NIS2 w polskim prawodawstwie
Dyrektywa NIS2, czyli Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 roku, została przyjęta w celu zapewnienia wysokiego poziomu ochrony cyberprzestrzeni na terenie całej Unii Europejskiej. Choć jest to akt prawa unijnego, nie obowiązuje on bezpośrednio – państwa członkowskie zobligowane są do implementacji jego zapisów do krajowych porządków prawnych.
W Polsce przepisy dyrektywy zostaną wdrożone poprzez zmianę Ustawy o Krajowym Systemie Cyberbezpieczeństwa („Ustawa o KSC”). To właśnie ta ustawa, a nie sama dyrektywa, będzie podstawą obowiązków dla krajowych przedsiębiorców.
Zgodnie z projektem ustawy nowelizującej, firmy objęte nowymi regulacjami będą miały sześć miesięcy od wejścia ich w życie na dostosowanie się do wymagań dotyczących cyberbezpieczeństwa. Dodatkowo, w ciągu trzech miesięcy od tej daty, konieczne będzie zgłoszenie się do wykazu podmiotów uznanych za kluczowe lub ważne. Istotnym elementem jest tzw. mechanizm samoidentyfikacji – każdy przedsiębiorca sam będzie musiał ocenić, czy podpada pod zakres ustawy. Państwa UE powinny rozpocząć stosowanie przepisów NIS2 najpóźniej 18 października 2024 r., jednak w Polsce przewiduje się, że nowe przepisy zaczną obowiązywać w 2025 roku.
Google news
Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google
Jakie firmy z branży chemicznej będą objęte NIS2?
Zgodnie z Dyrektywą NIS2 oraz projektem nowelizacji Ustawy o KSC następujący średni i duzi przedsiębiorcy działający w branży chemicznej podlegają obowiązkom wynikającym z NIS2:
- przedsiębiorstwa zajmujące się produkcją substancji oraz wytwarzaniem i dystrybucją substancji lub mieszanin, o których mowa w art. 3 pkt 9 i 14 rozporządzenia REACH (Rozporządzenie (WE) nr 1907/2006 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2006 r. w sprawie rejestracji, oceny, udzielania zezwoleń i stosowanych ograniczeń w zakresie chemikaliów (REACH) i utworzenia Europejskiej Agencji Chemikaliów, zmieniające dyrektywę 1999/45/WE oraz uchylające rozporządzenie Rady (EWG) nr 793/93 i rozporządzenie Komisji (WE) nr 1488/94, jak również dyrektywę Rady 76/769/EWG i dyrektywy Komisji 91/155/EWG, 93/67/EWG, 93/105/WE i 2000/21/WE (Dz. Urz. UE L 396 z 30.12.2006, str.1, z późn. zm.),
- przedsiębiorstwa zajmujące się wytwarzaniem z substancji lub mieszanin wyrobów o których mowa w art. 3 pkt 3 rozporządzenia REACH.
Średnim przedsiębiorstwem jest podmiot, który:
- zatrudnia więcej niż 50 pracowników (wliczając również osoby pracujące na podstawie umów cywilnoprawnych), lub
- jego roczny obrót lub bilans całkowity przekracza 10 mln EUR.
Wystarczy spełnienie tylko jednego z powyższych warunków. Jeżeli firma przekracza którykolwiek z tych progów, nie może być uznana za małą, a tym samym kwalifikuje się jako co najmniej średnia.
Na temat producentów substancji oraz wytwórców i dystrybutorów substancji lub mieszanin pisaliśmy tutaj >> Obowiązki sektora chemicznego w kontekście NIS2
Poniżej skupiamy się na tematyce producentów wyrobów.
NIS-2 – czy moja firma podlega? [ANKIETA]
Przygotowaliśmy dla Państwa krótki kwestionariusz, który pozwoli zidentyfikować, czy i w jakim stopniu Państwa firma podlegać będzie pod wymagania Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej (dyrektywa NIS2). NIS-2 zostanie implementowana do polskiego porządku prawnego poprzez nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa, która ma wejść w życie na przełomie 2023 i 2024. Nowe regulacje wprowadzą znaczące zmiany dla polskich podmiotów: odpowiedzialność organów zarządzających oraz kary dochodzące do 10 000 000 euro lub aż 2% rocznego obrotu przedsiębiorstwa. Z przyjemnością pomożemy Państwu przygotować się do tych nowych wymagań. Aby wstępnie zbadać swoje nowe obowiązki w tym zakresie przygotowaliśmy kilka pytań. Po odpowiedzi na pytania otrzymają Państwo wynik, który odzwierciedli prawdopodobieństwo polegania pod nowe obowiązki nałożone przez Dyrektywę i projektowaną nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa.
Wyroby w rozumieniu REACH
Zgodnie z definicją z art. 3 ust. 3 REACH wyrób to „przedmiot, który podczas produkcji otrzymuje określony kształt, powierzchnię, konstrukcję lub wygląd zewnętrzny, co decyduje o jego funkcji w stopniu większym niż jego skład chemiczny”. Z definicji tej można wywnioskować, że wyrób to przedmiot zawierający następujące cechy:
- Jest złożony z jednej lub kilku substancji lub mieszanin
Wyroby mogą być wytwarzane z różnych materiałów, zarówno naturalnych, jak i syntetycznych. Przykłady obejmują drewno, wełnę, polietylen (PE) i inne tworzywa sztuczne. Ważne jest, aby zrozumieć, że skład chemiczny wyrobu jest istotny, ale nie decyduje o jego funkcji w takim stopniu jak jego kształt, powierzchnia czy konstrukcja.
