Projekt ustawy implementującej dyrektywę NIS2 opublikowany

Dyrektywa NIS2¹ weszła w życie ponad rok temu, termin implementacji zbliża się wielkimi krokami, więc krajowe prace związane z jej implementacją przyspieszyły. Pod koniec kwietnia ukazał się projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw („Projekt”).

Alert został przygotowany przez kancelarię KRK Kieszkowska Rutkowska Kolasiński.

W razie jakichkolwiek pytań zachęcamy do kontaktu z kancelarią.

1. Cel dyrektywy NIS2

Dyrektywa NIS2 jest odpowiedzią na coraz większe wyzwania z zakresu cyberbezpieczeństwa, w tym zwiększającą się liczbę incydentów. Wzmacnia regulacje wprowadzone w 2016 r. w tzw. dyrektywie NIS1, która została implementowana do polskiego prawa w ustawie o krajowym systemie cyberbezpieczeństwa² („Ustawa o KSC”).

Ponieważ dotychczasowe środki w zakresie cyberzagrożeń i reagowania na incydenty okazały się niewystarczające wobec obecnej skali wyzwań w cyberprzestrzeni, unijny ustawodawca przyjął dyrektywę NIS2, co powoduje konieczność wprowadzenie zmian również do polskiej Ustawy o KSC. Najważniejsze zmiany przedstawiamy poniżej.

2. Najważniejsze zmiany przewidziane w Projekcie

Projekt przewiduje szereg istotnych dla przedsiębiorców zmian dostosowujących polskie prawo do dyrektywy NIS2, w tym:

Zmiana nazewnictwa i rozszerzenie katalogu podmiotów kluczowych i ważnych
Nabywanie statusu podmiotu kluczowego lub ważnego z mocy ustawy, a nie na skutek wydania decyzji
Nowe obowiązki podmiotów związane z cyberbezpieczeństwem
Nowy CSIRT sektorowy
Nowe organy właściwe ds. cyberbezpieczeństwa
Nowe kary pieniężne

3. Podmioty kluczowe i ważne

W ślad za Dyrektywą NIS2, Projekt wprowadza rozróżnienie na podmioty kluczowe i ważne (zamiast dotychczasowego “operatora usługi kluczowej³”), określając kryteria ich klasyfikacji.

Rozszerzenie katalogu podmiotów kluczowych lub ważnych

Podmiot kluczowy

Podmiot ważny

podmiot wskazany w załączniku nr 1 i nr 2 do Projektu, który przewyższa wymogi dla średniego przedsiębiorstwa⁴;
przedsiębiorca komunikacji elektronicznej, który co najmniej spełnia wymogi dla średniego przedsiębiorcy;
niezależnie od wielkości podmiotu: dostawca usług DNS, usług zarządzanych w zakresie cyberbezpieczeństwa, kwalifikowany dostawca usług zaufania publicznego, podmiot krytyczny⁵, podmiot publiczny, rejestr domen najwyższego poziomu.

podmiot wskazany w załączniku nr 1 lub nr 2 do Projektu, który spełnia wymogi dla średniego przedsiębiorcy (niebędący podmiotem kluczowym);
niekwalifikowany dostawca usług zaufania będący mikro-, małym lub średnim przedsiębiorcą;
przedsiębiorca komunikacji elektronicznej będący mikro-, lub małym przedsiębiorcą.

Tym samym wprowadza się zmiany w przedmiocie identyfikacji podmiotu kluczowego i ważnego, w stosunku do aktualnie obowiązujących kryteriów identyfikacji operatora usługi kluczowej.

PORÓWNANIE

Ustawa o KSC	Projekt
Kryterium ustrojowe: podmiot, o którym mowa w załączniku nr 1 do ustawy, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej),	Kryterium ustrojowe: podmiot wskazany w załączniku nr 1 i nr 2 do Projektu,
Kryterium formalne: względem którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej,	Kryterium formalne: co do zasady brak, o czym szerzej poniżej,
Kryterium materialne: decyzję identyfikacyjną wydaje się, jeżeli: (1) podmiot świadczy usługę kluczową, (2) świadczenie tej usługi zależne jest od systemów informacyjnych, a ponadto (3) incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora⁶.	Kryterium materialne: który przewyższa wymogi dla średniego przedsiębiorstwa.

Ponadto na skutek proponowanych zmian dotychczasowy katalog podmiotów w załączniku 1 i 2 do Ustawy o KSC zostanie poszerzony m.in. o:

jednostki administracji publicznej,
podmioty produkujące wyroby medyczne uznane za mające krytyczne znaczenie podczas danego stanu zagrożenia zdrowia publicznego⁷,
podmioty wytwarzające i produkujące chemikalia⁸,
przedsiębiorstwa spożywcze⁹ zajmujące się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem,
podmioty produkujące wyroby medyczne oraz wyroby medyczne do diagnostyki in vitro¹⁰,
podmioty produkujące pojazdy samochodowe, przyczepy i naczepy¹¹,
podmioty produkujące urządzenia elektryczne¹² .

