Dyrektywa NIS21 weszła w życie ponad rok temu, termin implementacji zbliża się wielkimi krokami, więc krajowe prace związane z jej implementacją przyspieszyły. Pod koniec kwietnia ukazał się projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw („Projekt”).
Alert został przygotowany przez kancelarię KRK Kieszkowska Rutkowska Kolasiński.
W razie jakichkolwiek pytań zachęcamy do kontaktu z kancelarią.
1. Cel dyrektywy NIS2
Dyrektywa NIS2 jest odpowiedzią na coraz większe wyzwania z zakresu cyberbezpieczeństwa, w tym zwiększającą się liczbę incydentów. Wzmacnia regulacje wprowadzone w 2016 r. w tzw. dyrektywie NIS1, która została implementowana do polskiego prawa w ustawie o krajowym systemie cyberbezpieczeństwa2 („Ustawa o KSC”).
Ponieważ dotychczasowe środki w zakresie cyberzagrożeń i reagowania na incydenty okazały się niewystarczające wobec obecnej skali wyzwań w cyberprzestrzeni, unijny ustawodawca przyjął dyrektywę NIS2, co powoduje konieczność wprowadzenie zmian również do polskiej Ustawy o KSC. Najważniejsze zmiany przedstawiamy poniżej.
2. Najważniejsze zmiany przewidziane w Projekcie
Projekt przewiduje szereg istotnych dla przedsiębiorców zmian dostosowujących polskie prawo do dyrektywy NIS2, w tym:
- Zmiana nazewnictwa i rozszerzenie katalogu podmiotów kluczowych i ważnych
- Nabywanie statusu podmiotu kluczowego lub ważnego z mocy ustawy, a nie na skutek wydania decyzji
- Nowe obowiązki podmiotów związane z cyberbezpieczeństwem
- Nowy CSIRT sektorowy
- Nowe organy właściwe ds. cyberbezpieczeństwa
- Nowe kary pieniężne
3. Podmioty kluczowe i ważne
W ślad za Dyrektywą NIS2, Projekt wprowadza rozróżnienie na podmioty kluczowe i ważne (zamiast dotychczasowego “operatora usługi kluczowej3”), określając kryteria ich klasyfikacji.
- Rozszerzenie katalogu podmiotów kluczowych lub ważnych
Podmiot kluczowy | Podmiot ważny |
|
|
Tym samym wprowadza się zmiany w przedmiocie identyfikacji podmiotu kluczowego i ważnego, w stosunku do aktualnie obowiązujących kryteriów identyfikacji operatora usługi kluczowej.
PORÓWNANIE
Ustawa o KSC | Projekt |
Kryterium ustrojowe: podmiot, o którym mowa w załączniku nr 1 do ustawy, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej), | Kryterium ustrojowe: podmiot wskazany w załączniku nr 1 i nr 2 do Projektu, |
Kryterium formalne: względem którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej, | Kryterium formalne: co do zasady brak, o czym szerzej poniżej, |
Kryterium materialne: decyzję identyfikacyjną wydaje się, jeżeli: (1) podmiot świadczy usługę kluczową, (2) świadczenie tej usługi zależne jest od systemów informacyjnych, a ponadto (3) incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora6. | Kryterium materialne: który przewyższa wymogi dla średniego przedsiębiorstwa. |
Ponadto na skutek proponowanych zmian dotychczasowy katalog podmiotów w załączniku 1 i 2 do Ustawy o KSC zostanie poszerzony m.in. o:
- jednostki administracji publicznej,
- podmioty produkujące wyroby medyczne uznane za mające krytyczne znaczenie podczas danego stanu zagrożenia zdrowia publicznego7,
- podmioty wytwarzające i produkujące chemikalia8,
- przedsiębiorstwa spożywcze9 zajmujące się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem,
- podmioty produkujące wyroby medyczne oraz wyroby medyczne do diagnostyki in vitro10,
- podmioty produkujące pojazdy samochodowe, przyczepy i naczepy11,
- podmioty produkujące urządzenia elektryczne12 .
W katalogu pozostały też takie podmioty jak:
- przedsiębiorcy prowadzący hurtownie farmaceutyczne,
- podmioty odpowiedzialne dla leków,
- importerzy oraz wytwórcy leków i substancji czynnych,
- przedsiębiorcy prowadzący apteki,
- importerzy równolegli oraz dystrybutorzy substancji czynnych,
w przypadku których koniecznym będzie ponowna weryfikacja statusu według nowych wytycznych.
