Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Nowe przepisy wdrażające dyrektywę NIS2 rozszerzają obowiązki cyberbezpieczeństwa na firmy energetyczne oraz ich podwykonawców. Eksperci Baker McKenzie ostrzegają, że brak rejestracji, procedur i audytu dostawców może oznaczać wysokie kary dla przedsiębiorstw i ich zarządów.

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze krytycznej obejmie wiele podmiotów z sektora energetycznego i ich podwykonawców, twierdzą eksperci Baker McKenzie. Część firm w Polsce wciąż nie jest świadoma nowych przepisów i naraża się na wysokie kary, jeśli w krótkim czasie nie wprowadzi odpowiednich procedur.

Celem Dyrektywy NIS2 z 2022 roku, która w Polsce została implementowana dopiero w tym roku poprzez zmianę ustawy o Krajowym Systemie Cyberbezpieczeństwa, jest podniesienie bezpieczeństwa cybernetycznego w spółkach o znaczeniu strategicznym. Najważniejsze obowiązki firm objętych ustawą to zarejestrowanie się w rządowej bazie, wdrożenie zarządzania cyberbezpieczeństwem, zgłaszanie incydentów w ciągu 24 godzin od ich wykrycia oraz zakaz współpracy z podmiotami, które trafią na listę dostawców wysokiego ryzyka. Zdaniem ekspertów prawidłowo stosowane przepisy NIS2 powinny pomóc uniknąć zdarzeń podobnych do tego, jakie miało miejsce w grudniu ubiegłego roku, gdy wykryto w Polsce wrogą aktywność w systemach spółek OZE i jednej elektrociepłowni.

Dyrektywa NIS2 jest ściśle związana z globalnymi i regionalnymi wyzwaniami w obszarze cyberbezpieczeństwa – mówi Agnieszka Skorupińska, partnerka kierująca praktyką zrównoważonego rozwoju i transformacji energetycznej w warszawskim biurze Baker McKenzie.W energetyce ogniskują się wchodzące obecnie w życie lub procedowane właśnie na poziomie unijnym i krajowym przepisy dotyczące ochrony systemów, sieci, urządzeń i danych, jak również podstawowej infrastruktury wytwórczej i przesyłowej. Prawie jednocześnie na horyzoncie pojawiają się też przepisy kolejnych aktów prawnych: NC CS, CER, CRA, EU Data Act. Dostosowanie do nowych przepisów to spore wyzwanie, a kary za niezgodność będą bardzo wysokie. Nowe przepisy wpływają też na inwestycje energetyczne w toku realizacji, w tym inwestycje z sektora jądrowego, OZE czy BESS.

Branża energetyczna jest szczególnie eksponowana na zmiany zachodzące w prawie. Jednak znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje podmioty z wszystkich sektorów gospodarki uznanych za kluczowe lub ważne. Oprócz energetyki są to również transport lotniczy i kolejowy, infrastruktura cyfrowa, ochrona zdrowia, gospodarka odpadami i inne. Objęci są nią również poddostawcy przedsiębiorstw z tych branż.

– Z naszych obserwacji wynika, że niektóre, kluczowe podmioty w branży są świadome zmian w prawie i zadbały już o rozwiązania zapewniające bezpieczeństwo cybernetyczne albo intensywnie pracują nad spełnieniem wymogów NIS2 i polskiej ustawy – mówi Radosław Nożykowski, kierujący praktyką obronności oraz cyberbezpieczeństwa w Baker McKenzie w Warszawie. – Tej świadomości nie ma natomiast wśród podmiotów mniejszych i ich poddostawców. Zapoznanie się z przepisami ustawy, rozstrzygnięcie czy podmiot podlega jej przepisom, rejestracja w systemie i audyt poddostawców to absolutne minimum, jakie powinna wykonać firma działająca w branży.

Pierwszym krokiem, który powinny wykonać firmy to analiza, czy nowe obowiązki mają do nich zastosowanie, a zatem czy są tzw. podmiotem kluczowym albo ważnym. Następnie pojawia się konieczność zarejestrowania w publicznej bazie, czyli Systemie S46, do 3 października 2026 roku. Kolejnym krokiem jest wdrożenie systemu zarządzania bezpieczeństwem informacji w firmach zgodnego z normami ISO 27001 lub równoważnego. Jeśli podmiot nie posiada dotychczas tego rodzaju systemu, powinien wziąć pod uwagę, że na wdrożenie go będzie miał zaledwie rok.

Kolejne istotne kwestie to precyzyjne obowiązki raportowania incydentów. Dla sektora OZE, a także BESS kluczowa natomiast jest lista dostawców wysokiego ryzyka, którą tworzył będzie minister cyfryzacji. Jeśli okaże się, że dany podmiot i jego produkty stwarzają zagrożenie dla bezpieczeństwa i w konsekwencji trafi on na listę dostawców wysokiego ryzyka, firmy w Polsce nie będą mogły podjąć z nimi współpracy. Natomiast przedsiębiorstwa posiadające już produkty od dostawcy, który trafił na listę, zostaną zobowiązane do wygaszenia tej współpracy, a także zmiany stosowanych rozwiązań.

Eksperci Baker McKenzie zwracają uwagę na surowość kar przewidzianych w nowych regulacjach. Mogą one dotyczyć zarówno firm, jak i członków zarządu i menedżerów odpowiedzialnych za bezpieczeństwo cyfrowe. Kary powiązane są z wysokością obrotu przedsiębiorstwa lub wynagrodzenia indywidualnego. W przypadku naruszenia przepisów powodujących poważne incydenty cyberbezpieczeństwa zagrażające obronności, zdrowiu publicznemu lub bezpieczeństwu publicznemu przewidziano maksymalną karę 100 mln złotych lub 2 proc. rocznego przychodu przedsiębiorstwa. Członkowie zarządu lub kierownicy jednostek, którzy dopuścili się rażącego zaniedbania w tym obszarze mogą zostać ukarani grzywną sięgającą 300 proc. ich rocznego wynagrodzenia.

KOMENTARZE EKSPERTÓW Z BRANŻY ENERGETYCZNEJ:

Zdaniem przedstawicieli branży incydent, który w ubiegłym roku dotknął sektor OZE w Polsce, oraz wprowadzenie nowych przepisów powinno działać mobilizująco na przedsiębiorców sektora energetycznego:

– Wykryty w grudniu incydent bezpieczeństwa z pewnością zwiększył świadomość tego rodzaju zagrożeń – mówi Paweł Konieczny, wiceprezes zarządu Polskiego Stowarzyszenia Energetyki Słonecznej.Wdrożenie przepisów NIS2 z pewnością będzie wyzwaniem dla wielu przedsiębiorców choćby ze względu na wzrost kosztów operacyjnych, jednak specyfika branży i jej strategiczny charakter wymagają poważnego potraktowania zagrożeń cyberbezpieczeństwa. Bez wątpienia z takimi wyzwaniami lepiej poradzą sobie duże podmioty, działające profesjonalnie, które już teraz przygotowują się do wdrożenia NIS2.

– Magazyn energii to cyfrowo sterowany zasób systemowy, w którym warstwa informatyczna decyduje równocześnie o trzech rzeczach: o przychodach z rynku, o bezpieczeństwie fizycznym samych baterii i o zgodności z obowiązkami regulacyjnymi – wszystkie trzy w skali sekund – mówi Tomasz Adamski, Starszy Dyrektor ds. Badań i Analiz Polskiego Stowarzyszenia Magazynowania Energii. – Branża rozumie wagę cyberbezpieczeństwa z prostego powodu – stało się ono rdzeniem jej modelu biznesowego. Realnym wyzwaniem jest dziś operacyjne dostosowanie do rosnącej liczby wymogów regulacyjnych, które nakładają się na siebie.

Sektor energetyki jądrowej jest bardzo wysoko regulowany, jeśli chodzi o wszelkie formy bezpieczeństwa i jest to bezwzględny priorytet już na etapie projektowania a dalej budowy elektrowni jądrowej – mówi Monika Silva, zastępca dyrektora generalnego Izby Gospodarczej Energetyki i Ochrony Środowiska. – Łańcuchy dostaw są ściśle sprawdzane na etapie zamówień a zmiany w prawie stanowią podmiot ciągłego monitoringu. „Safety and security” to są dwa kluczowe słowa dla tej branży.

– Przed największym wyzwaniem stoją mniejsze firmy, w tym z sektora OZE, które mogą nie mieć świadomości zmian, a jednocześnie bardzo liczą się z kosztami – mówi Ewa Kwapis, wiceprezes zarządu Transition Technologies-Systems, firmy członkowskiej IGEOS. – Z punktu widzenia cyberbezpieczeństwa zadbanie o wysoki standard zabezpieczeń w branży ma sens. Jednak konieczność poniesienia kosztów dostosowania do nowego prawa lub wręcz wymiany technologii, jeśli dostawca trafi na listę wysokiego ryzyka, będzie dla mniejszych podmiotów dużo trudniejszy do udźwignięcia.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko...

DeepSeek wskazał sposób na atak przez legalną funkcję przeglądarki

Nie potrzeba już exploita, złośliwego załącznika ani instalacji podejrzanej...

Monitoring obiektu firmowego – od czego zacząć?

Decyzja o monitoringu w firmie rzadko zapada w spokoju....

Polska kupi od Szwecji trzy okręty podwodne A26. Umowa w programie Orka podpisana

Polska podpisała ze Szwecją umowę na zakup trzech okrętów...

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...
Wiadomości

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...

Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko...

DeepSeek wskazał sposób na atak przez legalną funkcję przeglądarki

Nie potrzeba już exploita, złośliwego załącznika ani instalacji podejrzanej...

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...

Google: Polska potrzebuje odpornej architektury cyfrowej dla obronności

Spośród wszystkich członków NATO to Polska w 2025 roku...

Monitoring obiektu firmowego – od czego zacząć?

Decyzja o monitoringu w firmie rzadko zapada w spokoju....

Polska kupi od Szwecji trzy okręty podwodne A26. Umowa w programie Orka podpisana

Polska podpisała ze Szwecją umowę na zakup trzech okrętów...
Coś dla Ciebie

Wybrane kategorie