W licznie zgłaszanych stanowiskach najczęściej pojawia się jeden wniosek – zwiększenie poziomu cyberbezpieczeństwa jest niezbędne, jednak proponowane zmiany są zbyt restrykcyjne, kosztowne i mogą prowadzić do odwrotnych skutków niż zamierzone.
AKTUALIZACJA z 8.10.2024 r.: W dniu 7 października 2024 r. opublikowany został nowy projekt nowelizacji Ustawy o Krajowym Systemie Bezpieczeństwa, który uwzględnił wiele postulatów zgłaszanych w trakcie procesu opiniowania pierwszego projektu nowelizacji. Zgodnie z zapowiedziami implementacja NIS2 ma nastąpić w 2025 roku.
Do najważniejszych zmian można zaliczyć:
- znika domniemanie w zakresie spełniania wymogów ustawy w sytuacji, gdy organizacja wdrożyła normy ISO/IEC 27001 oraz ISO/IEC 22301
- obowiązek zgłoszenia się do wykazu podmiotów ważnych i kluczowych wydłużony został z 2 miesięcy do 3 miesięcy
- pierwszy audyt nastąpi po 24 miesiącach, a nie po 12
- sektory produkcji (w tym produkcji chemikaliów i żywności) zostały uznane za sektory ważne, a nie kluczowe
- zmienia się część definicji, w tym definicja dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa
- uczestnictwo w grupie kapitałowej nie będzie musiało automatycznie oznaczać, że podmiot, który działa w danym sektorze podlega pod nowe obowiązki
- obowiązek dbania o bezpieczeństwo łańcucha dostaw został ograniczony nie tylko do usług, produktów i procesów ICT, ale również do dostawców bezpośrednich
- rozszerzono katalog przesłanek umożliwiających nałożenie kary pieniężnej (zwłaszcza na kierowników podmiotów zobowiązanych).
Podsumowanie
- Dyrektywa NIS- 2 – czego dotyczy i jakie sektory obejmuje?
- Uwagi do Projektu Ustawy o KSC – nadregulacja, kontrowersyjne zapisy i milionowe koszty?
- NIS2: projekt Ustawy o KSC rozszerza katalog podmiotów objętych regulacjami
- Dostawcy wysokiego ryzyka – dyskryminacja ze względu na kryterium pochodzenia
- NIS2: kary i odpowiedzialność kierowników podmiotów ważnych i kluczowych w nowelizacji Ustawy o KSC
- Kwalifikacja małego i średniego przedsiębiorcy a uczestnictwo w grupie kapitałowej
Dyrektywa NIS- 2 – czego dotyczy i jakie sektory obejmuje?
Dyrektywa NIS-2* została wprowadzona w miejsce obowiązujących od lat, niewystarczających i nieefektywnych z punktu widzenia dzisiejszych wyzwań oraz zagrożeń postanowień dawnej Dyrektywy NIS-1. Celem nowych przepisów jest wzmocnienie cyberbezpieczeństwa w krajach Unii Europejskiej poprzez rozszerzenie zakresu wcześniej obowiązujących regulacji zarówno w zakresie podmiotowym, jak i przedmiotowym. Poprzednie regulacje obejmowały w szczególności: branżę energetyczną, transport, bankowość, ochronę zdrowia oraz infrastrukturę cyfrową, jednak w praktyce, zważywszy na kryteria kwalifikacji, krąg podmiotów zobowiązanych tymi przepisami nie był duży.
Ważny fragment
Dyrektywa NIS-2 istotnie rozszerza katalog podmiotów objętych wcześniejszą regulacją między innymi o takie sektory jak: produkcja, wytwarzanie i dystrybucja żywności, produkcja, przetwarzanie i dystrybucja chemikaliów, badania naukowe, administracja publiczna czy dostawcy usług cyfrowych. Wprowadza również znacznie surowsze wymogi dotyczące zarządzania ryzykiem i raportowania incydentów cyberbezpieczeństwa oraz przewiduje dotkliwe sankcje za nieprzestrzeganie przepisów.
Nowe przepisy powinny zostać implantowane do polskiego porządku prawnego do dnia 18 października 2024 r. Regulacje krajowe muszą pozostać zgodne z kierunkiem wyznaczonym przez prawo unijne, jednak państwa członkowskie mają kompetencje do zaostrzenia regulacji krajowych w stosunku do NIS-2. W Polsce implementacja postanowień Dyrektywy NIS-2 nastąpić ma poprzez nowelizację Ustawy o KSC.
*Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148
Uwagi do Projektu Ustawy o KSC – nadregulacja, kontrowersyjne zapisy i milionowe koszty?
