Spis treści
Ustawa o Krajowym Systemie Cyberbezpieczeństwa i NIS2
Zważając na charakter prawny dyrektyw w prawie UE, dla podmiotów działających w Polsce bezpośrednie zastosowanie będzie miała znowelizowana Ustawa o KSC, postanowienia NIS2 nie wiążą bezpośrednio podmiotów w kraju członkowskim, a jedynie nakładają na kraje członkowskie obowiązek dostosowania przepisów krajowych do wytycznych wskazanych w dyrektywie. Zaimplementowane przepisy mogą się ostatecznie różnić w pewnym zakresie od dyrektywy np. mogą poszerzyć krąg podmiotów, które podlegają przepisom czy też zwiększać zakres obowiązków.
Zgodnie z Projektem nowelizacji Ustawy o KSC podmioty zobowiązane będą miały 6 miesięcy od dnia wejścia w życie nowelizacji Ustawy o KSC na realizację obowiązków w zakresie cyberbezpieczeństwa, określonych w tej ustawie (nowe brzmienie art. 16 Ustawy o KSC). Natomiast już w ciągu 3 miesięcy konieczne będzie zgłoszenie podmiotu do wykazu podmiotów kluczowych i podmiotów ważnych (art. 7 c, dodany do Ustawy o KSC). Planowany termin implementacji NIS2 do polskiego porządku prawnego przypada na 2025 rok.
Kto podlega przepisom dyrektywy NIS2?
Przedsiębiorca z branży spożywczej podlega przepisom dyrektywy NIS2, jeżeli jednocześnie spełnia następujące dwa warunki:
1. jest co najmniej przedsiębiorcą średnim, tj.:
- zatrudnia więcej niż 50 osób (przez zatrudnionych należy rozumieć osoby na umowach o pracę, ale również umowy zatrudnione na podstawie umów cywilnoprawnych) lub
- ma obrót lub całkowity bilans roczny nieprzekraczający 10 mln EUR,
Przy czym wystarczy spełnianie jednej z powyższych przesłanek.
2. Jest przedsiębiorstwem spożywczym zgodnie z definicją w art. 3 ust. 2 rozporządzenia (WE) nr 178/2002 Parlamentu Europejskiego i Rady, zajmującym się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem.
Spełnienie powyższych dwóch przesłanek łącznie prowadzi do uznania przedsiębiorcy z branży spożywczej za podmiot ważny w rozumieniu dyrektywy NIS2 oraz obliguje go do wprowadzenia stosownych środków przewidzianych przez tę dyrektywę. Projekt nowelizacji Ustawy o KSC nie modyfikuje powyższych założeń, powtarzając zapisy dyrektywy NIS2 w zakresie obowiązanych podmiotów z branży spożywczej, zaliczając je do sektora ważnego.
Ważny fragment
Warto zaznaczyć, że to na przedsiębiorcy spoczywa obowiązek samodzielnej analizy, czy jego wielkość oraz usługi kwalifikują go do objęcia nowymi regulacjami.
Podmioty podlegające nowym obowiązkom będą miały obowiązek zgłosić się do wykazu podmiotów ważnych i kluczowych w ciągu 3 miesięcy od wejścia w życie ustawy implementującej NIS2. Zgłoszenie następuje przez złożenie elektronicznego wniosku.
Przedsiębiorcy spożywczy a NIS2
NIS2, definiując poszczególne sektory, które uznaje za kluczowe bądź ważne, odwołuje się do innych aktów prawnych obowiązujących już w ramach unijnego systemu prawnego. Fundamentalne w kontekście przedsiębiorców z branży spożywczej jest zweryfikowanie definicji przedsiębiorstwa spożywczego, zawartej w Rozporządzeniu (WE) nr 178/2002 Parlamentu Europejskiego i Rady z dnia 28 stycznia 2002 r. ustanawiającym ogólne zasady i wymagania prawa żywnościowego, powołujące Europejski Urząd ds. Bezpieczeństwa Żywności oraz ustanawiające procedury w zakresie bezpieczeństwa żywności (Dz. U. UE. L. z 2002 r. Nr 31, str. 1 z późn. zm.) (dalej zwane „Rozporządzeniem 178/2002”).
Zgodnie z Rozporządzeniem 178/2002 przedsiębiorstwo spożywcze oznacza przedsiębiorstwo publiczne lub prywatne, typu non-profit lub nie, prowadzące jakąkolwiek działalność związaną z jakimkolwiek etapem produkcji, przetwarzania i dystrybucji żywności.
Ważny fragment
Zarówno NIS2, jak i Ustawa o KSC obejmują zakresem zastosowania wyłącznie tych przedsiębiorców spożywczych, którzy zajmują się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem.
NIS-2 – czy moja firma podlega? [ANKIETA]
Przygotowaliśmy dla Państwa krótki kwestionariusz, który pozwoli zidentyfikować, czy i w jakim stopniu Państwa firma podlegać będzie pod wymagania Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej (dyrektywa NIS2). NIS-2 zostanie implementowana do polskiego porządku prawnego poprzez nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa, która ma wejść w życie na przełomie 2023 i 2024. Nowe regulacje wprowadzą znaczące zmiany dla polskich podmiotów: odpowiedzialność organów zarządzających oraz kary dochodzące do 10 000 000 euro lub aż 2% rocznego obrotu przedsiębiorstwa. Z przyjemnością pomożemy Państwu przygotować się do tych nowych wymagań. Aby wstępnie zbadać swoje nowe obowiązki w tym zakresie przygotowaliśmy kilka pytań. Po odpowiedzi na pytania otrzymają Państwo wynik, który odzwierciedli prawdopodobieństwo polegania pod nowe obowiązki nałożone przez Dyrektywę i projektowaną nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa.
