知识产权与科技媒体电信业务专家准备了一份关于《网络安全国家体系法》(UKSC) 修订案通过后最重要修改内容的总结
2月19日,波兰总统签署了落实欧盟 NIS 2 指令的 《网络安全国家体系法》修正案。该法案目前正等待 在《法律公报》上公布,并将于公布之日起30天后正式生效。
新法律适用于哪些主体?
新法规将涵盖关键实体和重要实体,其资质认定将基于两个标准:规模标准和行业标准。
规模标准
原则上,中型和大型企业将被认定为关键实体和重要实体,即雇员人数至少为 50 人,或年营业额超过 1000 万欧元,或资产负债表总额超过 1000 万欧元的实体。 在计算企业规模门槛时,必须考虑伙伴企业和关联企业的数据。在实践中,这可能导致隶属于大型组织架构的小型实体也被纳入监管范围。
行业标准
此外,受该法律约束的另一个条件是,实体必须在法律附件所列的其中一个领域开展业务。这些领域尤其包括:
- 能源
- 交通运输(航空、铁路、水路、公路)
- 银行业及金融市场基础设施
- 医疗保健
- 饮用水供应和废水处理
- 数字基础设施和ICT服务管理,
- 太空领域
- 邮政和快递服务
- 废物管理
- 化学品的生产、制造和分销
- 食品的生产、加工和分销
- 医疗器械及体外诊断医疗器械的生产
- 计算机、电子和光学产品的制造
- 电气设备及其他未分类的机械和设备的制造
- 机动车辆、挂车、半挂车及其他运输设备的制造
- 科研活动(研究机构)。
因此,受监管实体的范围较现有法律状态显著扩大,涵盖了许多此前不受《网络安全国家体系法》约束的企业。
企业应自行评估其是否符合受监管的规模标准和行业标准。
关键义务
《网络安全国家体系法》修正案要求关键实体和重要实体必须建立一套全面的信息安全管理体系,其中包括技术措施和组织措施。具体要求尤其包括:
- 网络安全风险管理以及定期的威胁识别与评估
- 实施相应的技术和组织措施,包括制定并维护安全政策、程序和记录文档
- 确保业务连续性及制定应急响应计划
- 事件的监测、发现和处置,并按法定时限向主管部门报告
- 定期进行测试、审计和员工培训
- 确保供应链安全,包括对ICT服务供应商进行审核与监督,
- 通过引入安全要求和报告义务来调整与供应商和分包商的合同,
- 管理层对义务执行情况的监督,并在组织内部明确责任分配。
在实践中,法律条文的落实不仅需要技术层面的变更,还需要梳理内部流程、完善文档管理以及调整与供应商的合同关系。
监督与制裁
对《网络安全国家体系法》规定的义务履行情况的监督将由国家网络安全体系中的主管机构负责,这些机构拥有广泛的监督权和执法手段,尤其是它们有权采取以下行动:
- 要求提供信息、文件及解释说明
- 进行检查和审计,包括在实体总部进行实地检查
- 发布修复缺陷或消除违规行为的指示或命令
- 发出违规警告。
若发生违规行为,主管机关可处以行政罚款,其具体金额将取决于实体的类别:
|
关键实体 |
重要主体 | 特别处罚 | 对管理人员的处罚 |
|
罚款金额从 2万波兰兹罗提至 1000 万欧元,或其年总营业额的 2%(以较高者为准) |
罚款金额从 15000波兰兹罗提至 700 万欧元,或其年总营业额的 1.4%(以较高者为准) |
最高1亿波兰兹罗提 |
最高可达受罚者薪酬的300% |
行政罚款将在法律生效两年后方可起征,这为各组织留出了实施必要措施的时间;然而,这并不免除各组织在法律生效后立即开始准备工作的义务。
我们如何为您提供协助?
我们为各组织在履行《网络安全国家体系法》修正案所规定的新义务方面提供法律服务,特别是在调整文档管理、内部流程以及合同关系方面上。
具体服务范围包括:
- 核实相关法律是否适用于该组织(认定为关键实体或重要实体)
- 差距分析并制定调整建议方案
- 起草及更新法律要求的政策、程序及其他内部文件
- 调整与供应商和分包商的合同
- 协助制定事件报告程序以及与监管机构的协作机制
- 在检查、监管程序及法律义务解释过程中提供法律咨询
- 为员工及管理层提供培训。