Opublikowany dnia 24 kwietnia 2024 r. projekt nowelizacji Ustawy o KSC w dniu sporządzenia niniejszego artykułu jest na etapie opiniowania.
Ważny fragment
W procesie przeprowadzonych konsultacji publicznych, zgłoszono wiele zdań krytycznych wobec proponowanej nowelizacji. Przedstawiciele przedsiębiorców odnoszący się do projektu nowelizacji zgodnie wskazali, że proponowane zmiany nakładają na polskie firmy nieproporcjonalne, w stosunku do regulacji wdrażanych w innych krajach UE, obowiązki, których realizacja znacznie zwiększy koszty prowadzenia działalności i zmniejszy zainteresowanie inwestorów zagranicznych na polskim rynku.
O niebagatelnym znaczeniu wprowadzanych zmian świadczy liczba uwag zgłoszonych do projektu nowelizacji Ustawy o KSC przez reprezentantów różnych instytucji, branż i sektorów. Tak wysokie zaangażowanie w proces legislacyjny nie dziwi, bowiem szacuje się, że zmiany mogą dotknąć niemal 40 tys. podmiotów.
NIS2: projekt Ustawy o KSC rozszerza katalog podmiotów objętych regulacjami
Projekt Ustawy o KSC zakłada, że nowymi regulacjami, oprócz podmiotów wskazanych bezpośrednio w NIS-2, objęte będą w szczególności: administracja publiczna w zakresie zdecydowanie bardziej rozszerzonym niż zakłada to dyrektywa, sektor farmaceutyczny i instytucje edukacyjne. Spośród powyższego katalogu najwięcej kontrowersji budzi objęcie regulacjami administracji publicznej, w tym na szczeblu lokalnym (włączając jednostki samorządu terytorialnego, uczelnie publiczne, publiczne zakłady opieki zdrowotnej, czy instytucje kultury). Odpowiedzialni za sektor administracji publicznej jednoznacznie wskazują, że koszty wdrożenia i spełnienia obowiązków nakładanych przez nowe regulacje mogą zrujnować budżety poszczególnych jednostek. Ponadto, sporo negatywnych komentarzy wywołało przypisanie obowiązków kontrolnych w sektorze administracji publicznej ABW oraz ministrowi właściwemu do spraw informatyzacji. Jak wskazało w swoim stanowisku ABW, jednostka nie będzie miała zasobów, aby w przewidywanym czasie wypełnić przewidziane ustawą zadania:
Rzetelne i terminowe spełnienie wymagań zawartych w ww. przepisach nie jest możliwe, wobec czego, w przedmiotowym zakresie, postuluje się całkowite wyłączenie służb specjalnych z konieczności realizacji obowiązków zdefiniowanych w art. 8 albo wydłużenie (o co najmniej 3 lata) czasu na wdrożenie rozwiązań wymaganych przepisami […].
Nowelizacja Ustawy o KSC a dostawcy wysokiego ryzyka – dyskryminacja ze względu na kryterium pochodzenia
W sektorze ICT szczególne niezadowolenie wzbudziły proponowane zmiany dotyczące dostawców wysokiego ryzyka (DWZ). Stanowczą opinię w tym zakresie wyraził jeden z największych na świcie producentów sprzętu elektronicznego tj. firma Huawei, wskazując, że: Polska jest jedynym krajem członkowskim UE, który uwzględnił klauzule wyłączające dostawców wysokiego ryzyka na podstawie politycznych i niemierzalnych kryteriów. Projekt Ustawy o KSC zakłada, że procedura wykluczenia dostawcy sprzętu lub oprogramowania obejmie wszystkie 18 sektorów i umożliwi, jak wskazują podmioty działające w branży ICT, arbitralne uznanie dostawców ICT w tych sektorach za DWZ na podstawie kryteriów, które są niejasne i mogą prowadzić do nadużyć politycznych np. kryterium państwa pochodzenia, co szczególnie dotknąć ma podmioty spoza UE. Powyższe z kolei, w perspektywie długofalowej może przełożyć się na obniżenie konkurencyjności polskiej gospodarki na arenie międzynarodowej.
Ważny fragment
Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google
NIS2: kary i odpowiedzialność kierowników podmiotów ważnych i kluczowych w nowelizacji Ustawy o KSC
W trakcie konsultacji wielokrotnie wskazywano, że polski prawodawca restrykcyjnie podszedł do kar za niespełnienie obowiązków wynikających z ustawy. Po pierwsze, w projekcie nowelizacji Ustawy o KSC zastosowano najwyższe kary przewidziane w Dyrektywie NIS-2, a po drugie, nie wprowadzono mechanizmu stopniowania kar, mimo że według dyrektywy powinny one być proporcjonalne.
W rezultacie, wysokość konkretnej kary będzie zależała od decyzji administracyjnej i arbitralności podmiotu wydającego tę decyzję. Jak trafnie wskazała Konfederacja Lewiatan, w praktyce oznacza to, że podmiot ważny lub kluczowy może otrzymać kilkadziesiąt milionów EUR kary za czynności zakwalifikowane wyłącznie jako „utrudniania” wykonywania kontroli, czyli za naruszenia, które, co do zasady, nie będą stanowić zagrożenia dla cyberbezpieczeństwa kraju. Ponadto polski ustawodawca przewiduje szerszą odpowiedzialność kierowników podmiotów kluczowych lub podmiotów ważnych, aniżeli wymagana przez postanowienia NIS-2.
Klasyfikacja małego i średniego przedsiębiorcy a uczestnictwo w grupie kapitałowej
Istotne wątpliwości i zagrożenia interpretacyjne wzbudza również niejasne podejście do definicji średniego i dużego przedsiębiorcy. Co do zasady, w większości przypadków znowelizowaną Ustawą o KSC objęte będą podmioty ze wskazanych sektorów, które są średnimi lub dużymi przedsiębiorcami. Zgodnie z NIS-2 państwa członkowskie mogą uwzględnić stopień niezależności podmiotu w stosunku do jego przedsiębiorstw partnerskich lub powiązanych, aby uniknąć uznawania podmiotów, które mają przedsiębiorstwa partnerskie lub które są przedsiębiorstwami powiązanymi, za podmioty kluczowe lub ważne, gdyby było to nieproporcjonalne. Polski ustawodawca nie zdecydował się na takie rozwiązanie. Brak zastosowania ograniczeń skutkuje tym, że status przedsiębiorcy będzie ustalany na podstawie złącznika I do rozporządzenia Komisji (UE) nr 651/2014, który to załącznik, nakazuje dokonywać kwalifikacji przedsiębiorstwa z uwzględnieniem jego przynależności do grupy kapitałowej i wyników przedsiębiorstw powiązanych/partnerskich. W praktyce oznacza to, że nawet jednostka mniejsza, silnie wyodrębniona i niezależna w strukturze grupy kapitałowej, ale prowadząca działalność w jednym ze wskazanych sektorów, może podlegać obowiązkom w zakresie cyberbezpieczeństwa, ze względu na powiązania z większym przedsiębiorstwem. Przedsiębiorcy obawiają się, że takie rozwiązanie obciąży firmy dodatkowymi wymaganiami formalnymi i kosztami, nie wpływając jednocześnie na ogólny poziom cyberbezpieczeństwa kraju. Dodatkowo można spodziewać się, że na rynku wystąpi problem z dokonaniem prawidłowej klasyfikacji statusu przedsiębiorcy. W naszej ocenie, potwierdzenie, czy dany podmiot podlega pod obowiązki z Ustawy o KSC, wymaga specjalistycznej wiedzy i często nie jest intuicyjne. Spodziewamy się, że fakt podlegania nowym obowiązków zaskoczy wielu przedsiębiorców.
Konsultacje publiczne wykazały szereg istotnych zastrzeżeń do treści projektu nowelizacji Ustawy o KSC. Mając na uwadze stopień zaawansowania prac oraz liczbę złożonych do projektu uwag, wydaje się, że dotrzymanie terminu implementacji może stanowić wyzwanie. Powyższe nie oznacza jednak, że przedsiębiorcy mogą odłożyć temat cyberbezpieczeństwa na przysłowiową półkę. Wysoce prawdopodobne jest, że krąg podmiotów objętych projektem nowelizacji Ustawy o KSC nie zmieni się istotnie, gdyż w dużej mierze jego ramy wyznacza Dyrektywa NIS-2. Przewidziany w projekcie czas na wdrożenie nowych obowiązków wynosi wyłącznie 6 miesięcy. Jeżeli prawodawca nie przychyli się do wniosków o jego wydłużenie, to przedsiębiorcy będą mieli zaledwie pół roku na realizacje szeregu obowiązków, często kosztownych i wymagających dużego nakładu pracy, również ze strony firm zewnętrznych. Już teraz warto zainteresować się poziomem cyberbezpieczeństwa w firmie, dokonać chociażby podstawowych audytów i przede wszystkim zweryfikować, czy wdrażane zmiany mogą objąć swoim zastosowaniem konkretny biznes.
AUTORKA: Karolina Idziak, Associate, Kancelaria Prawna
Zobacz rozmowę: Nis-2. Kogo dotyczy, jakie są kary i kiedy wchodzi w życie? | Prawda i Wyzwania #5
