7 października b.r. opublikowano nową wersję projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw („Projekt”), implementującego Dyrektywę NIS21 do polskiego porządku prawnego. O szczegółach Projektu informowaliśmy Państwa w jednym z wcześniejszych alertów.

Alert został przygotowany przez kancelarię KRK Kieszkowska Rutkowska Kolasiński.

 

W razie jakichkolwiek pytań zachęcamy do kontaktu z kancelarią.

1. Cel Projektu

Projekt ma na celu wdrożenie Dyrektywy NIS2 do polskiego porządku prawnego. Dyrektywa wzmacnia regulacje wprowadzone w tzw. dyrektywie NIS1, która została implementowana do polskiego prawa w ustawie o krajowym systemie cyberbezpieczeństwa2 („Ustawa o KSC”).

 

Prace nad Projektem trwają od kwietnia b.r. Najnowsza wersja Projektu, datowana na 3 października b.r. uwzględnia część uwag zgłoszonych podczas konsultacji publicznych i różni się od wersji z dnia 23 kwietnia b.r. Najważniejsze zmiany wprowadzone w najnowszej wersji Projektu przedstawiamy poniżej.

 

2. Zmiany w zakresie podmiotów podlegających Ustawie o KSC

Nowa wersja Projektu zawiera zmiany dot. kwalifikacji przedsiębiorców jako podmiotów kluczowych lub ważnych, w tym m.in:

  • określa wprost, że jeśli dany podmiot spełniałby kryteria uznania go zarówno za podmiot kluczowy, jak i ważnym, to podmiot ten będzie podmiotem kluczowym;
  • doprecyzowuje, że podmiotami kluczowymi będą przedsiębiorstwa duże działające w sektorach kluczowych wskazanych w załączniku nr 1 do Projektu, a podmiotami ważnymi będą przedsiębiorstwa średnie działające w sektorach kluczowych oraz przedsiębiorstwa średnie i duże działające w sektorach ważnych wskazanych w załączniku nr 2 do Projektu3;
  • zawęża zasady obliczania wielkości przedsiębiorstwa działającego w grupie kapitałowej: jeśli system informacyjny takiego podmiotu jest niezależny od systemów wykorzystywanych w pozostałych podmiotach z grupy kapitałowej, to podmiot taki nie będzie uznawany za podmiot kluczowy lub ważny (nawet, jeśli spełnia on kryterium wielkościowe, tj. jest przedsiębiorstwem średnim lub dużym, przy uwzględnieniu pozostałych podmiotów z grupy kapitałowej)4;
  • podmioty z sektora produkcji i dystrybucji chemikaliów oraz produkcji i dystrybucji żywności przeniesiono z załącznika nr 1 (określającego sektory kluczowe) do załącznika nr 2 (zawierającego katalog sektorów ważnych).
  • katalog podmiotów kluczowych z sektora ochrony zdrowia rozszerzono m.in. o: jednostki organizacyjne publicznej służby krwi5, podmioty udzielające świadczeń opieki zdrowotnej będące podwykonawcą dla podmiotów kluczowych lub ważnych w sektorze ochrona zdrowia6 oraz świadczeniodawców posiadających w swojej strukturze organizacyjnej Szpitalny Oddział Ratunkowy, Centrum Urazowe lub Centrum Urazowe dla Dzieci;
  • katalog podmiotów kluczowych z sektora produkcji i dystrybucji substancji czynnych, produktów leczniczych i wyrobów medycznych rozbudowano m.in. o Urząd Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych.

 

3. Wydłużenie terminów na spełnienie obowiązków przed podmioty kluczowe i ważne

Aktualna wersja Projektu wprowadza dłuższe terminy na dostosowanie się przez podmioty kluczowe i ważne do nowych przepisów w zakresie cyberbezpieczeństwa.

 

  • Wydłużenie terminu na złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych

Termin na dokonanie rejestracji w wykazie podmiotów kluczowych i ważnych został wydłużony do 3 miesięcy od dnia wejścia w życie Ustawy o KSC lub spełnienia kryteriów uznania za podmiot kluczowy lub ważny7. Zgodnie w uprzednią wersją Projektu z kwietnia b.r., termin na złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych wynosił 2 miesiące.

 

  • Wydłużenie terminu na przeprowadzenie audytu

Projekt przewiduje obowiązek regularnego przeprowadzania audytów zewnętrznych przez podmioty kluczowe (w wersji Projektu z kwietnia b.r. obowiązek ten dotyczył również podmiotów ważnych).

 

Najnowsza wersja przewiduje, że pierwszy audyt powinien zostać przeprowadzony dopiero po 24 miesiącach od dnia wejścia w życie Ustawy o KSC (lub spełnienia kryteriów uznania za podmiot kluczowy)8. To znacząca różnica w stosunku do pierwotnej wersji Projektu, która przewidywała krótszy, 12-miesięczny termin.

 

Kolejny audyt podmiot kluczowy będzie musiał przeprowadzić w ciągu 36 miesięcy od poprzedniego9 (licząc od dnia sporządzenia i podpisania przez audytorów przeprowadzających audyt raportu z ostatniego audytu). Ten termin zastąpił dotychczasowy krótszy termin, który wynosił 24 miesiące.

 

4. Zgodność systemu zarządzania bezpieczeństwem informacji

Dotychczasowa wersja Projektu z kwietnia br. przewidywała domniemanie zgodności systemu zarządzania bezpieczeństwem informacji z regulacjami Ustawy o KSC oraz Dyrektywy NIS2 w przypadku, w którym system ten spełniał wymagania wskazane w normach ISO/IEC 27001 oraz ISO/IEC 22301.

 

W najnowszej wersji Projektu z dnia 3 października b.r. domniemanie zgodności, o którym mowa powyżej, zostało usunięte.

Projekt jest obecnie na etapie prac w poszczególnych komitetach. Po uchwaleniu Projektu przez Radę Ministrów trafi on do Sejmu, gdzie prace nad nową ustawą będą kontynuowane.

 

Jeśli są Państwo zainteresowani szczegółową analizą zmian, jakie pojawiły się w najnowszej wersji Projektu, serdecznie zapraszamy do kontaktu. Służymy też pomocą w interpretacji nowych przepisów, w tym ustalaniu statusu podmiotu kluczowego lub ważnego.

1 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148, dostępna na stronie: LINK.
2 Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2023 r. poz. 913 z późn. zm.), dostępna na stronie: LINK.
3 Art. 1 pkt 8 najnowszej wersji Projektu. z faktu, że dyrektywa NIS2 nakazuje podmiotom kluczowym i podmiotom ważnym wdrożyć środki zarządzania ryzykiem dotyczące usług świadczonych przez te podmioty, a nie jednej konkretnej usługi.
4 Projektowany art. 5 ust. 6 Ustawy o KSC. Poprzednia wersja Projektu nowelizacji wymagała, aby przy obliczaniu wielkości danego podmiotu uwzględniać dane pochodzące od innych przedsiębiorstw w grupie kapitałowej.
5 O których mowa w art. 4 ust. 3 pkt 2 ustawy z dnia 22 sierpnia 1997 r. o publicznej służbie krwi.
6 W rozumieniu art. 133 ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych.
7 Projektowany art. 7c Ustawy o KSC.
8 Projektowany art. 7l ust. 7 pkt 2 Ustawy o KSC.
9 Projektowany art. 15 ust. 1 Ustawy o KSC.

Zrzut ekranu 2024-05-28 131004

adw. Paulina Kieszkowska

paulina.kieszkowska-knapik@krklegal.pl

Zrzut ekranu 2024-05-28 131015

adw. Katarzyna Kęska-Burska

katarzyna.keska@krklegal.pl

Zrzut ekranu 2024-04-17 091010

apl. adw. Monika Woźniak-Cichuta

monika.wozniak-cichuta@krklegal.pl

Zrzut ekranu 2024-04-16 131043

apl. radc. Inga Grela

inga.grela@krklegal.pl

Przeczytaj również:

Przekształcenie spółki a zasada kontynuacji Nowy unijny zakaz greenwashingu coraz bliżej Nowa ustawa o ochronie sygnalistów coraz bliżej – konieczne zmiany Ustawa o ochronie sygnalistów opublikowana – nowe obowiązki już od 25 września 2024 roku