incydent w zakresie cyberbezpieczeństwa

• Rozszerzony katalog podmiotów KSC: Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdraża dyrektywę NIS 2, obejmując sektory jak energia, transport, bankowość, ochrona zdrowia, ICT i produkcja; podział na podmioty kluczowe (duży wpływ systemowy) i ważne wymaga samoidentyfikacji na podstawie skali działalności i roli w łańcuchach dostaw.
• Obowiązki i samoidentyfikacja: Podmioty objęte KSC muszą wdrożyć zarządzanie ryzykiem cyberbezpieczeństwa, raportowanie incydentów do CSIRT, polityki bezpieczeństwa i ciągłości działania; kierownictwo ponosi odpowiedzialność, a brak samooceny grozi sankcjami podczas kontroli.
• Zasada proporcjonalności i praktyka biznesowa: Obowiązki dostosowane do skali (rygorystyczne dla kluczowych), analogia do RODO; przedsiębiorcy powinni weryfikować status dynamicznie, zwłaszcza w ochronie zdrowia i ICT, przygotowując SZBI i relacje z dostawcami.

Ewa Lewańska

radca prawny specjalizujący się w przepisach dot. ochrony danych osobowych