczestników rynku. W nowym modelu nie wystarczy już odpowiedzieć sobie, że firma jest mała, lokalna albo działa poza “branżą cyber”. Trzeba będzie spojrzeć szerzej i ocenić, czy przypadkiem nie jest się ogniwem łańcucha dostaw, którego awaria zatrzymuje jakiś proces gospodarczy — wyjaśnia Wziątek.
Praktyczne wyzwania: koszty i brak specjalistów
Nawet jeśli firma prawidłowo zidentyfikuje się jako podmiot kluczowy lub ważny, czeka ją kolejne wyzwanie: wdrożenie wymogów UKSC. Dla mniejszych organizacji stanowi to poważny problem finansowy i logistyczny.
Wdrożenie wymaga:
- Zidentyfikowania swoich aktywów, ryzyk i zagrożeń,
- Dobrania adekwatnych środków technicznych i organizacyjnych,
- Wdrożenia, przetestowania i realnego stosowania procedur zarządzania incydentami.
Wziątek podkreśla, że samo posiadanie dokumentacji UKSC, podpisanej przez zarząd i schowanej w segregatorze, nie zapewnia rzeczywistego cyberbezpieczeństwa. — By dobrze zrozumieć, a następnie wdrożyć wymogi ustawy, może być konieczne skorzystanie z usług specjalistów, których jest mało i których usługi są drogie. Obawiam się, że mniejsze firmy, mimo obowiązku podlegania ustawie, nadal nie będą mieć ludzi, czasu ani pieniędzy, by podnieść poziom cyberbezpieczeństwa w sposób metodyczny — wskazuje ekspertka.
Co to oznacza dla Twojej firmy?
Jeśli prowadzisz biznes w Polsce i należysz do sektora żywności, transportu lub innego sektora objętego nowelizacją UKSC, masz mniej niż dwa miesiące na podjęcie decyzji. Eksperci jednoznacznie radzą: w razie wątpliwości lepiej się zarejestrować niż zrezygnować. Ryzyko zaniechania samoidentyfikacji jest większe niż ryzyko ostrożnej rejestracji.
Tomasz Zalewski apeluje również o szerszą kampanię informacyjną. — Potrzebna jest kampania informacyjna skierowana do branż, które wcześniej nie podlegały ustawie. Najskuteczniej byłoby docierać do przedsiębiorców za pośrednictwem izb handlowych i organizacji branżowych — uważa.
Jeśli nie jesteś pewien, czy Twoja firma musi się zarejestrować, skontaktuj się z radcą prawnym lub specjalistą ds. cyberbezpieczeństwa. Koszt konsultacji będzie znacznie niższy niż potencjalne konsekwencje zaniechania samoidentyfikacji.
Najczęstsze pytania
Kto musi się zarejestrować w wykazie KSC?
Podmioty kluczowe i ważne w sektorach objętych nowelizacją UKSC, w tym producenci żywności, dystrybutorzy żywności i producenci sprzętu transportowego. Każda firma musi samodzielnie ocenić, czy spełnia kryteria, biorąc pod uwagę swoją rolę w łańcuchu dostaw.
Jaki jest ostateczny termin rejestracji w UKSC?
Samoidentyfikacja firm musi być dokonana do 3 października 2024 r. Po tym terminie firma, która powinna się zarejestrować, ale tego nie zrobiła, narażona jest na konsekwencje prawne.
Czy małe firmy lokalne muszą spełniać wymogi UKSC?
Tak, jeśli są ogniwem łańcucha dostaw lub mogą wpływać na ciągłość usług dla innych podmiotów. Wielkość firmy nie jest jedynym kryterium — znaczenie ma jej funkcja w gospodarce i potencjalny wpływ cyberincydentu na inne podmioty.
Ile kosztuje wdrożenie wymogów UKSC w małej firmie?
Źródła nie podają konkretnych kwot, ale ekspertki podkreślają, że koszty mogą być znaczne — wiążą się z zatrudnieniem specjalistów ds. cyberbezpieczeństwa, których usługi są drogie i trudno dostępne.
Co grozi firmie, która nie zarejestruje się w wykazie KSC?
Artykuł nie podaje konkretnych kar, ale podkreśla, że zaniechanie samoidentyfikacji stanowi większe ryzyko niż ostrożna rejestracja — może prowadzić do sankcji i problemów z udziałem w zamówieniach publicznych.
Na podstawie: Strefa Biznesu. Tekst opracowany redakcyjnie.