Trwają prace nad nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która ma implementować unijną Dyrektywę NIS-2. Opublikowany 24 kwietnia 2024 r. projekt nowelizacji Ustawy o KSC został poddany konsultacjom publicznym.

W licznie zgłaszanych stanowiskach najczęściej pojawia się jeden wniosek – zwiększenie poziomu cyberbezpieczeństwa jest niezbędne, jednak proponowane zmiany są zbyt restrykcyjne, kosztowne i mogą prowadzić do odwrotnych skutków niż zamierzone.

AKTUALIZACJA z 8.10.2024 r.: W dniu 7 października 2024 r. opublikowany został nowy projekt nowelizacji Ustawy o Krajowym Systemie Bezpieczeństwa, który uwzględnił wiele postulatów zgłaszanych w trakcie procesu opiniowania pierwszego projektu nowelizacji. Zgodnie z zapowiedziami implementacja NIS2 ma nastąpić w 2025 roku.

Do najważniejszych zmian można zaliczyć:

  1. znika domniemanie w zakresie spełniania wymogów ustawy w sytuacji, gdy organizacja wdrożyła normy ISO/IEC 27001 oraz ISO/IEC 22301
  2. obowiązek zgłoszenia się do wykazu podmiotów ważnych i kluczowych wydłużony został z 2 miesięcy do 3 miesięcy
  3. pierwszy audyt nastąpi po 24 miesiącach, a nie po 12
  4. sektory produkcji (w tym produkcji chemikaliów i żywności) zostały uznane za sektory ważne, a nie kluczowe
  5. zmienia się część definicji, w tym definicja dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa
  6. uczestnictwo w grupie kapitałowej nie będzie musiało automatycznie oznaczać, że podmiot, który działa w danym sektorze podlega pod nowe obowiązki
  7. obowiązek dbania o bezpieczeństwo łańcucha dostaw został ograniczony nie tylko do usług, produktów i procesów ICT, ale również do dostawców bezpośrednich
  8. rozszerzono katalog przesłanek umożliwiających nałożenie kary pieniężnej (zwłaszcza na kierowników podmiotów zobowiązanych).

Dyrektywa NIS- 2 – czego dotyczy i jakie sektory obejmuje?

Dyrektywa NIS-2* została wprowadzona w miejsce obowiązujących od lat, niewystarczających i nieefektywnych z punktu widzenia dzisiejszych wyzwań oraz zagrożeń postanowień dawnej Dyrektywy NIS-1. Celem nowych przepisów jest wzmocnienie cyberbezpieczeństwa w krajach Unii Europejskiej poprzez rozszerzenie zakresu wcześniej obowiązujących regulacji zarówno w zakresie podmiotowym, jak i przedmiotowym. Poprzednie regulacje obejmowały w szczególności: branżę energetyczną, transport, bankowość, ochronę zdrowia oraz infrastrukturę cyfrową, jednak w praktyce, zważywszy na kryteria kwalifikacji, krąg podmiotów zobowiązanych tymi przepisami nie był duży.

Ważny fragment

Dyrektywa NIS-2 istotnie rozszerza katalog podmiotów objętych wcześniejszą regulacją między innymi o takie sektory jak: produkcja, wytwarzanie i dystrybucja żywności, produkcja, przetwarzanie i dystrybucja chemikaliów, badania naukowe, administracja publiczna czy dostawcy usług cyfrowych. Wprowadza również znacznie surowsze wymogi dotyczące zarządzania ryzykiem i raportowania incydentów cyberbezpieczeństwa oraz przewiduje dotkliwe sankcje za nieprzestrzeganie przepisów.

Nowe przepisy powinny zostać implantowane do polskiego porządku prawnego do dnia 18 października 2024 r. Regulacje krajowe muszą pozostać zgodne z kierunkiem wyznaczonym przez prawo unijne, jednak państwa członkowskie mają kompetencje do zaostrzenia regulacji krajowych w stosunku do NIS-2. W Polsce implementacja postanowień Dyrektywy NIS-2 nastąpić ma poprzez nowelizację Ustawy o KSC.

*Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148

Uwagi do Projektu Ustawy o KSC – nadregulacja, kontrowersyjne zapisy i milionowe koszty?

Opublikowany dnia 24 kwietnia 2024 r. projekt nowelizacji Ustawy o KSC w dniu sporządzenia niniejszego artykułu jest na etapie opiniowania.

Ważny fragment

W procesie przeprowadzonych konsultacji publicznych, zgłoszono wiele zdań krytycznych wobec proponowanej nowelizacji. Przedstawiciele przedsiębiorców odnoszący się do projektu nowelizacji zgodnie wskazali, że proponowane zmiany nakładają na polskie firmy nieproporcjonalne, w stosunku do regulacji wdrażanych w innych krajach UE, obowiązki, których realizacja znacznie zwiększy koszty prowadzenia działalności i zmniejszy zainteresowanie inwestorów zagranicznych na polskim rynku.

O niebagatelnym znaczeniu wprowadzanych zmian świadczy liczba uwag zgłoszonych do projektu nowelizacji Ustawy o KSC przez reprezentantów różnych instytucji, branż i sektorów. Tak wysokie zaangażowanie w proces legislacyjny nie dziwi, bowiem szacuje się, że zmiany mogą dotknąć niemal 40 tys. podmiotów.

NIS2: projekt Ustawy o KSC rozszerza katalog podmiotów objętych regulacjami

Projekt Ustawy o KSC zakłada, że nowymi regulacjami, oprócz podmiotów wskazanych bezpośrednio w NIS-2, objęte będą w szczególności: administracja publiczna w zakresie zdecydowanie bardziej rozszerzonym niż zakłada to dyrektywa, sektor farmaceutyczny i instytucje edukacyjne. Spośród powyższego katalogu najwięcej kontrowersji budzi objęcie regulacjami administracji publicznej, w tym na szczeblu lokalnym (włączając jednostki samorządu terytorialnego, uczelnie publiczne, publiczne zakłady opieki zdrowotnej, czy instytucje kultury). Odpowiedzialni za sektor administracji publicznej jednoznacznie wskazują, że koszty wdrożenia i spełnienia obowiązków nakładanych przez nowe regulacje mogą zrujnować budżety poszczególnych jednostek. Ponadto, sporo negatywnych komentarzy wywołało przypisanie obowiązków kontrolnych w sektorze administracji publicznej ABW oraz ministrowi właściwemu do spraw informatyzacji. Jak wskazało w swoim stanowisku ABW, jednostka nie będzie miała zasobów, aby w przewidywanym czasie wypełnić przewidziane ustawą zadania:

Rzetelne i terminowe spełnienie wymagań zawartych w ww. przepisach nie jest możliwe, wobec czego, w przedmiotowym zakresie, postuluje się całkowite wyłączenie służb specjalnych z konieczności realizacji obowiązków zdefiniowanych w art. 8 albo wydłużenie (o co najmniej 3 lata) czasu na wdrożenie rozwiązań wymaganych przepisami […].

Skorzystaj z naszych usług z zakresu: Cyberbezpieczeństwo i outsourcing IT
Dowiedz się więcej

Nowelizacja Ustawy o KSC a dostawcy wysokiego ryzyka – dyskryminacja ze względu na kryterium pochodzenia

W sektorze ICT szczególne niezadowolenie wzbudziły proponowane zmiany dotyczące dostawców wysokiego ryzyka (DWZ). Stanowczą opinię w tym zakresie wyraził jeden z największych na świcie producentów sprzętu elektronicznego tj. firma Huawei, wskazując, że: Polska jest jedynym krajem członkowskim UE, który uwzględnił klauzule wyłączające dostawców wysokiego ryzyka na podstawie politycznych i niemierzalnych kryteriów. Projekt Ustawy o KSC zakłada, że procedura wykluczenia dostawcy sprzętu lub oprogramowania obejmie wszystkie 18 sektorów i umożliwi, jak wskazują podmioty działające w branży ICT, arbitralne uznanie dostawców ICT w tych sektorach za DWZ na podstawie kryteriów, które są niejasne i mogą prowadzić do nadużyć politycznych np. kryterium państwa pochodzenia, co szczególnie dotknąć ma podmioty spoza UE. Powyższe z kolei, w perspektywie długofalowej może przełożyć się na obniżenie konkurencyjności polskiej gospodarki na arenie międzynarodowej.

Ważny fragment

Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google

NIS2: kary i odpowiedzialność kierowników podmiotów ważnych i kluczowych w nowelizacji Ustawy o KSC

W trakcie konsultacji wielokrotnie wskazywano, że polski prawodawca restrykcyjnie podszedł do kar za niespełnienie obowiązków wynikających z ustawy. Po pierwsze, w projekcie nowelizacji Ustawy o KSC zastosowano najwyższe kary przewidziane w Dyrektywie NIS-2, a po drugie, nie wprowadzono mechanizmu stopniowania kar, mimo że według dyrektywy powinny one być proporcjonalne.

W rezultacie, wysokość konkretnej kary będzie zależała od decyzji administracyjnej i arbitralności podmiotu wydającego tę decyzję. Jak trafnie wskazała Konfederacja Lewiatan, w praktyce oznacza to, że podmiot ważny lub kluczowy może otrzymać kilkadziesiąt milionów EUR kary za czynności zakwalifikowane wyłącznie jako „utrudniania” wykonywania kontroli, czyli za naruszenia, które, co do zasady, nie będą stanowić zagrożenia dla cyberbezpieczeństwa kraju. Ponadto polski ustawodawca przewiduje szerszą odpowiedzialność kierowników podmiotów kluczowych lub podmiotów ważnych, aniżeli wymagana przez postanowienia NIS-2.

Skorzystaj z naszych usług z zakresu: Kancelaria prawna
Dowiedz się więcej

Klasyfikacja małego i średniego przedsiębiorcy a uczestnictwo w grupie kapitałowej

Istotne wątpliwości i zagrożenia interpretacyjne wzbudza również niejasne podejście do definicji średniego i dużego przedsiębiorcy. Co do zasady, w większości przypadków znowelizowaną Ustawą o KSC objęte będą podmioty ze wskazanych sektorów, które są średnimi lub dużymi przedsiębiorcami. Zgodnie z NIS-2 państwa członkowskie mogą uwzględnić stopień niezależności podmiotu w stosunku do jego przedsiębiorstw partnerskich lub powiązanych, aby uniknąć uznawania podmiotów, które mają przedsiębiorstwa partnerskie lub które są przedsiębiorstwami powiązanymi, za podmioty kluczowe lub ważne, gdyby było to nieproporcjonalne. Polski ustawodawca nie zdecydował się na takie rozwiązanie. Brak zastosowania ograniczeń skutkuje tym, że status przedsiębiorcy będzie ustalany na podstawie złącznika I do rozporządzenia Komisji (UE) nr 651/2014, który to załącznik, nakazuje dokonywać kwalifikacji przedsiębiorstwa z uwzględnieniem jego przynależności do grupy kapitałowej i wyników przedsiębiorstw powiązanych/partnerskich. W praktyce oznacza to, że nawet jednostka mniejsza, silnie wyodrębniona i niezależna w strukturze grupy kapitałowej, ale prowadząca działalność w jednym ze wskazanych sektorów, może podlegać obowiązkom w zakresie cyberbezpieczeństwa, ze względu na powiązania z większym przedsiębiorstwem. Przedsiębiorcy obawiają się, że takie rozwiązanie obciąży firmy dodatkowymi wymaganiami formalnymi i kosztami, nie wpływając jednocześnie na ogólny poziom cyberbezpieczeństwa kraju. Dodatkowo można spodziewać się, że na rynku wystąpi problem z dokonaniem prawidłowej klasyfikacji statusu przedsiębiorcy. W naszej ocenie, potwierdzenie, czy dany podmiot podlega pod obowiązki z Ustawy o KSC, wymaga specjalistycznej wiedzy i często nie jest intuicyjne. Spodziewamy się, że fakt podlegania nowym obowiązków zaskoczy wielu przedsiębiorców.

Konsultacje publiczne wykazały szereg istotnych zastrzeżeń do treści projektu nowelizacji Ustawy o KSC. Mając na uwadze stopień zaawansowania prac oraz liczbę złożonych do projektu uwag, wydaje się, że dotrzymanie terminu implementacji może stanowić wyzwanie. Powyższe nie oznacza jednak, że przedsiębiorcy mogą odłożyć temat cyberbezpieczeństwa na przysłowiową półkę. Wysoce prawdopodobne jest, że krąg podmiotów objętych projektem nowelizacji Ustawy o KSC nie zmieni się istotnie, gdyż w dużej mierze jego ramy wyznacza Dyrektywa NIS-2. Przewidziany w projekcie czas na wdrożenie nowych obowiązków wynosi wyłącznie 6 miesięcy. Jeżeli prawodawca nie przychyli się do wniosków o jego wydłużenie, to przedsiębiorcy będą mieli zaledwie pół roku na realizacje szeregu obowiązków, często kosztownych i wymagających dużego nakładu pracy, również ze strony firm zewnętrznych. Już teraz warto zainteresować się poziomem cyberbezpieczeństwa w firmie, dokonać chociażby podstawowych audytów i przede wszystkim zweryfikować, czy wdrażane zmiany mogą objąć swoim zastosowaniem konkretny biznes.

AUTORKA: Karolina Idziak

Zobacz rozmowę: Nis-2. Kogo dotyczy, jakie są kary i kiedy wchodzi w życie? | Prawda i Wyzwania #5

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Kancelaria prawna

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Pole zawiera niedozwolone znaki

Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

Skontaktuj się

Magdalena Bilicka

Counsel, Radca Prawny

Specjalizacje

Skontaktuj się

Magdalena Bilicka

Counsel, Radca Prawny

Specjalizacje

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.