TOP 5 wskazówek dla zarządów w nowej rzeczywistości cyberbezpieczeństwa

Co oznacza dla organizacji wprowadzenie do polskiego prawa postanowień dyrektywy NIS2? Jakie niespodzianki kryją się w ustawie o krajowym systemie cyberbezpieczeństwa? Jak uporządkować odpowiedzialność za cyberryzyko i spełnić regulacyjne wymogi – tłumaczy ekspert T-Mobile.

CZEGO SIĘ DOWIESZ Z TEGO MATERIAŁU:

Jakie fundamentalne zmiany wprowadza NIS2 i nowelizacja uKSC.
Dlaczego członkowie zarządu powinni zainteresować się tematyką cyberryzyka i bezpieczeństwa danych.
Jakie terminy wiążą podmioty objęte uKSC.
Co to jest System Zarządzania Bezpieczeństwem Informacji (SZBI).
Jak działa usługa vCISO i dlaczego może pomóc organizacjom każdej wielkości.

Regulacje zawarte w nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa obowiązują od 3 kwietnia 2026 roku. Przepisy zakładają jednak pewien bufor czasowy dotyczący przygotowania organizacji do stosowania nowych postanowień i formalnego spełnienia obowiązków.

Przypomnijmy – ustawa o Krajowym Systemie Cyberbezpieczeństwa (uKSC) wprowadza do polskiego porządku prawnego postanowienia unijnej dyrektywy NIS2. Jej celem jest wzmocnienie odporności i bezpieczeństwa IT organizacji. Obowiązujące od stycznia 2023 roku unijne przepisy zakładają m.in. staranną analizę cyberryzyka, wdrożenie mocniejszych zabezpieczeń oraz całościowej polityki ochrony danych i ciągłości biznesowej. Dyrektywa, a w ślad za nią polska uUKSC, rozszerzają zakres obowiązywania na nowe sektory, wprowadzają inną klasyfikację objętych przepisami podmiotów (kluczowe i ważne), zakładają również obowiązek szczegółowego raportowania o incydentach oraz personalną odpowiedzialność członków zarządów i dotkliwe kary za niestosowanie się do wymogów regulacyjnych.

Więcej o uKSC: https://biznes.t-mobile.pl/pl/uksc-nowe-zasady-w-cyberbezpieczenstwie

Nowa ustawa o krajowym systemie cyberbezpieczeństwa całkowicie zmienia krajobraz zarządzania cyberryzkiem w IT, wprowadzając m.in. nowe obowiązki dla osób odpowiedzialnych w zarządach oraz menedżerów ds. bezpieczeństwa informacji (CISO). Na szczęście jest jeszcze czas na przygotowanie się do wszystkich zmian. Do 3 października (a więc 6 miesięcy po wejściu w życie ustawy) podmioty ważne i kluczowe muszą dokonać samookreślenia i złożyć wniosek o wpis do odpowiedniego rejestru. W ciągu roku od wejścia w życie nowej UKSC, czyli do 3 kwietnia 2027 r. podmioty objęte nowymi regulacjami muszą wdrożyć systemowe podejście do analizy ryzyka i bezpieczeństwa danych. W ciągu kolejnych 12 miesięcy (czyli do 3 kwietnia 2028 r.) podmioty kluczowe muszą wykonać pierwszy audyt bezpieczeństwa, a następnie powtarzać go co najmniej raz na trzy lata.

Jak wykorzystać ten czas, aby uchronić swoją firmę (a także menedżerów odpowiedzialnych za ten obszar) przed konsekwencjami niestosowania się do nowych regulacji? Wraz z Jędrzej Trzcińskim, ekspertem ds. cyberbezpieczeństywa T-Mobile Polska Business Solutions, zebraliśmy pięć najważniejszych rad dla zarządów, które chcą wzmocnić odporność organizacji i nie ryzykować ewentualnych kar.

1. Odpowiedzialność po stronie zarządu

– Trzeba pamiętać, że polska ustawa o krajowym systemie cyberbezpieczeństwa jest nieco bardziej restrykcyjna niż dyrektywa NIS2 – mówi Jędrzej Trzciński. – Zarząd musi sobie uświadomić, że to on odpowiada za politykę cyberbezpieczeństwa. Może oczywiście delegować te obowiązki, ale i tak to właśnie członkowie zarządu będą odpowiadać personalnie, jeżeli ustawowe wymogi zostaną zlekceważone.

UKSC przewiduje bowiem nakładanie kar zarówno na organizację jako całość, ale również personalnie – do 300 proc. wynagrodzenia zarządu. – W sektorze publicznym te kary są nieco niższe – przypomina ekspert T-Mobile.

