Bez kategorii

CYBERODPORNI (8/10): Obowiązki prawne i ryzyka dla przedsiębiorców w razie wojny

Judyta Kasperkiewicz

W warunkach globalnej niestabilności geopolitycznej, nasilających się cyberataków i dezinformacji, cyberbezpieczeństwo staje się strategicznym obszarem odpowiedzialności przedsiębiorcy. Praktyka ostatnich lat pokazuje, że nawet podmioty, które nie postrzegają siebie jako potencjalnych celów ataków – zwłaszcza z sektora MŚP – stanowią podatne ogniwo w działaniach o charakterze systemowym, także w ramach wojen informacyjnych i hybrydowych.

W tym kontekście coraz mniej zasadne staje się pytanie: czy moja firma zostanie zaatakowana? Znacznie trafniejsze brzmi: kiedy to nastąpi i czy będziemy na to przygotowani?

Obowiązki wynikające z ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC)

Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2023 r. poz. 913 z późn. zm.) wprowadza ramy prawne obejmujące m.in.:

  • operatorów usług kluczowych (OUK),
  • dostawców usług cyfrowych,
  • jednostki administracji publicznej oraz inne podmioty przetwarzające dane wrażliwe lub świadczące usługi istotne dla funkcjonowania społeczeństwa i gospodarki.

Przedsiębiorca może zostać uznany za operatora usług kluczowych, jeśli spełnia kryteria sektorowe (np. energetyka, transport, zdrowie, finanse, infrastruktura cyfrowa) i jeśli incydent dotyczący jego działalności mógłby znacząco zakłócić świadczenie tych usług.

Obowiązki operatora usług kluczowych obejmują m.in.:

  1. Cykliczną analizę ryzyka i wdrażanie adekwatnych środków technicznych i organizacyjnych.
  2. Wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo.
  3. Prowadzenie dokumentacji polityki bezpieczeństwa systemów informatycznych.
  4. Niezwłoczne zgłaszanie incydentów poważnych do krajowych zespołów CSIRT (NASK, MON lub GOV).

NIS2 – nowe standardy i rozszerzenie zakresu odpowiedzialności

Dyrektywa (UE) 2022/2555 – NIS2, którą Polska jest zobowiązana implementować, znacząco poszerza katalog podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Po wejściu w życie przepisów wdrażających NIS2 (projekt ustawy krajowej jest w toku prac legislacyjnych), regulacje będą dotyczyć także średnich przedsiębiorstw z branż takich jak:

  • usługi cyfrowe,
  • produkcja urządzeń medycznych i ICT,
  • logistyka i transport,
  • przetwórstwo żywności,
  • gospodarka wodna i odpady,
  • zarządzanie przestrzenią publiczną.

NIS2 przewiduje:

  • rozszerzone wymogi dotyczące bezpieczeństwa,
  • obowiązek raportowania incydentów w krótkich terminach,
  • znaczące sankcje finansowe oraz możliwość pociągnięcia do odpowiedzialności osób z kierownictwa w przypadku rażących zaniedbań.

Implementacja NIS2 wymusi na wielu firmach stworzenie od podstaw struktur cyberbezpieczeństwa – zarówno technologicznych, jak i proceduralnych.

Audyt bezpieczeństwa i dokumentacja incydentów

Prawidłowe wdrożenie wymagań KSC i nadchodzących regulacji NIS2 powinno rozpocząć się od audytu ryzyk technologicznych i organizacyjnych, obejmującego m.in.:

  • zapory sieciowe i ochronę przed złośliwym oprogramowaniem,
  • kontrolę dostępu i politykę haseł,
  • procedury backupu danych i testy ich odtwarzania,
  • poziom kompetencji pracowników w zakresie cyberhigieny.

Podstawowym wymogiem jest opracowanie Polityki Bezpieczeństwa IT oraz Planu Reagowania na Incydenty (Incident Response Plan). Brak takich dokumentów w przypadku incydentu (np. ransomware, phishing, DDoS) może być uznany za przejaw niedbalstwa przedsiębiorcy.

Ponadto każdy incydent poważny musi być – zgodnie z KSC – niezwłocznie zgłoszony do właściwego CSIRT. Zaniechanie tego obowiązku rodzi konsekwencje administracyjne i może pogłębiać odpowiedzialność cywilną lub finansową.

Odpowiedzialność i ryzyka dla przedsiębiorców

Skutki cyberataku wykraczają poza sferę techniczną i mogą obejmować:

  • naruszenie ochrony danych osobowych (RODO) – ryzyko sankcji administracyjnych nakładanych przez Prezesa UODO,
  • utratę reputacji i zaufania klientów – zwłaszcza przy nieprofesjonalnym zarządzaniu kryzysem informacyjnym,
  • paraliż operacyjny – przerwanie dostaw, wstrzymanie produkcji, blokadę systemów obsługi klienta i dokumentacji.

Dlatego wdrożenie Planu Ciągłości Działania (Business Continuity Plan – BCP) i procedur zarządzania incydentami należy traktować nie jako koszt, lecz jako inwestycję w odporność prawną i operacyjną. Kluczowym elementem są też szkolenia pracowników – to właśnie błędy ludzkie są najczęstszą przyczyną skutecznych ataków.

Lista kontrolna dla przedsiębiorcy

Minimalne działania, które powinien podjąć każdy przedsiębiorca, niezależnie od branży:

  1. Przeprowadzenie audytu cyberbezpieczeństwa – samodzielnie lub przy wsparciu ekspertów zewnętrznych.
  2. Określenie obowiązków i odpowiedzialności kierownictwa w zakresie cyberbezpieczeństwa.
  3. Aktualizacja dokumentacji IT i wprowadzenie polityki bezpieczeństwa (m.in. haseł, kontroli dostępu, backupów).
  4. Opracowanie procedury zarządzania incydentami oraz kanałów komunikacji z CSIRT.
  5. Wdrożenie BCP i scenariuszy reagowania na cyberataki.
  6. Szkolenia pracowników w zakresie podstawowych zasad cyberhigieny.
  7. Monitorowanie postępów prac legislacyjnych dotyczących implementacji NIS2.

Podsumowanie

W realiach wojen informacyjnych i hybrydowych brak przygotowania równa się zaniedbaniu, a w przypadku przedsiębiorcy – ryzyku prawnemu, finansowemu i reputacyjnemu. Ustawa o KSC oraz nadchodzące przepisy wdrażające NIS2 zmieniają model podejścia do cyberbezpieczeństwa: z rekomendacyjnego na obowiązkowy i sankcyjny.

Każda firma – niezależnie od skali działalności – powinna dziś zadać pytanie:
Czy jesteśmy przygotowani na incydent, który może mieć konsekwencje prawne, operacyjne i finansowe?

Stan prawny na dzień: 7 sierpnia 2025 roku

Dodaj komentarz