NIS2 w polskim systemie prawnym
Dyrektywa NIS2 (a właściwie: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. U. UE. L. z 2022 r. Nr 333, str. 80) ma na celu ustanowienie wysokiego poziomu cyberbezpieczeństwa w państwach członkowskich. Warto podkreślić, że jej postanowienia nie mają charakteru bezpośrednio obowiązującego, a jedynie zobowiązują państwa członkowskie do wdrożenia odpowiednich regulacji krajowych.
W Polsce implementacja Dyrektywy NIS2 zostanie przeprowadzona poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (dalej: „Ustawa o KSC”). To przepisy tej ustawy będą obowiązywały polskie podmioty, a nie sama dyrektywa jako akt prawny.
Zgodnie z obecnym projektem nowelizacji, przedsiębiorcy objęci zakresem regulacji będą mieli sześć miesięcy na wdrożenie wymaganych działań w zakresie cyberbezpieczeństwa od dnia wejścia w życie nowych przepisów. Natomiast w ciągu trzech miesięcy od tego momentu konieczne będzie dokonanie zgłoszenia do wykazu podmiotów kluczowych i ważnych. Warto podkreślić, że Ustawa o KSC przewiduje zasadę samoidentyfikacji – każdy przedsiębiorca będzie musiał samodzielnie ocenić, czy spełnia kryteria objęcia przepisami. Zgodnie NIS2 państwa członkowskie powinny stosować przepisy dyrektywy od 18 października 2024 roku. W Polsce ostateczny termin wdrożenia przepisów nie jest jeszcze znany, ale przewidywana data to 2025 rok.
Google news
Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google
Które podmioty z branży chemicznej podlegają NIS2?
Przedsiębiorstwa zajmujące się produkcją substancji oraz wytwarzaniem i dystrybucją substancji lub mieszanin, o których mowa w art. 3 pkt 9 i 14 rozporządzenia (WE) nr 1907/2006 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2006 r. w sprawie rejestracji, oceny, udzielania zezwoleń i stosowanych ograniczeń w zakresie chemikaliów (REACH) i utworzenia Europejskiej Agencji Chemikaliów, zmieniające dyrektywę 1999/45/WE oraz uchylające rozporządzenie Rady (EWG) nr 793/93 i rozporządzenie Komisji (WE) nr 1488/94, jak również dyrektywę Rady 76/769/EWG i dyrektywy Komisji 91/155/EWG, 93/67/EWG, 93/105/WE i 2000/21/WE (Dz. Urz. UE L 396 z 30.12.2006, str.1, z późn. zm.) (dalej zwane: „REACH”) oraz przedsiębiorstwa zajmujące się wytwarzaniem z substancji mieszanin wyrobów o których mowa w art. 3 pkt 3 rozporządzenia REACH zostały przez projekt nowelizacji Ustawy o KSC oraz samą Dyrektywę NIS2 uznane za sektor ważny.
Oznacza to, że podmioty działające w powyższym sektorze podlegają nowym regulacjom jeśli są co najmniej przedsiębiorstwem średnim w rozumieniu art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. Urz. UE L 187 z 26.06.2014, str. 1, z późn. zm.7.
Przedsiębiorca jest przedsiębiorcą średnim, jeśli
- zatrudnia więcej niż 50 osób (przez zatrudnionych należy rozumieć osoby na umowach o pracę, ale również umowy zatrudnione na podstawie umów cywilnoprawnych) lub
- ma obrót lub całkowity bilans roczny nieprzekraczający 10 mln EUR,
przy czym wystarczy spełnianie jednej z powyższych przesłanek.
Wynika to z tego, że przedsiębiorca mały musi jednocześnie spełnić dwa warunki: zatrudniać mniej niż 50 osób i nie przekraczać rocznego obrotu lub bilansu rocznego 10 mln EUR. Jeśli przedsiębiorca nie spełnia choć jednego z powyższych warunków, jest podmiotem co najmniej średnim.
NIS-2 – czy moja firma podlega? [ANKIETA]
Przygotowaliśmy dla Państwa krótki kwestionariusz, który pozwoli zidentyfikować, czy i w jakim stopniu Państwa firma podlegać będzie pod wymagania Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej (dyrektywa NIS2). NIS-2 zostanie implementowana do polskiego porządku prawnego poprzez nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa, która ma wejść w życie na przełomie 2023 i 2024. Nowe regulacje wprowadzą znaczące zmiany dla polskich podmiotów: odpowiedzialność organów zarządzających oraz kary dochodzące do 10 000 000 euro lub aż 2% rocznego obrotu przedsiębiorstwa. Z przyjemnością pomożemy Państwu przygotować się do tych nowych wymagań. Aby wstępnie zbadać swoje nowe obowiązki w tym zakresie przygotowaliśmy kilka pytań. Po odpowiedzi na pytania otrzymają Państwo wynik, który odzwierciedli prawdopodobieństwo polegania pod nowe obowiązki nałożone przez Dyrektywę i projektowaną nowelizację Ustawy o Krajowym Systemie Bezpieczeństwa.