Rada: Jako menedżer C-level powinieneś się zainteresować cyberryzykiem. To nie jest obecnie tylko rola menedżera ds. bezpieczeństwa danych (CISO) czy samego działu IT. Można również skorzystać z wyspecjalizowanych usług związanych z NIS2. Warto też zwrócić uwagę na aspekt często pomijany w takich rozważaniach, czyli na bezpieczeństwo fizyczne – kontrole dostępu czy systemy monitoringu.

2. Jakim podmiotem jesteśmy

Niezwykle istotnym zadaniem „na już” jest ocena czy przepisy UKSC nas obowiązują. Ustawa, podobnie jak NIS2, znacząco rozszerza katalog organizacji, które podlegają regulacjom. Najtrudniejsze dla firm może być jednak to, że muszą dokonać samooceny – czy kwalifikują się jako podmioty ważne lub kluczowe.

– Na wpis do odpowiedniego rejestru firmy mają czas do 4 października. Warto w tym miejscu pamiętać, że liczba takich podmiotów bardzo wzrosła w stosunku do „starej” UKSC. Oprócz takich sektorów jak kosmos czy energia, ustawa reguluje również np. sektor zarządzania infrastrukturą IT, zarówno część fizyczną, jak usługową – np. chmurę – przypomina Jędrzej Trzciński.

Rada: Najbliższe miesiące są pewnego rodzaju testem dla organizacji, które muszą zadeklarować, czy obejmuje je UKSC, a jeśli tak, to czy należą do podmiotów kluczowych czy ważnych. Zarząd musi to zweryfikować i zadbać o wpis do rejestru.

3. Co zrobić wewnątrz organizacji

Kluczowym krokiem dla wdrożenia postanowień UKSC jest wprowadzenie odpowiedniej polityki bezpieczeństwa i zasad obejmujących ten obszar w całej organizacji. Taki plan to System Zarządzania Bezpieczeństwem Informacji (SZBI).

– Istotne jest to, że ten system ma rzeczywiście działać, a nie istnieć tylko na papierze – podkreśla Jędrzej Trzciński. – Podmioty kluczowe mają na przeprowadzenie audytu takiego systemu dwa lata, ale podmioty ważne również mogą zostać zobowiązane do jego przeprowadzenia np. gdy nastąpi incydent bezpieczeństwa.

Zanim jednak organizacja zacznie konstruować politykę zabezpieczeń konieczne jest przeprowadzenie rzetelnej analizy ryzyka. Powinna się ona zacząć od zbadania, jakim sprzętem dysponujemy, gdzie się on znajduje i czemu służy. Zdarza się, że w dużych organizacjach funkcjonują np. serwery lub procesy, które trudno uzasadnić bieżącymi potrzebami. Mogą się również znaleźć takie elementy infrastruktury IT, które dawno nie były aktualizowane albo wręcz nie ma już dla nich żadnych aktualizacji bezpieczeństwa.

Więcej na temat potencjalnych luk w zabezpieczeniach na artykule: https://biznes.t-mobile.pl/pl/jak-zidentyfikowac-podatnosci-w-organizacji

Analiza ryzyka powinna również objąć dostawców sprzętu i usług (łańcuchy dostaw) – to również nowy wymóg wprowadzony w NIS2.

Więcej o bezpieczeństwie łańcucha dostaw można przeczytać w artykułach:
• https://biznes.t-mobile.pl/pl/bezpieczenstwo-lancucha-dostaw-cz-1-jak-sie-przygotowac-na-cyberzagrozenia-z-dyrektywa-nis2
• https://biznes.t-mobile.pl/pl/bezpieczenstwo-lancucha-dostaw-cz-2-jak-znalezc-partnera-idealnego

Dopiero po analizie ryzyka można dobrać zabezpieczenia. – Należy zwrócić uwagę, że ustawa nie wskazuje szczegółowych rozwiązań zabezpieczeń technicznych. Istotne jest to, aby były adekwatne do ryzyka. Ta adekwatność to również jeden z mechanizmów obrony przed potencjalnymi karami – tłumaczy ekspert T-Mobile.

Rada: System Zarządzania Bezpieczeństwem Informacji powinien być wieloaspektowy i odpowiadać na ryzyka, którym podlega organizacja. Jego kluczowym elementem powinno być rozwiązanie do monitorowania i obsługi incydentów, czyli ostrzegające przed próbami phishingu czy atakami hakerskimi. Taką funkcję spełnia SOC (Security Operations Center) pozwalające na bieżąco sprawdzać, co dzieje się w infrastrukturze IT organizacji.

– Trzeba też zwrócić uwagę na obowiązek podmiotów kluczowych i ważnych podłączenia się do system S46 i konieczność raportowania incydentów poważnych do sektorowych CSIRT-ów. Wstępne ostrzeżenie należy zgłaszać w ciągu 24 godzin, po 72 godzinach należy zgłosić sam incydent, a do miesiąca – raport podsumowujący – przypomina Jędrzej Trzciński. System S46 to prowadzona przez NASK na zlecenie Ministerstwa Cyfryzacji platforma służąca do zgłaszania i obsługi incydentów. Służy do komunikacji między podmiotami wpisanymi do rejestru a CSIRTami. Nazwa systemu pochodzi od art. 46 ustawy o KSC.

4. Ciągłość działania

Elementem Systemu Zarządzania Bezpieczeństwem Informacji jest również plan zapewnienia ciągłości biznesowej na wypadek awarii lub włamania (BCP – Business Continuity Plan). Organizacja musi przygotować się na sytuacje kryzysową – niezależnie od tego, czy będzie ona efektem działań przestępców, błędu ludzkiego, awarii czy katastrofy żywiołowej. W ramach BCP konieczne jest nie tylko opracowanie reguł robienia kopii bezpieczeństwa i regularne ich tworzenie, ale także dopilnowanie, aby przeprowadzono testy odtworzenia co najmniej kluczowych systemów z kopii.

Więcej na temat zasad tworzenia i testowania kopii bezpieczeństwa w biznesie w artykule: https://biznes.t-mobile.pl/pl/business-backup-w-2026-roku

Równie regularnie powinna być także tworzona dokumentacja działań IT. – To nie jest działanie jednorazowe, prowadzenie polityki bezpieczeństwa jest procesem ciągłym. Zdajemy sobie sprawę, że IT nie lubi tworzyć dokumentacji, ale prawda jest taka, że nie możemy polegać na pamięci pracowników – podkreśla Jędrzej Trzciński z T-Mobile.

Rada: Stworzenie polityki cyberbezpieczeństwa i wdrożenie SZBI to początek drogi. System ma rzeczywiście działać, ryzyka muszą być aktualizowane, a wnioski włączane do kolejnych iteracji zasad bezpieczeństwa w firmie. NIS2 i UKSC skupiają się na zapewnieniu ciągłości biznesowej, nawet w sytuacjach kryzysowych. Zapewnienie odporności na incydenty (np. przez usługi DRaaS) czy zdolność odtworzenia danych po ataku ransomware (przez usługę backup z opcja Immutable Storage) są kluczowe dla zgodności z UKSC.

5. Wirtualny menedżer ds. bezpieczeństwa danych

Szczegółowe wymagania dotyczące cyberryzyka zawarte w nowych regulacjach w połączeniu z zagrożeniem wysokimi karami finansowymi sprawiają wrażenie miecza wiszącego nad głowami członków zarządów. Co zrobić, aby nie spadł?

– Usługa wirtualnego menedżera ds. bezpieczeństwa danych to rodzaj bezpiecznika, aby ten miecz rzeczywiście nie opadł na szyje menedżerów – mówi Jędrzej Trzciński. „Wirtualny CISO” – vCISO, znajdujący się w ofercie T Business, to w rzeczywistości grupa konsultantów, często byłych „bezpieczników” pracujących dla dużych firm, którzy wspólnie doradzają najlepsze rozwiązania zarządowi. – Tacy konsultanci pomagają budować kompleksową strategię cyberbezpieczeństwa. Analizują, jak działa organizacja i przygotowują propozycję rozwiązań. Taka współpraca wymaga czasu, powinna trwać co najmniej rok – mówi ekspert T-Mobile.

Ale trzeba też przyznać, że usługę vCISO łatwiej i szybciej wdrożyć niż zatrudnić własny zespół specjalistów. Roczne koszty usługi są również niższe niż zatrudnienie dedykowanego własnego zespołu.

Rada: Budowanie cyberbezpieczeństwa to nie jest zadanie na tydzień czy miesiąc, potrzebna jest długofalowa strategia. Nawet przy korzystaniu z usług vCISO sami pracownicy firmy muszą opowiedzieć, jak funkcjonuje organizacja wewnątrz. To pozwoli specjalistom zadbać o wszystkie aspekty cyberbezpieczeństwa – od poziomu podstawowego, jak konfiguracja systemów, po najwyższy – jak tworzenie procedur awaryjnych dostosowanych do potrzeb firmy.

Najważniejsze wnioski

Postanowienia dyrektywy NIS2 wdrożone przez polską ustawę o KSC już obowiązują, a zegar tyka nieubłaganie. To członkowie zarządów firm personalnie odpowiadają za ich realizację – zlekceważenie tych obowiązków oznacza wysokie kary. Najbardziej lapidarne streszczenie wymagań wobec zarządu w obszarze bezpieczeństwa danych brzmi zatem: „zainteresuj się”.