Новый закон о кибербезопасности в Польше: штрафы в 600% от зарплаты

Директива ЕС NIS2 направлена на противодействие киберпреступности. В Польше зарегистрирован законопроект, вводящий ее нормы в местное законодательство. Кроме прочего, нарушение правил повлечет за собой серьезные финансовые штрафы до 10 миллионов евро или 2% годовой оборот для компаний, но и сотрудников также будут штрафовать за ошибки – в размере до 600% от их вознаграждения.

Что подразумевают правила кибербезопасности? На кого распространяются нормы? Как подготовиться к изменениям? Ответы читайте в данном материале «Польского консультанта».

Скрыть содержание

• Что такое Директива ЕС NIS 2?
• Сложности для бизнеса от принятия закона
• Требование к предприятиям по NIS2
Логистика и кибербезопасность    
• Обучение сотрудников
• Штрафы за нарушение правил кибербезопасности
• На кого распространяются новые правила?
• Когда Закон о кибербезопасности вступит в силу?

Что такое Директива ЕС NIS 2?

В соответствии с NIS 2, существенные и важные субъекты должны принять соответствующие, пропорциональные технические, операционные и организационные меры для управления рисками кибербезопасности. Эти меры направлены на защиту сетевых и информационных систем, а также на предотвращение или минимизацию воздействия инцидентов на получателей услуг и взаимосвязанные услуги.

Реализация NIS 2 в Польше охватит несколько десятков тысяч субъектов из 17 секторов экономики, создав значительные организационные, финансовые и технологические проблемы для компаний РП.

Для имплементации положений Директивы в Польше будет принята Ustawa o Krajowym Systemie Cyberbezpieczeństwa (Закон РП о Национальной системе кибербезопасности), чей проект и рассматривается в настоящее время.

Сложности для бизнеса от принятия закона

Введение Директивы NIS2 является одной из самых серьезных проблем регулирования в сфере кибербезопасности, которая до сих пор затрагивала польские предприятия и учреждения. Новые правила:

• налагают на компании обязанность соблюдать ограничительные стандарты;
• передают значительную часть ответственности органам управления.

Требование к предприятиям по NIS2

Никто не будет спорить, что в эпоху все более частых и совершенных атак в Интернете борьба с ними чрезвычайно важна. Особенно если учесть их масштаб. Данные Министерства цифровизации РП, опубликованные в середине апреля 2024 года, показывают, что Польша входит в тройку наиболее атакованных стран мира, а количество инцидентов кибербезопасности за год (с 2022 по 2023 год) выросло почти на 200% (от 30 тысяч до 80 тысяч в год).

Поэтому необходимо обязательство проводить масштабные процедуры. Правила, которые скоро вступят в силу, будут охватывать широкий спектр отраслей, а это означает, что польский рынок сталкивается с огромной проблемой адаптации к новым требованиям, особенно в организациях, которые, возможно, ранее не считали кибербезопасность приоритетом.

Вскоре обязанностью предприятий будет внедрение соответствующих и пропорциональных мер, следующего характера:

• технические;
• эксплуатационные;
• организационные;
• ведение отчетности о сетевых инцидентах.

Список требований длинный, и руководители организаций и их сотрудники сталкиваются с серьезной проблемой, тем более, что, вопреки видимости, времени на внедрение изменений не так много.

Субъекты, на которых распространяются новые правила (о них мы скажем далее), будут обязаны обеспечить свою организацию, среди прочего:

• анализом рисков;
• политикой безопасности для IT-систем;
• обработкой инцидентов;
• разработкой сценариев непрерывности бизнеса в условиях кризисного управления.

Логистика и кибербезопасность

Одним из ключевых аспектов новых правил является управление рисками в цепочках поставок. В своем прогнозе киберугроз на 2030 год ENISA прогнозирует, что нарушения безопасности в этой области станут одной из наиболее вероятных киберугроз в ближайшие годы.

Новые правила отвечают этим ожиданиям и обязывают организации внедрять политику безопасности поставок, включая строгие критерии оценки, мониторинг и безопасность поставщиков услуг ИКТ. При выборе поставщиков, особенно облачных, крайне важно будет проанализировать их репутацию, гарантии SLA, права на аудит, стандарты безопасности и сертификацию.

Обучение сотрудников

Сотрудники компаний нуждаются в обучении. По статистике, каждый четвертый не соблюдает правил безопасности.

Для повышения осведомленности об угрозах и развития культуры кибербезопасности на всех уровнях организации потребуются интенсивные обучающие и образовательные кампании. Для многих предприятий реализация этих требований может повлечь за собой не только большие финансовые затраты, но и необходимость реорганизации процессов, что в короткие сроки может оказаться весьма сложной задачей.

Тот факт, что сами сотрудники являются важным элементом всей головоломки, также подтверждается исследованием Progres Group, которое выявляет проблемный подход к кибергигиене среди людей, работающих в организациях:

• 75% респонденты утверждают, что не использовали личную электронную почту в деловых целях, но
• каждый четвертый респондент — целых 25% – признаются в таких действиях: у них, например, нередко есть файлы компании и деловые документы в личной электронной почте.

Среди людей, использовавших личную электронную почту для выполнения рабочих обязанностей, большинство делало это несколько раз или даже регулярно. Чаще всего они делали это по таким причинам, как выход из строя почтового ящика компании или серверов компании, работа вне офиса, в нерабочее время или в выходные дни, переполнение электронного ящика или отсутствие доступа к нему во время отсутствия.

Штрафы за нарушение правил кибербезопасности

Новые нормы подразумевают введение крупных штрафов за нарушение правил:

• Компании, уличенные в нарушениях, могут быть оштрафованы на суммы до 10 миллионов евро или 2% от оборота для ключевых предприятий, и до 7 миллионов евро или 1,4% оборота для важных предприятий. В особых случаях размер штрафа может достигать 100 млн злотых, когда нарушения создают угрозу государственной безопасности или жизни и здоровью людей.
• Для руководителей ключевого или важного предприятия, нарушившего нормы, вводится штраф в размере до 600% от получаемого ими вознаграждение. Они могут получить штраф, если, например, не выполнили хотя бы одну из возложенных обязанностей, упомянутых в законе. Например, не назначил соответствующее количество людей для связи с ключевыми или важными организациями, или национальная система кибербезопасности не предоставила пользователю возможность сообщить о киберугрозе, инциденте или уязвимости, связанной с предоставляемой услугой.

Штраф на менеджера также может быть наложен, если он представляет неполный окончательный отчет об урегулировании серьезного инцидента, т.е. тот, который не содержит таких элементов, как подробное описание серьезного инцидента, включая причиненные сбои и ущерб, тип угрозы или ее причина, которая, вероятно, стала источником инцидента, примененные и принятые меры по снижению риска и, при необходимости, трансграничное воздействие инцидента. Руководитель ключевого предприятия или важного предприятия, неисполнение обязанностей которого было разовым событием, также может быть подвергнут финансовому штрафу.

На кого распространяются новые правила?

17 секторов должны заботиться о новых правилах. Эти секторы разделены на две группы. К первым относятся ключевые отрасли:

• энергетика (добыча полезных ископаемых, электроэнергия, тепло, нефть и топливо, газ, атомная энергетика, поставщики услуг для энергетического сектора, водород);
• транспорт (авиа, железнодорожный, водный, автомобильный);
• инфраструктура банковского дела и финансового рынка;
• здравоохранение (оказание медицинских услуг и общественного здравоохранения, производство и распространение активных веществ, лекарственных средств и изделий медицинского назначения);
• снабжение и распределение питьевой воды;
• коллективное водоотведение;
• цифровая инфраструктура (включая электронную связь);
• управление услугами ИКТ;
• космическая отрасль;
• государственные организации (включая научно-исследовательские институты, Национальный банк Польши, Банк Gospodarstwa Krajowego, Управление технической инспекции, Польское аэронавигационное агентство, Польский центр аккредитации, Управление Польского финансового надзора, Национальный фонд здравоохранения, Польские воды, Государственный фонд реабилитации инвалидов и Польское агентство печати).

Ко второй группе субъектов относятся важные отрасли, а именно:

• почтовые услуги;
• обращение с отходами (включая сбор, транспортировку и переработку отходов);
• промышленное производство;
• производство и реализация химикатов;
• производство, переработка и реализация продуктов питания;
• производство медицинских изделий, в том числе для диагностики, компьютеров; электронной и оптической продукции, электрических устройств, машин и механизмов;
• научные исследования;
• поставщики цифровых услуг, в том числе торговые интернет-платформы, поисковые системы в Интернете, социальные сети.

Ключевыми субъектами являются преимущественно крупные компании. В некоторых случаях ключевой организацией также может быть малая или средняя компания. Важными субъектами чаще всего являются микро-, малые или средние предприниматели.

Когда Закон о кибербезопасности вступит в силу?

7 октября была опубликована вторая версия проекта поправки к Закону о национальной системе кибербезопасности РП, который вводит директиву ЕС в польское законодательство.

Профильное Министерство заявляет, что закон должен быть принят Советом министров Польши к концу 2024 года, а затем отправлен в парламент, чтобы новые правила вступили в силу в начале 2025 года.

Подытожим. Откровенно говоря, пока очень многое не очень понятно. Изменения презентованы на уровне общих слов и намерений. Как именно должны выглядеть установка систем безопасности, например, для интернет-магазинов? Какая отчетность и куда должна подаваться? Кто и как будет осуществлять контроль?

Пока вопросов больше чем ответов. Мы продолжим следить за изменениями, и обязательно проинформируем читателей обо всех новостях.