Rozporządzenie REACH a NIS2
Aby móc jednoznacznie ustalić, czy dany podmiot podlega nowym regulacjom o cyberbezpieczeństwie konieczne jest przyjrzenie się poniższym definicjom wynikającym z REACH.
- Substancja – pierwiastek chemiczny lub jego związki w stanie, w jakim występują w przyrodzie lub zostają uzyskane za pomocą procesu produkcyjnego, z wszelkimi dodatkami wymaganymi do zachowania ich trwałości oraz wszelkimi zanieczyszczeniami powstałymi w wyniku zastosowanego procesu, wyłączając rozpuszczalniki, które można oddzielić bez wpływu na stabilność i skład substancji.
Substancjami zgodnie z tą definicją są np. barwniki i pigmenty. Przykładem substancji jest Ultramaryna (Na8-10Al6Si6O24S2-4) – niebieski pigment stosowany w farbach, kosmetykach i tworzywach sztucznych. Ultramaryna spełnia przesłanki substancji, ponieważ jest produkowana przemysłowo i zawiera dodatki stabilizujące oraz zanieczyszczenia powstałe w procesie produkcji. Nie zawiera rozpuszczalników, które można oddzielić bez wpływu na jej stabilność i skład.
- Mieszanina – mieszanina lub roztwór składający się z dwóch lub większej liczby substancji.
Do mieszanin można zaliczyć farby, które składają się z różnych substancji (pigmentów, rozpuszczalników, żywic i innych dodatków), które razem tworzą produkt o określonych właściwościach, takich jak kolor, lepkość i trwałość.
- Wyrób – przedmiot, który podczas produkcji otrzymuje określony kształt, powierzchnię, konstrukcję lub wygląd zewnętrzny, co decyduje o jego funkcji w stopniu większym niż jego skład chemiczny.
Trzymając się przykładów z branży farb za wyrób w rozumieniu rozporządzenia REACH można uznać puszki na farbę. Puszki mają cylindryczny kształt, który jest kluczowy dla ich funkcji przechowywania i aplikacji farby. Kształt i powierzchnia są dla puszki ważniejsze dla osiągnięcia ich funkcji niż skład materiału (metal lub tworzywa sztuczne). Warto jednak zaznaczyć, że wyrobem jest wszystko, co podczas produkcji otrzymuje określony kształt, powierzchnię, konstrukcję lub wygląd, tj. np. kartka papieru, mebel, śrubka itp.
Jakie podmioty z sektora chemicznego podlegają NIS2?
Zgodnie z NIS2 oraz polskim projektem nowelizacji Ustawy o KSC zobowiązani do wprowadzenia środków przewidzianych w ustawie są:
- Producenci substancji: Osoby fizyczne lub prawne mająca siedzibę na terenie wspólnoty, które produkują substancje na terenie wspólnoty na własny użytek lub dla innych podmiotów (również na eksport).
- Dystrybutorzy substancji i mieszanin: Osoba fizyczny lub prawne mające siedzibę na terenie wspólnoty, które wyłącznie magazynują substancje samodzielnie lub w mieszaninie i udostępniają je na rynku stronom trzecim, w tym detalistom.
- Przedsiębiorstwa produkujące wyroby: Firmy, które wytwarzają przedmioty o określonym kształcie, powierzchni lub wzorze podczas produkcji, które w większym stopniu determinują funkcję przedmiotu niż jego skład chemiczny.
Opis „przedsiębiorstwo zajmujące się produkcją substancji oraz wytwarzaniem i dystrybucją substancji lub mieszanin, o których mowa w art. 3 pkt 9 i 14 REACH budzi wątpliwości interpretacyjne. W naszej ocenie można do tego podejść na 3 następujące sposoby.
- Ustawie podlegają podmioty, które jednocześnie zajmują się produkcją substancji oraz wytwarzaniem i dystrybucją substancji lub mieszanin
To oznaczałoby, że producenci np. farb czy lakierów (czyli mieszanin), którzy jednocześnie nie produkują substancji nie podlegaliby nowym obowiązkom. Jednocześnie również producenci substancji, którzy jednocześnie nie są ich dystrybutorami (np. produkcja substancji na użytek własny w celu produkcji z nich innych produktów) nie podlegaliby nowym obowiązkom. Wydaje się, że taka interpretacja nie odpowiada ogólnym założeniom i celom NIS2. Eliminuje ona bowiem większość podmiotów reprezentujących branżę chemiczną ze stosowania nowych przepisów.
- Ustawie podlegają podmioty, które zajmują się produkcją substancji, a także podmioty, które zajmują się jednocześnie wytwarzaniem i dystrybucją substancji lub mieszanin
Taka interpretacja prowadziłaby do tego, że ustawą byliby objęci wszyscy co najmniej średni producenci substancji, niezależnie od tego, czy dalej tę substancję dystrybuują czy nie. Jednocześnie do objęcia zakresem zastosowania ustawy niezbędne byłoby prowadzenie działalności polegającej na jednoczesnym wytwarzaniu i dystrybucji mieszanin lub substancji. Taka interpretacja wyłącza z zakresu zastosowania podmioty, które wyłącznie wytwarzają mieszaniny, podmioty które wyłącznie dystrybuują mieszaniny oraz podmioty, które wyłącznie dystrybuują substancje. Taka interpretacja wydaje się najbliższa założeniom, które przyświecały wprowadzeniu NIS2.
- Ustawie podlegają podmioty, które zajmują się produkcją mieszanin, podmioty które zajmują się wytwarzaniem substancji lub mieszanin oraz podmioty, które zajmują się dystrybucją substancji lub mieszanin.
W naszej ocenie z przyjęciem powyższej interpretacji wiąże się ogromne ryzyko dla całego sektora chemicznego i pokrewnego. Nie można jednak wykluczyć, że organy nadzorcze właśnie w taki sposób będą stosować powyższy przepis. Oznaczałoby to, że nowymi regulacjami objęci byliby zarówno producenci substancji i producenci mieszanin, jak i wszyscy dystrybutorzy mieszanin. Oznaczałoby to, że każdy przedsiębiorca prowadzący sklep sprzedający mieszaniny (czyli np. farby plakatowe, lakiery czy płyny do naczyń), zatrudniający więcej niż 50 osób (tj. przedsiębiorca co najmniej średni) musiałby stosować NIS2.
Kolejnym istotnym zagadnieniem jest konsekwencja objęcia NIS2 oraz projektem nowelizacji Ustawy o KSC wszystkich producentów wyrobów. O wyrobach więcej piszemy w artykule: Od kartki papieru po kanapę. Czy NIS2 dotyczy prawie każdego producenta w Polsce?
NIS2 – obowiązki i sankcje
Zgodnie z projektem nowelizacji Ustawy o KSC, podmioty objęte regulacjami będą zobowiązane między innymi:
- zapewnić ciągłość działania, na przykład zarządzania kopiami zapasowymi i przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzania kryzysowego,
- zapewnić bezpieczeństwo łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem dotyczącym stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami,
- zapewnić bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności i ich ujawniania,
- zapewnić polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
- zapewnić podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,
- zapewnić polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania,
- zapewnić bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami,
- w stosownych przypadkach – zapewnić stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych,
- zgłaszać osoby lub organy zarządzające w firmie, które zatwierdzają środki zarządzania ryzykiem w cyberbezpieczeństwie,
- zapewnić regularny audyt bezpieczeństwa na własny koszt.
W przypadku podmiotów ważnych, wysokość kary pieniężnej za niestosowanie nowych przepisów wynosi nie mniej niż 15 tys. zł i nie może przekroczyć 7 mln EUR. Karą pieniężną może zostać obciążony także kierownik jednostki (członek zarządu czy wspólnik).
Warto jednak pamiętać, że treść ostatecznej wersji przepisów wprowadzanych do polskiego porządku prawnego poprzez nowelizację Ustawy o KSC może ulec zmianie w trakcie procesu legislacyjnego.
Dlatego przedsiębiorcy powinni uważnie śledzić rozwój sytuacji oraz regularnie aktualizować swoją wiedzę na temat obowiązujących wymogów prawnych, aby właściwie przygotować się na nadchodzące zmiany.
W naszej ocenie sposób opisania sektora chemicznego w projekcie nowelizacji Ustawy o KSC rodzi ogromne ryzyka, które mogą spowodować, że podmioty, które zupełnie się tego nie spodziewają będą zobowiązane stosować nowe regulacje.
AUTORZY: Witold Chruszcz oraz Magdalena Bilicka, Kancelaria Prawna Grant Thornton
Czytaj więcej o NIS2: