Partner serwisu
Polityka i prawo

WKB Lawyers: cyberbezpieczeństwo w sektorze wod-kan - nowe wymogi prawne

Dalej Wstecz
Partner działu

WKB

Data publikacji:
10-07-2025
Ostatnia modyfikacja:
10-07-2025
Tagi:
Tagi geolokalizacji:
Źródło:
informacja prasowa WKB Lawyers

Podziel się ze znajomymi:

POLITYKA I PRAWO
WKB Lawyers: cyberbezpieczeństwo w sektorze wod-kan - nowe wymogi prawne
fot. WKB Lawyers
Znaczne nasilenie cyberataków w sektorze wodociągowo - kanalizacyjnym pokazało, że odpowiednie środki cyberbezpieczeństwa i regulacje prawne w zakresie cyberodporności są konieczne, aby sprostać sektorowym wyzwaniom w tym obszarze. Z pewnością przyczyni się do tego nadchodząca wielkimi krokami nowelizacja KSC[1], wdrażająca Dyrektywę NIS2[2], która istotnie rozszerzy zakres podmiotów z sektora wodno-kanalizacyjnego zobowiązanych do wdrożenia takich środków.

Ministerstwo Cyfryzacji odpowiedzialne za projekt ustawy szacuje, że nowe wymogi obejmą około 268 przedsiębiorstw z podsektora zaopatrzenia w wodę pitną oraz 102 z podsektora odprowadzania
ścieków. Potencjalnie nowe obowiązki mogą objąć również dodatkowe podmioty kwalifikowane jako podmioty publiczne.

Nowelizacja ustawy wyróżnia dwie kategorie podmiotów zobowiązanych do stosowania przepisów KSC – podmioty kluczowe i podmioty ważne.

Podmioty kluczowe i ważne będą musiały przede wszystkim:

1. Wdrożyć system zarządzania bezpieczeństwem informacji (SZBI) obejmujący środki techniczne i organizacyjne w obszarze m.in. bezpieczeństwa fizycznego i środowiskowego oraz bezpieczeństwa łańcucha dostaw. Skuteczne wdrożenie SZBI wymagać będzie podjęcia działań zarówno prawnych, jak i technicznych – konieczne może być wdrożenie szeregu procedur (w szczególności w obszarze bezpieczeństwa informacji, ale także np. zarządzania dostawcami) oraz dokonanie przeglądu umów IT;

2. Wdrożyć i utrzymywać niezbędną dokumentację systemów ICT;

3. Zapewnić obsługę i zgłaszanie incydentów wpływających na bezpieczeństwo systemów do właściwego CSIRT sektorowego (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego).

Jak zostało wskazane, obowiązki w zakresie cyberbezpieczeństwa będą spoczywać zasadniczo na podmiotach (osobach prawnych lub innych jednostkach organizacyjnych) kwalifikowanych jako pomioty ważne lub kluczowe. Dyrektywa NIS2, a w ślad za nią również projektowana nowelizacja KSC, przewiduje jednak że za ich realizację bezpośrednio odpowiedzialni będą również kierownicy - członkowie zarządu lub osoby pełniące funkcje kierownicze.

Dodatkowo, podmioty, które będą kwalifikowane jako kluczowe, będą musiały przeprowadzać co 3 lata audyt systemów informatycznych, przy czym pierwszy taki audyt będzie musiał być przeprowadzony w terminie 24 miesięcy.

Projekt nowelizacji ustawy o KSC przewiduje znacznie wyższe kary administracyjne za naruszenie jej przepisów niż obecnie. Sankcje mogą sięgać do 10 mln euro lub 2% przychodów za poprzedni
rok obrotowy (dla podmiotów kluczowych) oraz do 7 mln euro lub 1,4% przychodów za poprzedni rok obrotowy (dla podmiotów ważnych).

Ustawa dopuści również nakładanie indywidualnych kar na kierowników podmiotów kluczowych i ważnych. Wysokość tych kar może wynosić aż do 300% otrzymywanego przez ukaranego wynagrodzenia (w podmiotach publicznych limit ten będzie wynosił 100%).

W związku z tym przed podmiotami podlegającymi pod nową ustawę będzie stało wiele wyzwań – od dokonania samooceny, przez przegląd procesów ICT i wdrożenie SZBI aż po dostosowanie procedur bezpieczeństwa, zakupowych i przegląd umów z dostawcami ICT. Chociaż projekt ustawy oczekuje wciąż na przekazanie pod obrady Sejmu, w ostatnich kilku miesiącach nie zmieniał on istotnie kształtu. Warto zatem jak najwcześniej rozpocząć przygotowania do wdrożenia nowych wymogów cyberbezpieczeństwa. Wiele podmiotów z rynku - mając na względzie skalę obowiązków oraz krótki czas na ich wdrożenie - rozpoczyna proces samooceny oraz dostosowania do nowych przepisów już dziś, jeszcze przed ich formalnym wejściem w życie, co wydaje się być jak najbardziejuzasadnionym podejściem.

[1] Treść najnowszego projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw z 16 kwietnia 2025 r. (opublikowanego 6 czerwca 2025 r.) dostępny jest pod adresem https://legislacja.rcl.gov.pl/projekt/12384504/katalog/13055232#13055232

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Tekst mający znaczenie dla EOG)
Partner działu

WKB

Tagi:
Tagi geolokalizacji:

Podziel się z innymi:

Zobacz również:

Ważny wyrok TSUE: zamawiający muszą precyzyjniej formułować postanowienia umowne dotyczące gwarancji

Polityka i prawo

Popko (Budimex): Kontrakty militarne tylko z własnym zasobem kadrowym

Biznes i przemysł

Polimex przejmie aktywa Rafako?

Biznes i przemysł

Polimex przejmie aktywa Rafako?

ep. 07 kwietnia 2025

Zobacz również:

Ważny wyrok TSUE: zamawiający muszą precyzyjniej formułować postanowienia umowne dotyczące gwarancji

Polityka i prawo

Popko (Budimex): Kontrakty militarne tylko z własnym zasobem kadrowym

Biznes i przemysł

Polimex przejmie aktywa Rafako?

Biznes i przemysł

Polimex przejmie aktywa Rafako?

ep. 07 kwietnia 2025

Kongresy
SZKOLENIE ON-LINE
Śledź nasze wiadomości:
Zapisz się do newslettera:
Podanie adresu e-mail oraz wciśnięcie ‘OK’ jest równoznaczne z wyrażeniem zgody na:
  • przesyłanie przez Zespół Doradców Gospodarczych TOR sp. z o. o. z siedzibą w Warszawie, adres: Sielecka 35, 00-738 Warszawa na podany adres e-mail newsletterów zawierających informacje branżowe, marketingowe oraz handlowe.
  • przesyłanie przez Zespół Doradców Gospodarczych TOR sp. z o. o. z siedzibą w Warszawie, adres: Sielecka 35, 00-738 Warszawa (dalej: TOR), na podany adres e-mail informacji handlowych pochodzących od innych niż TOR podmiotów.
Podanie adresu email oraz wyrażenie zgody jest całkowicie dobrowolne. Podającemu przysługuje prawo do wglądu w swoje dane osobowe przetwarzane przez Zespół Doradców Gospodarczych TOR sp. z o. o. z siedzibą w Warszawie, adres: Sielecka 35, 00-738 Warszawa oraz ich poprawiania.
Współpraca:
Rynek Kolejowy
Transport Publiczny
Rynek Lotniczy
TOR Konferencje
ZDG TOR
ZDG TOR
© ZDG TOR Sp. z o.o. | Powered by BM5