Czym jest „żywność” zgodnie z Rozporządzeniem 178/2002?
Żywność (zamiennie „środek spożywczy”) zgodnie z art. 2 Rozporządzenia 178/2002 oznacza jakiekolwiek substancje lub produkty, przetworzone, częściowo przetworzone lub nieprzetworzone, przeznaczone do spożycia przez ludzi lub, których spożycia przez ludzi można się spodziewać. Żywność to również napoje, guma do żucia i wszelkie substancje, łącznie z wodą, świadomie dodane do żywności podczas jej wytwarzania, przygotowania lub obróbki. Definicja ta obejmuje wodę zgodną z normami określonymi zgodnie z art. 6 dyrektywy 98/83/WE i bez uszczerbku dla wymogów dyrektyw 80/778/EWG i 98/83/WE.
Za żywność uznaje się nie tylko produkty przeznaczone do spożycia przez ludzi, lecz także takie, które potencjalnie mogą być spożywane przez ludzi, nawet jeśli ich główne zastosowanie jest inne. Oznacza to, że produkt może być klasyfikowany jako żywność, jeśli istnieje możliwość jego spożycia w sposób zamierzony lub przypadkowy. Przykładem może być mąka ziemniaczana, która jest głównie wykorzystywana jako składnik spożywczy w kuchni, ale może być również stosowana w przemyśle kosmetycznym, np. do produkcji pudru. Mimo tego, że jej główne zastosowanie kosmetyczne nie jest związane z żywnością, wciąż pozostaje uznawana za środek spożywczy, gdyż możliwe jest jej spożycie.
Przykładami przedsiębiorstw spożywczych, które będą zobowiązane do wdrożenia NIS2 są m.in.:
1. zakłady przetwórstwa spożywczego (np. mięsnego, rybnego, mleczarskiego lub warzywno-owocowego),
2. hurtownie spożywcze (np. hurtownie napojów alkoholowych i bezalkoholowych, hurtownie słodyczy, konserw, gumy do życia itp.),
3. przemysłowe zakłady produkcji żywności (np. fabryki produkujące konserwy, mrożonki, przetwory owocowe i warzywne lub przedsiębiorstwa produkujące napoje, w tym soki, napoje gazowane, piwo czy wino, ale również producenci suplementów diety, niebędących produktami leczniczymi itp.).
Warto dodać, że następujące towary nie są uznawane za „żywność” zgodnie z Rozporządzeniem 178/2002:
- pasze,
- zwierzęta żywe, chyba że mają być one wprowadzone na rynek do spożycia przez ludzi,
- rośliny przed dokonaniem zbiorów,
- produkty lecznicze,
- kosmetyki,
- tytoń i wyroby tytoniowe,
- narkotyki lub substancje psychotropowe,
- pozostałości i zanieczyszczenia,
- wyroby medyczne.
Google news
Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google
Obowiązki producentów z sektora spożywczego wynikające z NIS2
Zgodnie z projektem ustawy implementującej NIS2 do polskiego porządku prawnego, podmioty objęte regulacjami będą zobowiązane:
- wdrożyć odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w firmie,
- zgłaszać incydenty cyberbezpieczeństwa,
- zapewnić politykę analizy ryzyka i bezpieczeństwa systemów informatycznych
- zapewnić obsługę incydentu,
- zapewnić ciągłość działania, na przykład zarządzania kopiami zapasowymi i przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzania kryzysowego,
- zapewnić bezpieczeństwo łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem dotyczącym stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami,
- zapewnić bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności i ich ujawniania,
- zapewnić polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
- zapewnić podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,
- zapewnić polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania,
- zapewnić bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami,
- w stosownych przypadkach – zapewnić stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych,
- zgłaszać osoby lub organy zarządzające w firmie, które zatwierdzają środki zarządzania ryzykiem w cyberbezpieczeństwie,
- zapewnić regularny audyt bezpieczeństwa na własny koszt.
Sankcje za naruszenie przepisów dyrektywy NIS2
Ważny fragment
Naruszenie założeń ustawy implementującej NIS2 będzie grozić dotkliwymi karami w wysokości nawet 10 mln euro lub 2% światowych obrotów. Ponadto, odpowiedzialność finansową i osobistą będzie mogło ponieść także kierownictwo wyższego stopnia
Nowe przepisy wynikające z dyrektywy NIS2 stanowią istotne wyzwanie dla przedsiębiorstw spożywczych, ale jednocześnie przyczyniają się do podniesienia poziomu bezpieczeństwa cybernetycznego w całej Unii Europejskiej. Firmy muszą przygotować się na dodatkowe obowiązki, w tym wdrożenie procedur oraz regularny audyt systemów informatycznych. Niedopełnienie tych obowiązków może skutkować poważnymi sankcjami, co podkreśla wagę inwestycji w cyberbezpieczeństwo.
AUTORZY: Witold Chruszcz oraz Magdalena Bilicka, Zespół Kancelarii Prawnej Grant Thornton
Czytaj więcej o NIS2: