Symfonia. Biznes gotowy na zmiany

Najbliższe zmiany prawne, które mogą mieć bezpośredni wpływ na prowadzenie Twojej firmy

Redakcja

Redakcja

Długość czytania:

20 grudnia 2024

Prowadząc własną firmę, bez względu na jej wielkość, przedsiębiorca powinien być na bieżąco z aktualizacjami przepisów. Jakie są najbliższe zmiany prawne, o których warto wiedzieć i które mogą wpływać na sposób prowadzenia działalności?

Spis treści:

W pierwszej połowie 2024 roku Ministerstwo Cyfryzacji przedstawiło projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa i wskazało termin wejścia w życie unijnego aktu o usługach cyfrowych – DSA. Uwzględniono również przepisy dyrektywy unijnej NIS-2. Z założenia zmiany mają wejść w życie jeszcze przed końcem roku. Przeczytaj ten poradnik i sprawdź, na co się przygotować!

Dlaczego warto śledzić zmiany w przepisach?

Każdy przedsiębiorca, któremu zależy na przepisowym prowadzeniu działalności gospodarczej, powinien na bieżąco śledzić wszelkie zmiany w prawie – zwłaszcza jeśli samodzielnie prowadzi księgowość swojej firmy. Brak znajomości aktualnych przepisów może skutkować poważnymi błędami – ich konsekwencje mogą wiązać się z karami pieniężnymi, a w niektórych przypadkach nawet karą ograniczenia lub pozbawienia wolności. Jeżeli przedsiębiorca nie ma czasu na samodzielne zarządzanie firmową dokumentacją, warto powierzyć ją specjalistom, którzy na bieżąco śledzą zmiany w prawie i prowadzą dokumentację swoich klientów zgodnie z aktualnymi przepisami.

Kluczowe obszary, które mogą wpłynąć na Twoją firmę

Zmiany związane z koniecznością raportowania incydentów, wdrożenia polityk bezpieczeństwa czy szyfrowania danych klientów mogą mieć duży wpływ na funkcjonowanie firmy. Musi być ona bowiem odpowiednio przygotowana do implementacji nowych rozwiązań i procesów. Gotowość na zmiany pozwoli jednak zwiększyć poziom bezpieczeństwa przechowywanych danych i uodpornić się na coraz częściej występujące cyberzagrożenia.

Cyfryzacja – nowe regulacje, które mogą wpłynąć na działalność firm

Cyfryzacja polskich firm coraz bardziej postępuje – przedsiębiorcy zdają sobie sprawę z tego, że nowoczesne technologie to klucz do poprawy efektywności, zwiększenia zysków, podniesienia jakości obsługi klienta i wyróżnienia się na tle konkurencji. W kwietniu 2024 roku resort cyfryzacji podał datę wejścia w życie unijnego aktu o usługach cyfrowych (DSA). Aktualizacja przepisów ma na celu poprawę bezpieczeństwa użytkowników w sieci. Ministerstwo Cyfryzacji zaprezentowało ponadto projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa, mającym wzmocnić ochronę obywateli i instytucji przed rosnącymi zagrożeniami w sieci.

Wpływ cyfryzacji na sektor małych i średnich przedsiębiorstw (MŚP)

Cyfryzacja to proces wykorzystania technologii cyfrowej w firmowych operacjach i procesach. Obejmuje ona m.in. przejście z dokumentacji papierowej na e-dokumenty, wdrożenie nowoczesnych oprogramowań do zarządzania firmą – np. systemu ERP – czy korzystanie ze sztucznej inteligencji. Firmy z sektora MŚP dostrzegają wiele korzyści związanych z implementacją rozwiązań chmurowych, narzędzi AI, elektronicznego obiegu dokumentów czy oprogramowań do zarządzania firmą i współpracy wewnętrznej. Transformacja cyfrowa umożliwia usprawnienie wielu procesów, zapewnia oszczędność czasu, kosztów i miejsca, a ponadto – prowadzi do wzrostu zysków. Ma ona wpływ również na bezpieczeństwo danych oraz wydajność i efektywność pracowników. Dzięki cyfryzacji dostęp do danych oraz współpraca między pracownikami i działami firmy jest znacznie łatwiejsza – nawet jeżeli wykonują oni swoje obowiązki zdalnie, z różnych miejsc kraju lub świata. Co więcej, cyfryzacja firmy może skutkować także lepszą obsługą klienta i poprawą jego doświadczeń.

Przeczytaj również: Cyfrowa transformacja a satysfakcja klienta – jak nowe technologie mogą poprawić obsługę klienta? – Symfonia

Nowe wymagania dotyczące ochrony danych cyfrowych

Celem aktu prawnego o usługach cyfrowych (DSA) jest przede wszystkim uzupełnienie przepisów RODO – ma to prowadzić do zapewnienia maksymalnego poziomu ochrony danych. Na właścicielach platform cyfrowych będzie spoczywał obowiązek wdrożenia bardziej rygorystycznych środków bezpieczeństwa – m.in. szyfrowania danych użytkowników czy większej kontroli nad publikowanymi treściami.

Obowiązki związane z przechowywaniem i dostępem do dokumentacji cyfrowej

Dzięki cyfryzacji przechowywanie dużej ilości danych jest znacznie łatwiejsze – podobnie jak dostęp do nich oraz ich przeszukiwanie. Cyfrowa dokumentacja przechowywana jest w jednym miejscu, gwarantującym uprawnionym użytkownikom wygodny dostęp w dowolnym momencie. Dzięki temu zwiększa się jej bezpieczeństwo – ryzyko zagubienia lub zniszczenia dokumentów znacząco spada. Co więcej, dane cyfrowe łatwiej zabezpieczyć przed nieautoryzowanym dostępem. Przechowywanie dokumentacji cyfrowej nie wymaga posiadania odpisów w formie papierowej – wszystkie dokumenty mogą być przechowywane na dysku. Wskazuje na to m.in. interpretacja indywidualna Dyrektora Krajowej Informacji Skarbowej z 11 marca 2019 roku.

checklista JPK_CIT

Dyrektywa NIS-2 – co musisz wiedzieć?

W styczniu 2023 roku w życie weszła dyrektywa NIS-2 mająca na celu zwiększenie ochrony przed cyberzagrożeniami w organizacjach na terenie Unii Europejskiej. Ostateczny termin wdrożenia jej regulacji do prawa krajowego w państwach członkowskich – a więc również w Polsce – to 17 października 2024 roku.

Przeczytaj również: Wymogi dyrektywy NIS-2 – Symfonia

Wprowadzenie do dyrektywy NIS-2

Dyrektywa NIS-2 (Network and Information Systems Directive 2) to kontynuacja i rozszerzenie pierwotnej dyrektywy NIS z 2016 roku – pierwszego europejskiego prawa związanego z cyberbezpieczeństwem. Ma ona formę dokumentu prawno-regulacyjnego zawierającego standardy w zakresie bezpieczeństwa informatycznego, jakie muszą zostać spełnione przez wszystkie kraje członkowskie Unii Europejskiej. Dyrektywa stanowi odpowiedź na niewystarczającą i nieproporcjonalną odporność na cyberzagrożenia wśród państw członkowskich UE. Jej głównym celem jest ochrona i zwiększenie odporności na cyberzagrożenia, a co za tym idzie – redukcja ryzyka i ilości incydentów.

Zmiany w zakresie bezpieczeństwa sieci i informacji

W związku z dyrektywą NIS-2 firmy muszą dostosować się do zmian związanych z bezpieczeństwem sieci i systemów informatycznych. Obejmują one m.in. konieczność przeprowadzenia audytu bezpieczeństwa, wybór odpowiedniego dostawcy usług IT oraz implementację organizacyjnych i technicznych środków ochrony. Przedsiębiorstwa z konkretnych sektorów muszą wdrożyć zaawansowane narzędzia cyberbezpieczeństwa jak protokoły szyfrowania czy firewalle, a ponadto – opracować polityki bezpieczeństwa i określić metody reagowania na incydenty.  W związku ze zmianami konieczne może być przeprowadzenie szkoleń dla personelu z zakresu cyberzagrożeń i bezpieczeństwa sieci. Co więcej, firmy muszą pamiętać o odpowiednich działaniach prewencyjnych, np. systematycznych audytach i testach bezpieczeństwa czy analizie ryzyka.

Kogo dotyczy dyrektywa NIS-2?

NIS-2 obejmuje większy zakres podmiotów niż pierwsza wersja dyrektywy. Rozszerzeniu uległy definicje sektorów oraz podmiotów krytycznych objętych regulacjami z zakresu cyberbezpieczeństwa. Nowe przepisy dotyczą takich branży jak administracja publiczna, bankowość, infrastruktura rynku finansowego, zdrowie, transport, żywność, woda pitna, energia, ścieki, infrastruktura cyfrowa oraz przestrzeń kosmiczna. Przedsiębiorców podzielono na dwie kategorie:

  • podmioty kluczowe (essential entities) – firmy z sektora energetyki, transportu, bankowości, infrastruktury rynków finansowych, administracji publicznej, opieki zdrowotnej, sektora wody pitnej, ścieków, infrastruktury cyfrowej, zarządzania usługami ICT czy przestrzeni kosmicznej;
  • podmioty ważne (important entities) – firmy z branży badań naukowych, produkcji, przetwarzania i dystrybucji chemikaliów, produkcji, przetwarzania i dystrybucji żywności, gospodarowania odpadami, usług cyfrowych, usług pocztowych i kurierskich czy produkcji ogółem.

Do przestrzegania nowych regulacji zobowiązane mają być przedsiębiorstwa, które już teraz uznaje się za jednostki krytyczne. Dyrektywa uwzględnia małe i średnie firmy:

  • należące do wymienionych wyżej sektorów;
  • zatrudniające co najmniej 50 pracowników;
  • osiągające roczny obrót w wysokości przynajmniej 10 milionów euro.

Większe firmy zatrudniające mniej niż 250 pracowników i osiągające roczne obroty do 50 milionów euro nie muszą dostosowywać się do zmian wynikających z NIS-2.

Jakie obowiązki nakłada dyrektywa na firmy?

Dyrektywa NIS-2 nakłada na organizacje objęte regulacjami wiele nowych obowiązków, w tym:

  • regularną ocenę ryzyka wystąpienia cyberzagrożeń;
  • konieczność stworzenia procesów zarządzania incydentami i procedur ich zgłaszania;
  • wdrażanie środków zaradczych, polityki bezpieczeństwa i narzędzi security;
  • zagwarantowanie ciągłości działania w razie zagrożenia oraz po nim;
  • regularne przeprowadzanie audytów i testów bezpieczeństwa;
  • sprawdzanie zgodności z dyrektywą NIS-2 za pomocą audytów;
  • odpowiedzialność za bezpieczeństwo w łańcuchu dostaw;
  • zwiększanie świadomości i wiedzy personelu m.in. poprzez odpowiednie szkolenia.

Co więcej, podmiotów, które zostały objęte dyrektywą, będą dotyczyć większe restrykcje związane z zarządzaniem lukami w zabezpieczeniach czy testowaniem poziomu bezpieczeństwa. Dyrektywa NIS-2 wymaga też od przedsiębiorców zgłaszania wszelkich incydentów i powiadamiania stosownych organów w ciągu pierwszych 24 godzin, po 72 godzinach, a także po upływie miesiąca od zdarzenia.

Jak przygotować firmę na zmiany związane z cyfryzacją?

Aby przedsiębiorstwo było jak najlepiej przygotowane na cyfrową transformację, należy zadbać szczególnie o:

  • analizę aktualnej sytuacji firmy – a więc realizowanych procesów, wykorzystywanych technologii czy posiadanych umiejętności. Ma to na celu ustalenie obszarów, które wymagają zmian i mogłyby przeszkodzić w cyfryzacji;
  • określenie celów związanych z transformacją cyfrową – może to być m.in. poprawa jakości obsługi klienta, zwiększenie sprzedaży czy wzrost efektywności;
  • wybór odpowiednich narzędzi, które umożliwią cyfryzację – np. systemów do zarzadzania firmą, usług chmurowych, oprogramowań do komunikacji wewnętrznej czy programów do elektronicznego fakturowania;
  • powołaniu zespołów odpowiedzialnych za cyfrową transformację i przeszkoleniu pracowników z zakresu wprowadzanych zmian.

Przeczytaj również: Strategia cyfryzacji Polski do 2035 r. – Symfonia

Jakie kroki powinna podjąć Twoja firma w obliczu nowych regulacji?

W związku ze zmianami prawnymi – zarówno tymi związanymi z NIS-2, jak i tymi dotyczącymi aktu o usługach cyfrowych – firma powinna zadbać o odpowiednie przygotowanie w celu dostosowania się do nowych regulacji.

Audyt wewnętrzny – przygotowanie do nowych wymogów prawnych

Jednym z ważniejszych etapów przygotowań do nowych wymogów prawnych jest audyt wewnętrzny. To proces oceny zarządzania i zgodności działań firmy z obowiązującymi przepisami. Zmniejsza on ryzyko wystąpienia naruszeń oraz nieprawidłowości, tym samym chroniąc wizerunek przedsiębiorstwa. Osoby odpowiedzialne za ocenę ustalają obszary, które wymagają poprawy lub wprowadzenia oszczędności, a wnioski z audytu wewnętrznego pomagają we wprowadzeniu zmian.

Współpraca z ekspertami prawnymi w celu adaptacji do nowych przepisów

W dostosowaniu się do nowych przepisów firmie może pomóc firmie doświadczony ekspert prawny, który na bieżąco śledzi zmiany w prawie. Kancelarie doradztwa podatkowego gwarantują kompleksowe wsparcie związane z audytami czy zarządzaniem procesami.

Współpraca z biurem rachunkowym

Szkolenia dla pracowników w kontekście nowych regulacji

Równie ważnym krokiem podczas przygotowań firmy do nowych regulacji prawnych jest przeszkolenie pracowników. Ważne, aby szkolenie dotyczyło zarówno metod działania, sposobów reagowania na cyberzagrożenia czy obsługi nowych narzędzi, jak również korzyści płynących z wdrażanych zmian.

Kluczowe zmiany prawne, na które należy zwrócić uwagę

Ministerstwo Cyfryzacji podało termin wejścia w życie unijnego aktu o usługach cyfrowych i udostępniło projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa. Kraje członkowskie Unii Europejskiej będą ponadto musiały dostosować się do wymogów dyrektywy NIS-2.

W związku ze wprowadzeniem DSA, dyrektywy NIS-2 czy nowego projektu Krajowego Systemu Cyberbezpieczeństwa firmy będą musiały wprowadzić pewne zmiany w swoich codziennych działaniach – a wszystko to w celu poprawy odporności na cyberzagrożenia i jeszcze lepszej ochrony danych. Określone przedsiębiorstwa będą zobowiązane m.in. do stworzenia procedur zgłaszania incydentów, wdrażania polityki bezpieczeństwa i kroków zaradczych, wykonywania audytów wewnętrznych czy raportowania incydentów odpowiednim organom.

Jakie będą konsekwencje ignorowania nadchodzących zmian?

Podmioty kluczowe, które nie dostosują się do regulacji NIS-2 w zakresie zarządzania ryzykiem lub zgłaszania incydentów, muszą liczyć się z karami administracyjnych w wysokości do 10 milionów euro lub 2% łącznego obrotu z całego roku. Podmioty ważne mogą z kolei otrzymać karę grzywny w wysokości 7 milionów euro lub 1,4% całego rocznego obrotu. Dyrektywa uwzględnia ponadto okresowe kary pieniężne oraz sankcje karne związane z naruszeniem przepisów. W przypadku nieprzestrzegania DSA również przewidywane są sankcje finansowe – maksymalna wysokość grzywny może wynieść do 6% rocznego światowego obrotu danej firmy.

Przeczytaj również: Jakie są koszty cyfryzacji w firmie i czy istnieją sposoby na ich obniżenie? – Symfonia

Najczęściej zadawane pytania (FAQ)

Sprawdź odpowiedzi na najczęściej zadawane pytania na temat zmian prawnych dotyczących cyberbezpieczeństwa i dyrektywy NIS-2.

Czy wszystkie firmy muszą dostosować się do dyrektywy NIS-2?

Dyrektywa NIS-2 obejmuje podmioty ważne (m.in. z sektora badań naukowych, produkcji, usług cyfrowych czy usług kurierskich i pocztowych) oraz podmioty kluczowe (m.in. z branży bankowości, finansów, administracji publicznej, energetyki, transportu, opieki zdrowotnej, ścieków, infrastruktury cyfrowej bądź przestrzeni kosmicznej). Nowym regulacjom podlegają jednak wyłącznie te firmy, które zatrudniają przynajmniej 50 pracowników, a w ciągu roku osiągają obrót w wysokości 10 milionów euro lub większej.

Jakie są kary za nieprzestrzeganie nowych regulacji?

Za niedostosowanie się do wymogów DSA na firmę mogą zostać nałożone sankcje finansowe – maksymalna grzywna może sięgać 6% rocznego światowego obrotu przedsiębiorstwa. Kary przewidziano również w odniesieniu do firm nieprzestrzegających dyrektywy NIS-2. Podmioty ważne mogą otrzymać karę grzywny w wysokości 7 milionów euro/1,4% całego rocznego obrotu, z kolei podmioty kluczowe – kary administracyjne w wysokości do 10 milionów euro/2% łącznego rocznego obrotu. W dyrektywnie uwzględniono też okresowe kary pieniężne i sankcje karne za naruszenia przepisów.

Czy zmiany dotyczą także firm działających wyłącznie offline?

Akt DSA nakłada nowe regulacje na firmy cyfrowe działające na terenie całej Unii Europejskiej (np. dostawców usług internetowych i chmurowych czy operatorów sieci komórkowych). Dyrektywa NIS-2 ma natomiast na celu redukcję ryzyka związanego z cyberatakami, mogącymi wpływać na usługi w różnych sektorach gospodarki – a więc dotyczy firm obecnych online.

Symfonia Finanse i Księgowość

Firmowa księgowość pod kontrolą!

Przeglądaj tematy tego artykułu:

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *