Ustawa dotycząca krajowego systemu cyberbezpieczeństwa została przyjęta w lipcu 2018 roku. Od tego czasu na firmy, które są operatorami usług kluczowych dostosować musiały się do dużej ilości nowych obowiązków.

W większości przypadków do operatorów usług kluczowych należą firm z branży IT, które są dostawcami sprzętu IT oraz oprogramowania. W przypadku, gdy firma jest operatorem usług kluczowych następuje weryfikacja oraz uprawomocnienie się decyzji stwierdzającej przynależność przedsiębiorstwa do tej grupy. Po tym czasie firma ma:

– 3 miesiące na powołanie osoby odpowiedzialnej za bezpieczeństwo oraz przygotowanie i wdrożenie systemu bezpieczeństwa, działań edukacyjnych oraz przeprowadzenie procesu analizy ryzyka
– 6 miesięcy na wdrożenie wymaganej dokumentacji oraz środków technicznych i organizacyjnych zgodnych z przepisami
– 12 miesięcy na wykonanie audytu wewnętrznego, zamknięcie działań z niego wynikających oraz przesłanie raportu z zewnętrznego audytu do odpowiedniego organu

W firmie z branży IT skupić się należy na przeprowadzeniu szkoleń, które zapewnią wiedzę umożliwiającą przeciwdziałanie cyberzagrożeniom. 

Już na 21 grudnia 2020 roku przewidziana jest nowelizacja przepisów związanych z cyberbezpieczeństwem. Według nowych rozporządzeń, firmy które nie dostosują się do przepisów zostaną wykluczone z zamówień publicznych, a dostawcy i producenci sprzętu IT i oprogramowania zostaną wykluczeni z rynku.