1. Szeroki krąg podmiotów dotkniętych nowelizacją

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca dyrektywę NIS2, modyfikuje dotychczasowe zasady, procedury i obowiązki wynikające z przynależności do krajowego systemu cyberbezpieczeństwa.

Zmiany te nie ograniczają się jednak wyłącznie do organizacji, które formalnie zostaną wpisane do Wykazu KSC. W praktyce ich skutki mogą odczuć również mniejsi dostawcy, podwykonawcy i partnerzy technologiczni współpracujący z regulowanymi podmiotami.

 

2. Łańcuch dostaw

Podmioty kluczowe i ważne będą musiały wdrożyć rozwiązania techniczne i organizacyjne z zakresu cyberbezpieczeństwa, dopasowane do swojej wielkości i charakteru świadczonych usług. W ramach dostosowania powinny m.in. przeanalizować zasoby, zidentyfikować cyberzagrożenia, przejrzeć procedury i przeszkolić pracowników.

Jednym z istotnych obszarów tej analizy jest bezpieczeństwo łańcucha dostaw. Wynika to z faktu, że wiele incydentów nie wynika z bezpośredniego ataku na dany podmiot, lecz z podatności lub naruszeń po stronie dostawcy, w tym dostawcy oprogramowania.

Dlatego nawet firma, która sama nie kwalifikuje się jako podmiot kluczowy lub ważny, może zostać objęta dodatkowymi wymaganiami kontraktowymi. W praktyce może to oznaczać nowe aneksy do umów, obowiązek spełniania określonych standardów bezpieczeństwa, udział w audytach, przedstawianie certyfikatów, wdrożenie procedur reagowania na incydenty albo zobowiązanie do szybkiego informowania kontrahenta o naruszeniach.


Pomagamy konstruować i opiniować zakresy wymogów nakładanych na dostawców zarówno pod kątem płynnej operacyjności biznesowej, jak i spełnienia wymagań regulacyjnych. Wiemy, jak łączyć przepisy z różnych dziedzin prawa (cyberbezpieczeństwo, RODO czy AML) z realizacją Twoich celów biznesowych. Skontaktuj się z nami i zróbmy to razem!

Kontakt

Logo LinkedIn Logo LinkedIn

Krzysztof Jarosiński

Partner, radca prawny, audytor wiodący ISO 27001