- Posiada określony kształt, powierzchnię lub konstrukcję nadaną podczas procesu produkcyjnego
Proces produkcyjny nadaje wyrobom ich unikalne cechy fizyczne, które determinują ich funkcję. Przykłady obejmują formowane wtryskowo krzesła ogrodowe, łyżki z jednego kawałka plastiku, czy skomplikowane konstrukcje mebli. Te cechy fizyczne są kluczowe dla określenia, czy dany przedmiot jest wyrobem w rozumieniu REACH.
- Jego funkcja ma większe znaczenie niż jego skład chemiczny
Funkcja wyrobu jest określana przez jego kształt, powierzchnię i konstrukcję, a nie przez jego skład chemiczny. Na przykład, kanapa, pojazd czy sprzęt elektroniczny mają określone funkcje, które wynikają z ich konstrukcji i kształtu, a nie tylko z materiałów, z których są wykonane.
Celem określenia, czy dany przedmiot spełnia definicję wyrobu w rozumieniu rozporządzenia REACH, należy ocenić jego funkcję oraz kształt, powierzchnię lub konstrukcję. Wyroby, które są składane lub łączone ze sobą, pozostają wyrobami, pod warunkiem że zachowują specjalny kształt, powierzchnię lub konstrukcję, które decydują o funkcji całości w stopniu wyższym niż skład chemiczny, lub pod warunkiem, że nie stają się odpadami.
Kto produkuje wyrób?
Z przytoczonej definicji „wyrobu” wynikają istotne konsekwencje praktyczne. W rozumieniu rozporządzenia REACH, wyrobem jest każdy przedmiot, którego funkcję w większym stopniu niż jego skład chemiczny określa kształt, powierzchnia lub konstrukcja. W efekcie, za producenta wyrobu może zostać uznana zdecydowana większość firm wytwarzających fizyczne przedmioty – niezależnie od branży. Dotyczy to m.in. producentów sprzętu AGD, mebli, zabawek, artykułów budowlanych czy elementów dekoracyjnych.
Biorąc pod uwagę zakres dyrektywy NIS2, producenci raczej będą dopasowywać swoją działalność do innych bardziej oczywistych sektorów produkcyjnych określonych jako kluczowe i ważne, np. produkcja i dystrybucja żywności, wyrobów medycznych, elektroniki, urządzeń elektrycznych, maszyn, pojazdów czy sprzętu transportowego.
W praktyce oznacza to, że wielu przedsiębiorców, którzy nie kojarzą swojej działalności z branżą chemiczną może podlegać obowiązkom wynikającym z NIS2. Kluczowe jest więc dokonanie świadomej samooceny – czy dana firma, ze względu na charakter produkcji oraz swoją wielkość, kwalifikuje się jako producent wyrobu.
NIS2 – obowiązki i konsekwencje ich naruszenia
Zgodnie z projektem nowelizacji Ustawy o KSC, podmioty objęte regulacjami będą zobowiązane między innymi:
- zapewnić ciągłość działania, na przykład zarządzania kopiami zapasowymi i przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzania kryzysowego,
- zapewnić bezpieczeństwo łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem dotyczącym stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami,
- zapewnić bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności i ich ujawniania,
- zapewnić polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
- zapewnić podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,
- zapewnić polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania,
- zapewnić bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami,
- w stosownych przypadkach – zapewnić stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych,
- zgłaszać osoby lub organy zarządzające w firmie, które zatwierdzają środki zarządzania ryzykiem w cyberbezpieczeństwie,
- zapewnić regularny audyt bezpieczeństwa na własny koszt.
W przypadku tzw. podmiotów ważnych, niedostosowanie się do wymogów może skutkować sankcjami finansowymi – minimalna kara wynosi 15 000 zł, natomiast górna granica sięga 7 mln euro. Co istotne, odpowiedzialność finansowa może również dotknąć osoby zarządzające firmą, np. członków zarządu lub wspólników.
Należy jednak zaznaczyć, że ostateczny kształt przepisów może się jeszcze zmienić w toku procesu legislacyjnego. Z tego względu przedsiębiorcy powinni na bieżąco śledzić przebieg prac nad ustawą i aktualizować wiedzę, aby móc skutecznie przygotować się na wejście w życie nowych obowiązków.
Definicja „wyrobu” w rozumieniu rozporządzenia REACH powoduje, że wielu producentów – często nieświadomie – może zostać objętych nowymi obowiązkami. Dlatego tak istotne jest, by firmy zweryfikowały, czy kwalifikują się jako podmioty kluczowe lub ważne i odpowiednio przygotowały się na nadchodzące zmiany.
AUTORZY: Witold Chruszcz oraz Magdalena Bilicka, Kancelaria Prawna Grant Thornton
Czytaj więcej o NIS2: