7 października pojawiła się druga wersja projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawy o KSC) implementującej do polskiego porządku prawnego dyrektywę unijną NIS 2.
Projekt jest datowany na 3 października br. i uwzględnia dużą część uwag zgłoszonych w ramach konsultacji publicznych i uzgodnień międzyresortowych.
Projekt dostępny jest na stronie internetowej BIP Ministerstwa Cyfryzacji: Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (bip.gov.pl), natomiast na końcu artykułu, w załącznikach udostępniamy:
- porównanie nowego projektu nowelizacji z jego poprzednią wersją z dnia 23 kwietnia br. oraz
- przygotowaną przez nas scaloną wersję ustawy o KSC, uwzględniająca zmiany wprowadzane projektem nowelizacji.
Ministerstwo Cyfryzacji zapowiada, iż do końca 2024 r. chce, aby projekt ten został przyjęty przez Radę Ministrów i skierowany do prac parlamentarnych do końca bieżącego roku, tak aby uchwalić ustawę z początkiem 2025 r.
Najważniejsze zmiany dotyczą terminów spełnieniu obowiązków przez podmioty najważniejsze i ważne – zostały one wydłużone.
Obecnie harmonogram wygląda następująco:
Wprowadzonych zmian jest dużo. Poniżej przedstawiamy szersze, (ale wciąż skrótowe) omówienie najważniejszych naszym zdaniem zmian w stosunku do poprzedniej wersji projektu, a dla przypomnienia także najważniejsze aspekty nowelizacji ustawy o KSC:
1. Obowiązki podmiotów kluczowych i ważnych oraz terminy ich realizacji
- Obowiązek rejestracji w wykazie podmiotów kluczowych i ważnych – wydłużenie terminu (art. 7 i nast. nowelizowanej ustawy o KSC)
Nowy projekt wydłuża czas jaki podmioty najważniejsze i ważne będą miały na przeprowadzenie samoanalizy podlegania pod regulacje oraz dokonanie rejestracji w wykazie.
Zgodnie z projektem datowanym na 3 października termin na wniesienie wniosku o wpis w wykazie podmiotów kluczowych i ważnych wynosi 3 miesiące od wejścia w życie ustawy (lub spełnienia kryteriów uznania za podmiot najważniejszy lub ważny) – poprzednio wynosił on 2 miesiące. - Obowiązek przeprowadzenia audytu – ograniczenie obowiązku do podmiotów kluczowych oraz zmiany jego terminów (art. 15 nowelizowanej ustawy o KSC)
Projekt UKSC z 3 października ograniczył obowiązek przeprowadzania regularnych audytów zewnętrznych wyłącznie do podmiotów kluczowych.
Podmioty ważne nie będą miały obowiązku przeprowadzania audytu, co stanowi dość istotną zmianę, ponieważ w poprzedniej wersji projektu taki obowiązek był dla nich przewidziany. Warto wskazać, iż w poprzedniej wersji projektu (oraz w dyrektywie NIS 2) obowiązki podmiotów kluczowych i ważnych były takie same.
Wydłużeniu uległy również terminy na spełnienie tego obowiązku. Podmioty kluczowe, będą musiały przeprowadzić pierwszy audyt w ciągu 24 miesięcy od wejścia w życie ustawy (lub spełnienia kryteriów uznania za podmiot kluczowy) – poprzednio termin ten wynosił 12 miesięcy.
Również czas ważności audytów został wydłużony. Obecnie każdy kolejny audyt będzie musiał być przeprowadzony przez podmiot najważniejszy w ciągu 36 miesięcy od poprzedniego – w wersji projektu nowelizacji z 23 kwietnia br. termin ten był krótszy i wynosił 24 miesiące. - Obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji (art. 8 i nast. nowelizowanej ustawy o KSC)
Obowiązki w tym zakresie nie uległy zasadniczym zmianom w stosunku do poprzedniej wersji projektu nowelizacji (nowy projekt wprowadza jednak pewne doprecyzowania).
Podmioty najważniejsze i ważne wciąż będą miały obowiązek wdrożenia odpowiednich środków organizacyjnych i technicznych w ramach systemu zarzadzania bezpieczeństwem informacji w systemie informatycznym wykorzystywanym przy świadczeniu usługi. Na obowiązek ten składa się m.in. opracowanie i wdrożenie odpowiednich procedur i polityk dotyczących takich aspektów jak zapewnienie ciągłości działania czy bezpieczeństwa łańcucha dostaw.
