Dyrektywa NIS 2[1] ma na celu wzmocnienie cyberbezpieczeństwa poprzez zbudowanie zdolności w tym zakresie w całej Unii Europejskiej. Państwa członkowskie, w tym Polska, są zobowiązane dostosować swoje przepisy do wytycznych unijnych, aby skutecznie chronić infrastrukturę krytyczną i najbardziej wrażliwe sektory gospodarki. Od zeszłego roku prowadzone są intensywne prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, a w ostatnim czasie na rządowych stronach pojawił się kolejny – piąty już projekt nowelizacji. Proponowane tym razem zmiany dotyczą przede wszystkim podmiotów publicznych, jest jednak kilka nowości dotyczących także przedsiębiorców prywatnych.

(Dalsza część artykułu pod materiałem wideo)

Zobacz film edukacyjny: Umorzenie udziałów w spółce z o.o.​ – zagadnienia ogólne

Umorzenie udziałów to proces w spółce, którego przyczyny mogą być różne. O tych przyczynach i sposobie przeprowadzania tej procedury opowiada w filmie adwokat Mateusz Baran. Zapraszamy na film!

Wprowadzenie

Głównym celem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa jest oczywiście dostosowanie polskiego ustawodawstwa do wymogów wynikających z unijnej dyrektywy NIS 2. Projektowane przepisy obejmą przedsiębiorstwa z różnych sektorów, w tym energetycznego, transportu, bankowości, ochrony zdrowia, infrastruktury cyfrowej, usług pocztowych czy żywnościowego i przewidują podział podmiotów na kluczowe i ważne.

Kluczowe zmiany w piątej wersji projektu

Jedną z głównych zmian wynikających z opublikowanego w lutym br. piątego projektu ustawy jest podział podmiotów publicznych właśnie na podmioty kluczowe i ważne - do tej drugiej kategorii zaliczone mają zostać samorządowe jednostki budżetowe, samorządowe zakłady budżetowe, samorządowe instytucje kultury, spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dnia 20 grudnia 1996 r. o gospodarce komunalnej.

To jednak nie wszystko – w najnowszym projekcie ustawy przewidziano również zmiany w zakresie nadzoru nad wykonywaniem przez podmioty kluczowe obowiązków wynikających z ustawy. Wcześniejsze wersje projektu zakładały, że w celu egzekwowania przepisów ustawy organ właściwy do spraw cyberbezpieczeństwa w stosunku do podmiotów kluczowych będzie mógł zwrócić się do sądu o zawieszenia działalności podmiotu kluczowego albo nałożenie tymczasowego zakazu zajmowania kierowniczego stanowiska przez kierownika podmiotu kluczowego w tym podmiocie. Organ właściwy do spraw bezpieczeństwa mógł nakazać podjęcie określonych czynności dotyczących obsługi incydentu, a także wydać stosowane decyzje, np. dotyczące nakazania zaniechania naruszenia przepisów ustawy. I choć uprawnienia te dalej pozostaną w gestii organu właściwego do spraw cyberbezpieczeństwa, to istotna zmiana obejmuje kolejny etap - jeżeli podmiot kluczowy nie dostosuje się do ww. nakazów, organ właściwy do spraw cyberbezpieczeństwa będzie mógł samodzielnie m.in. wstrzymać udzieloną temu podmiotowi koncesję, wstrzymać w całości albo części działalność tego podmiotu czy zakazać pełnienia w podmiocie kluczowym funkcji zarządczych przez kierownika podmiotu do czasu usunięcia uchybień lub zaprzestania naruszeń. Oznaczać to może w zasadzie przyznanie samodzielności decyzyjnej organowi właściwemu do spraw cyberbezpieczeństwa, z pominięciem sądu czy organu udzielającego koncesję czy wydającego zgodę na prowadzenie działalności gospodarczej. Najnowszy projekt przewiduje ograniczenie stosowania środków nadzoru do 14 dni od doręczenia decyzji o ich zastosowaniu. Nic nie stoi jednak na przeszkodzie do wydania kolejnej takiej decyzji, jeżeli podmiot kluczowy nie usunie uchybień wskazanych przez organ właściwy do spraw cyberbezpieczeństwa.

Ostatnią istotną z perspektywy przedsiębiorców zmianą w aktualnym projekcie ustawy jest obniżenie maksymalnego wymiaru kary finansowej możliwej do nałożenia na kierownika podmiotu kluczowego lub ważnego, który nie wykonuje obowiązków wynikających z ustawy, z 600 do 300% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

Konsekwencje dla sektora prywatnego i publicznego

Projektowane zmiany odczujemy wszyscy – zarówno sektor prywatny, sektor publiczny, jak i odbiorcy usług z tych dwóch sektorów. Dla biznesu objętego zakresem podmiotowym dyrektywy NIS 2 i znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa najbardziej odczuwalne mogą być:

  • nowe obowiązki raportowe i notyfikacyjne związane z incydentami,
  • konieczność wzmocnienia infrastruktury teleinformatycznej (np. szyfrowanie, segmentacja sieci, regularne testy penetracyjne),
  • potencjalnie surowe kary za niewypełnienie obowiązków.

W odniesieniu do podmiotów ważnych w sektorze publicznym projekt nowelizacji ma wprowadzać bardziej elastyczne podejście, choć wciąż przewidziane są mechanizmy kontroli, w przypadku gdy administracja nie spełni wymogów z zakresu cyberbezpieczeństwa.

Podsumowanie i prognozy

Projekt jest obecnie na etapie prac Komitetu do Spraw Europejskich, który 13 lutego br. zarekomendował rozpatrzenie projektu ustawy wraz z protokołem rozbieżności Stałemu Komitetowi Rady Ministrów.

Chociaż obecna, piąta wersja nowelizacji ustawy demonstruje po stronie autorów projektu wolę uwzględnienia głosów krytycznych, wciąż jest sporo niewiadomych. Wprowadzenie wysokiej samodzielności organu właściwego do spraw cyberbezpieczeństwa wymaga precyzyjnego sformułowania zasad postępowania, w tym praw podmiotów objętych jego nadzorem. Nie ulega wątpliwości, że zakres obowiązków i wyzwań w obszarze cyberbezpieczeństwa będzie coraz większy. Zarówno sektor publiczny, jak i prywatny, powinny już teraz przygotować się na konieczność podniesienia poziomu zabezpieczeń i doskonalenia procedur, aby uniknąć potencjalnych kar, a także szkód czy ryzyk reputacyjnych wynikających z poważnych incydentów. Zachowanie zgodności z nowymi regulacjami może przesądzić o bezpieczeństwie biznesu i prawidłowej mitygacji ryzyka nałożenia dotkliwych sankcji.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).