nowe prawo

Cyberbezpieczeństwo: brak wpisu do wykazu nie chroni zarządu przed odpowiedzialnością

Firmy muszą samodzielnie ustalić swój status, przygotować się do rejestracji i wdrożyć system zarządzania ryzykiem cyfrowym. Obowiązki te powstają niezależnie od złożenia wniosku, a ich niewykonanie może prowadzić do sankcji i zakłóceń działalności

Obowiązująca już od 3 kwietnia nowela ustawy o krajowym systemie cyberbezpieczeństwa (dalej: u.k.s.c.) wymusza na wielu firmach podjęcie decyzji, których nie można odłożyć na później. Kluczowa zapada na poziomie zarządu. To on musi samodzielnie ustalić, czy firma podlega nowym obowiązkom, i od tej oceny zależy zakres jego odpowiedzialności.

Zmiana polega na przeniesieniu ciężaru kwalifikacji z państwa na przedsiębiorcę. Jeżeli ocena okaże się błędna, obowiązki i tak powstają. Brak wpisu do wykazu nie chroni przed odpowiedzialnością, a jedynie utrudnia wykazanie, że organizacja działała prawidłowo.

W praktyce pierwsze tygodnie obowiązywania przepisów to moment weryfikacji gotowości operacyjnej. Firmy muszą uporządkować procesy, przypisać role i przygotować się na sytuacje, w których decyzje dotyczące incydentu muszą zapaść szybko. To właśnie wtedy rozstrzyga się, czy system działa, czy istnieje tylko na papierze.

Przeanalizujmy, jakie działania firma powinna podjąć już teraz.

Samoidentyfikacja i rejestracja

W nowym modelu to firma musi sama ustalić, czy jest podmiotem kluczowym albo ważnym, a następnie zainicjować wpis do wykazu tych podmiotów prowadzonego przez ministra cyfryzacji. To on odpowiada też za komunikację z uczestnikami systemu.