PRZYKŁAD
Rodzaj podmiotu | Kryterium materialne w Ustawie o KSC | Kryterium materialne w Projekcie |
Przedsiębiorca, który uzyskał pozwolenie na dopuszczenie do obrotu produktu leczniczego | Próg istotności skutku zakłócającego incydentu dla świadczenia usługi kluczowej: kwota refundacji produktów leczniczych powyżej 1 mld PLN za ostatni rok kalendarzowy | Podmiot, który przewyższa wymogi dla średniego przedsiębiorstwa |
3.1. Zmiana w procedurze określania statusu podmiotu
Ważna zmiana dotyczy samego procesu uznawania danego podmiotu za ważny lub kluczowy:
- Obecnie uznanie za operatora usługi kluczowej następuje na podstawie decyzji właściwego organu, jeśli organ stwierdził spełnienie łącznie wszystkich kryteriów wskazanych powyżej.
- W świetle Projektu status podmiotu ważnego lub kluczowego będzie, co do zasady, nabywany z mocy ustawy13, a więc Przedsiębiorca będzie zobowiązany samodzielne ustalić, czy spełnia określone przesłanki. Procedura będzie wyglądać następująco:
Uznanie się za podmiot ważny/kluczowy w oparciu o ustawowe kryteria ⇓ |
Złożenie wniosku o wpis do wykazu w ciągu 2 miesięcy od dokonania autoklasyfikacji ⇓ |
Wpisanie podmiotu do wykazu przez ministra właściwego ds. informatyzacji |
Po dokonaniu wpisu podmioty będą musiały podłączyć się do systemu S46 w zakresie funkcjonalności umożliwiających szacowanie ryzyka i zgłaszanie incydentów.
4. Nowe obowiązki związane z cyberbezpieczeństwem
Projekt wprowadza liczne nowe obowiązki dla podmiotów kluczowych i ważnych lub modyfikuje obowiązki, które są obecnie nałożone na operatorów usługi kluczowej. Najistotniejsze z nich opisujemy poniżej.
Zgodnie z Projektem podmioty kluczowe i ważne będą zobowiązane:
- wdrożyć system zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług z uwzględnieniem wymagań określonych w Polskiej Normie PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301. Obowiązek wdrożenia systemu istniał już w dotychczasowej Ustawie o KSC – teraz zostanie doprecyzowany. Rada Ministrów będzie mogła określać odrębnie dla danego rodzaju działalności szczegółowe wymagania dla takiego systemu;
- do opracowania, stosowania i aktualizacji dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi;
- zgłaszać wczesne ostrzeżenie o incydencie poważnym niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, zaś incydent poważny niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia, do właściwego CSIRT sektorowego;
- zapewnić przeprowadzenie na własny koszt, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usług. Organ właściwy ds. cyberbezpieczeństwa będzie mógł nakazać podmiotowi przeprowadzenie audytu ad hoc;
- wyznaczyć po dwie osoby do kontaktów z innymi podmiotami KSC (dotychczas operatorzy usług kluczowych wyznaczali jedną osobę).
Odpowiedzialność za wykonanie obowiązków w zakresie cyberbezpieczeństwa będzie ponosił kierownik podmiotu kluczowego lub ważnego, co ważne, również wtedy, gdy niektóre z obowiązków zostały powierzone innej osobie za jej zgodą.
5. CSIRT sektorowe i nowe organy właściwe
CSIRT sektorowe
Projekt przewiduje nowe rozwiązanie – tj. powołanie CSIRT14 sektorowych. CSIRT sektorowy będzie powoływany przez organ właściwy ds. cyberbezpieczeństwa dla danego sektora lub podsektora. CSIRT sektorowy będzie odpowiadać za przyjmowanie zgłoszeń oraz reagowanie na incydenty. Celem nowego rozwiązania jest skrócenie czasu obsługi incydentów, które będą obsługiwane z uwzględnieniem szczególnych uwarunkowań danego sektora.
Nowe organy właściwe
Dotychczasowa właściwość działających już organów właściwych ds. cyberbezpieczeństwa pozostanie bez zmian. Uzupełniono ją natomiast w przypadku nowych sektorów, które na gruncie obecnej Ustawy o KSC nie były objęte regulacjami z zakresu cyberbezpieczeństwa. Przykładowo w przypadku sektorów kluczowych, dla sektora produkcji, wytwarzania i dystrybucji chemikaliów oraz podsektora produkcji wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro organem właściwym będzie minister właściwy do spraw zdrowia.
6. Kary pieniężne
Projekt wprowadza nowe przepisy dotyczące kar za nieprzestrzeganie przepisów o cyberbezpieczeństwie:
- Minimalna wysokość kary to 20 000 zł w przypadku podmiotów kluczowych oraz 15 000 zł w przypadku podmiotów ważnych;
- Kara nie będzie mogła przekroczyć 10 mln euro15 lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności w roku obrotowym poprzedzającym wymierzenie kary (lub 7 mln euro lub 1,4 % przychodów dla podmiotów ważnych).
- Kara w wysokości maksymalnie do 100 mln złotych będzie mogła zostać nałożona, jeśli podmiot powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi lub wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
- Karze pieniężnej może podlegać także kierownik podmiotu kluczowego lub ważnego, w kwocie nie większej niż 600% otrzymywanego wynagrodzenia16.
- Kary pieniężne będą nakładane przez organ właściwy ds. cyberbezpieczeństwa w drodze decyzji.
Projekt jest obecnie na etapie opiniowania. Nowelizacja ma wejść w życie po upływie miesiąca od dnia ogłoszenia ustawy w Dzienniku Ustaw. O postępach prac nad Projektem będziemy informować Państwa na bieżąco.
Kancelaria KRK służy pomocą w interpretacji nowych przepisów, w tym ustalaniu statusu podmiotu kluczowego lub ważnego.
1 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148, dostępna na stronie: LINK.
2 Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2023 r. poz. 913 z późn. zm.), dostępna na stronie: LINK.
3 Projekt uchyla możliwość wydawania przez Radę Ministrów rozporządzenia w sprawie usług kluczowych (które obecnie obowiązuje). Wynika to
z faktu, że dyrektywa NIS2 nakazuje podmiotom kluczowym i podmiotom ważnym wdrożyć środki zarządzania ryzykiem dotyczące usług
świadczonych przez te podmioty, a nie jednej konkretnej usługi.
4 Określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za
zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu („rozporządzenie 651/2014/UE”) .
5 W rozumieniu art. 2 pkt 1 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557, czyli podmiot publiczny lub prywatny zidentyfikowany jako m.in. świadczący co najmniej jedną usługę kluczową, prowadzący działalność na terytorium danego państwa członkowskiego, którego infrastruktura krytyczna znajduje się w tym państwie członkowskim, a ewentualny incydent miałby istotne skutki zakłócające dla świadczenia przez ten podmiot co najmniej jednej usługi kluczowej lub dla świadczenia innych usług kluczowych, jeśli podmiot został wymieniony w 3 kolumnie w załączniku do tej dyrektywy.
6 Istotność skutku zakłócającego incydentu dla świadczenia usługi kluczowej określana jest na podstawie progów istotności skutku zakłócającego, które zostały określone w Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz.U. z 2018 r., poz. 1806).
W rozumieniu art. 22 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/123.
8 Tj. substancji lub mieszanin o których mowa w art. 1907/2006 Parlamentu Europejskiego i rady oraz wyrobów z substancji i mieszanin, o których mowa w art. 3 pkt 3 tego rozporządzenia.
9 W rozumieniu art. 3 pkt 2 rozporządzenia (WE) nr 178/2002 Parlamentu Europejskiego i Rady.
10 Odpowiednio w rozumieniu art. 2 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/745 (MDR) oraz art. 2 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/746.
11 Przedsiębiorcy prowadzący którykolwiek z rodzajów działalności gospodarczej, o których mowa w sekcji C dział 29 klasyfikacji NACE Rev. 2.
12 Przedsiębiorcy prowadzący którykolwiek z rodzajów działalności gospodarczej, o których mowa w sekcji C dział 27 klasyfikacji NACE Rev. 2.
13 W odniesieniu do niektórych podmiotów (np. przedsiębiorców telekomunikacyjnych) minister będzie dokonywał wpisu do wykazu z urzędu. Na zasadzie wyjątku, uznanie za podmiot kluczowy lub ważny (i wpisanie do wykazu) będzie następowało na podstawie decyzji organu właściwego – taka sytuacja będzie dotyczyć np. podmiotów, które prowadzą działalność określoną w załączniku nr 1 lub 2 do Projektu, są małym lub średnim przedsiębiorcą i jako jedyne świadczą usługę, która ma kluczowe znaczenie dla krytycznej działalności społecznej lub gospodarczej.
14 CSIRT oznacza zespół reagowania na incydenty bezpieczeństwa komputerowego. Obecnie istnieją m.in. CSIRT NASK lub CSIRT MON (będą one istniały również po nowelizacji Ustawy o KSC).
15 Wyrażonej w złotych i ustalanej przy zastosowaniu kursu średniego ogłaszanego przez NBP obowiązującego w dniu wydania decyzji o wymierzeniu kary.
16 Obliczanego wg zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
adw. Paulina Kieszkowska-Knapik
adw. Katarzyna Kęska
apl. adw. Monika Woźniak-Cichuta
apl. radc. Inga Grela