W katalogu pozostały też takie podmioty jak:

przedsiębiorcy prowadzący hurtownie farmaceutyczne,
podmioty odpowiedzialne dla leków,
importerzy oraz wytwórcy leków i substancji czynnych,
przedsiębiorcy prowadzący apteki,
importerzy równolegli oraz dystrybutorzy substancji czynnych,

w przypadku których koniecznym będzie ponowna weryfikacja statusu według nowych wytycznych.

PRZYKŁAD

Rodzaj podmiotu	Kryterium materialne w Ustawie o KSC	Kryterium materialne w Projekcie
Przedsiębiorca, który uzyskał pozwolenie na dopuszczenie do obrotu produktu leczniczego	Próg istotności skutku zakłócającego incydentu dla świadczenia usługi kluczowej: kwota refundacji produktów leczniczych powyżej 1 mld PLN za ostatni rok kalendarzowy	Podmiot, który przewyższa wymogi dla średniego przedsiębiorstwa

3.1. Zmiana w procedurze określania statusu podmiotu

Ważna zmiana dotyczy samego procesu uznawania danego podmiotu za ważny lub kluczowy:

Obecnie uznanie za operatora usługi kluczowej następuje na podstawie decyzji właściwego organu, jeśli organ stwierdził spełnienie łącznie wszystkich kryteriów wskazanych powyżej.
W świetle Projektu status podmiotu ważnego lub kluczowego będzie, co do zasady, nabywany z mocy ustawy¹³, a więc Przedsiębiorca będzie zobowiązany samodzielne ustalić, czy spełnia określone przesłanki. Procedura będzie wyglądać następująco:

Uznanie się za podmiot ważny/kluczowy w oparciu o ustawowe kryteria
⇓

Złożenie wniosku o wpis do wykazu w ciągu 2 miesięcy od dokonania autoklasyfikacji
⇓

Wpisanie podmiotu do wykazu przez ministra właściwego ds. informatyzacji

Po dokonaniu wpisu podmioty będą musiały podłączyć się do systemu S46 w zakresie funkcjonalności umożliwiających szacowanie ryzyka i zgłaszanie incydentów.

4. Nowe obowiązki związane z cyberbezpieczeństwem

Projekt wprowadza liczne nowe obowiązki dla podmiotów kluczowych i ważnych lub modyfikuje obowiązki, które są obecnie nałożone na operatorów usługi kluczowej. Najistotniejsze z nich opisujemy poniżej.

Zgodnie z Projektem podmioty kluczowe i ważne będą zobowiązane:

wdrożyć system zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług z uwzględnieniem wymagań określonych w Polskiej Normie PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301. Obowiązek wdrożenia systemu istniał już w dotychczasowej Ustawie o KSC – teraz zostanie doprecyzowany. Rada Ministrów będzie mogła określać odrębnie dla danego rodzaju działalności szczegółowe wymagania dla takiego systemu;
do opracowania, stosowania i aktualizacji dokumentacji dotyczącej bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi;
zgłaszać wczesne ostrzeżenie o incydencie poważnym niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, zaś incydent poważny niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia, do właściwego CSIRT sektorowego;
zapewnić przeprowadzenie na własny koszt, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usług. Organ właściwy ds. cyberbezpieczeństwa będzie mógł nakazać podmiotowi przeprowadzenie audytu ad hoc;
wyznaczyć po dwie osoby do kontaktów z innymi podmiotami KSC (dotychczas operatorzy usług kluczowych wyznaczali jedną osobę).

Odpowiedzialność za wykonanie obowiązków w zakresie cyberbezpieczeństwa będzie ponosił kierownik podmiotu kluczowego lub ważnego, co ważne, również wtedy, gdy niektóre z obowiązków zostały powierzone innej osobie za jej zgodą.

5. CSIRT sektorowe i nowe organy właściwe

CSIRT sektorowe

Projekt przewiduje nowe rozwiązanie – tj. powołanie CSIRT¹⁴ sektorowych. CSIRT sektorowy będzie powoływany przez organ właściwy ds. cyberbezpieczeństwa dla danego sektora lub podsektora. CSIRT sektorowy będzie odpowiadać za przyjmowanie zgłoszeń oraz reagowanie na incydenty. Celem nowego rozwiązania jest skrócenie czasu obsługi incydentów, które będą obsługiwane z uwzględnieniem szczególnych uwarunkowań danego sektora.

Nowe organy właściwe

Dotychczasowa właściwość działających już organów właściwych ds. cyberbezpieczeństwa pozostanie bez zmian. Uzupełniono ją natomiast w przypadku nowych sektorów, które na gruncie obecnej Ustawy o KSC nie były objęte regulacjami z zakresu cyberbezpieczeństwa. Przykładowo w przypadku sektorów kluczowych, dla sektora produkcji, wytwarzania i dystrybucji chemikaliów oraz podsektora produkcji wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro organem właściwym będzie minister właściwy do spraw zdrowia.

6. Kary pieniężne

Projekt wprowadza nowe przepisy dotyczące kar za nieprzestrzeganie przepisów o cyberbezpieczeństwie:

Minimalna wysokość kary to 20 000 zł w przypadku podmiotów kluczowych oraz 15 000 zł w przypadku podmiotów ważnych;
Kara nie będzie mogła przekroczyć 10 mln euro¹⁵ lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności w roku obrotowym poprzedzającym wymierzenie kary (lub 7 mln euro lub 1,4 % przychodów dla podmiotów ważnych).
Kara w wysokości maksymalnie do 100 mln złotych będzie mogła zostać nałożona, jeśli podmiot powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi lub wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
Karze pieniężnej może podlegać także kierownik podmiotu kluczowego lub ważnego, w kwocie nie większej niż 600% otrzymywanego wynagrodzenia¹⁶.
Kary pieniężne będą nakładane przez organ właściwy ds. cyberbezpieczeństwa w drodze decyzji.

Projekt jest obecnie na etapie opiniowania. Nowelizacja ma wejść w życie po upływie miesiąca od dnia ogłoszenia ustawy w Dzienniku Ustaw. O postępach prac nad Projektem będziemy informować Państwa na bieżąco.

Kancelaria KRK służy pomocą w interpretacji nowych przepisów, w tym ustalaniu statusu podmiotu kluczowego lub ważnego.

1 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148, dostępna na stronie: LINK.
2 Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2023 r. poz. 913 z późn. zm.), dostępna na stronie: LINK.
3 Projekt uchyla możliwość wydawania przez Radę Ministrów rozporządzenia w sprawie usług kluczowych (które obecnie obowiązuje). Wynika to
z faktu, że dyrektywa NIS2 nakazuje podmiotom kluczowym i podmiotom ważnym wdrożyć środki zarządzania ryzykiem dotyczące usług
świadczonych przez te podmioty, a nie jednej konkretnej usługi.
4 Określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za
zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu („rozporządzenie 651/2014/UE”) .
5 W rozumieniu art. 2 pkt 1 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557, czyli podmiot publiczny lub prywatny zidentyfikowany jako m.in. świadczący co najmniej jedną usługę kluczową, prowadzący działalność na terytorium danego państwa członkowskiego, którego infrastruktura krytyczna znajduje się w tym państwie członkowskim, a ewentualny incydent miałby istotne skutki zakłócające dla świadczenia przez ten podmiot co najmniej jednej usługi kluczowej lub dla świadczenia innych usług kluczowych, jeśli podmiot został wymieniony w 3 kolumnie w załączniku do tej dyrektywy.
6 Istotność skutku zakłócającego incydentu dla świadczenia usługi kluczowej określana jest na podstawie progów istotności skutku zakłócającego, które zostały określone w Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz.U. z 2018 r., poz. 1806).
W rozumieniu art. 22 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/123.
8 Tj. substancji lub mieszanin o których mowa w art. 1907/2006 Parlamentu Europejskiego i rady oraz wyrobów z substancji i mieszanin, o których mowa w art. 3 pkt 3 tego rozporządzenia.
9 W rozumieniu art. 3 pkt 2 rozporządzenia (WE) nr 178/2002 Parlamentu Europejskiego i Rady.
10 Odpowiednio w rozumieniu art. 2 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/745 (MDR) oraz art. 2 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/746.
11 Przedsiębiorcy prowadzący którykolwiek z rodzajów działalności gospodarczej, o których mowa w sekcji C dział 29 klasyfikacji NACE Rev. 2.
12 Przedsiębiorcy prowadzący którykolwiek z rodzajów działalności gospodarczej, o których mowa w sekcji C dział 27 klasyfikacji NACE Rev. 2.
13 W odniesieniu do niektórych podmiotów (np. przedsiębiorców telekomunikacyjnych) minister będzie dokonywał wpisu do wykazu z urzędu. Na zasadzie wyjątku, uznanie za podmiot kluczowy lub ważny (i wpisanie do wykazu) będzie następowało na podstawie decyzji organu właściwego – taka sytuacja będzie dotyczyć np. podmiotów, które prowadzą działalność określoną w załączniku nr 1 lub 2 do Projektu, są małym lub średnim przedsiębiorcą i jako jedyne świadczą usługę, która ma kluczowe znaczenie dla krytycznej działalności społecznej lub gospodarczej.
14 CSIRT oznacza zespół reagowania na incydenty bezpieczeństwa komputerowego. Obecnie istnieją m.in. CSIRT NASK lub CSIRT MON (będą one istniały również po nowelizacji Ustawy o KSC).
15 Wyrażonej w złotych i ustalanej przy zastosowaniu kursu średniego ogłaszanego przez NBP obowiązującego w dniu wydania decyzji o wymierzeniu kary.
16 Obliczanego wg zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.