Termin realizacji tego obowiązku nie uległ zmianie i wynosi 6 miesięcy od wejścia w życie ustawy (lub spełnienia kryteriów uznania za podmiot najważniejszy lub ważny). Wyjątkiem w tym zakresie będą podmioty wyznaczone jako podmioty najważniejsze lub ważne na mocy decyzji organu adekwatnego ds. cyberbezpieczeństwa – czas jaki będą miały na spełnienie tego obowiązku wynosić będzie 12 miesięcy.
Ważną zmianą jest natomiastwykreślenie z projektu nowelizacji z 3 X domniemania zgodności systemu zarządzania bezpieczeństwem informacji z regulacjami w przypadku gdy system ten spełniał wymogi norm ISO/IEC 27001 oraz ISO/IEC 22301.
2. Kary finansowe oraz ich wysokość – brak istotnych zmian w stosunku do wersji projektu nowelizacji uKSC z 23 kwietnia 2024 r. (art. 73 i nast.nowelizowanej ustawy o KSC)
Nowy projekt nie wprowadza modyfikacji co do wysokości kar, rozszerzeniu uległ natomiast katalog przypadków, w których można nałożyć karę na podmiot lub jego kierownika (art. 73 ust. 1, art. 73b, art. 73c oraz art. 73a ust. 1 nowelizowanej ustawy o KSC).
Kary przewidziane w nowelizacji ustawy o KSC odpowiadają minimalnym karom określonych w dyrektywie NIS 2 i przedstawiają się następująco:
- Kara nakładana na podmioty kluczowe niewykonujące obowiązków może wynieść maksymalnie 10 mln EUR lub 2% przychodów osiągniętych przez podmiot w roku poprzednim (zastosowanie ma kwota wyższa) Nałożona kara nie może być jednak niższa niż 20 000 zł.
- Kara nakładana na podmioty ważne może wynieść maksymalnie 7 mln EUR lub 1,4% przychodu dla podmiotów ważnych. Nałożona kara nie może być jednak niższa niż 15 000 zł.
- Polski ustawodawca wprowadził ponadto możliwość nałożenia kary kwalifikowanej – w wysokości do 100 mln zł, w przypadku, gdy naruszenie przepisów ustawy spowodowało:
- bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi;
- zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
- Nowelizacja wprowadza także kary dla kierowników podmiotu kluczowego lub ważnego – do 600% otrzymywanego przez niego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
3. Zakres podmiotowy – zmiany w stosunku do wersji projektu nowelizacji uKSC z 23 kwietnia 2024 r.
a. Zmiana kryteriów uznania za podmiot najważniejszy i istotny (art. 5 ust. 1 nowelizowanej ustawy o KSC)
Ustawodawca poprawił błąd, występujący w poprzedniej wersji projektu nowelizacji, zgodnie z którym podmiotami kluczowymi były podmioty duże działające w sektorach wskazanych zarówno w załączniku nr 1 (sektory kluczowe) oraz nr 2 do ustawy (sektory ważne).
W obecnej wersji podmiotami kluczowymi co do zasady będą jedynie podmioty duże działające w sektorach kluczowych,natomiast podmiotami ważnymi przedsiębiorstwa średnie działające w sektorach kluczowych oraz przedsiębiorstwa średnie oraz duże działające w sektorach ważnych – odpowiada to kryteriom określonym w dyrektywie NIS 2.
b. Doprecyzowany został zbiegu podstaw uznania za podmiot najważniejszy oraz istotny (art. 5 ust. 4 nowelizowanej ustawy o KSC).
Nowa wersja projektu nowelizacji określa, iż w przypadku, w którym dany podmiot spełni kryteria uznania zarówno za podmiot najważniejszy oraz ważny, podmiot taki będzie podmiotem kluczowym.
c. Zmiany dotyczące grup kapitałowych – zawężenie zakresu obejmowania (art. 5 ust. 5 oraz 6 nowelizowanej ustawy o KSC)
Nowy projekt wprowadza zawężenie do dotychczas przewidzianych zasad obliczania wielkości przedsiębiorstwa z uwzględnieniem jego przedsiębiorstw partnerskich lub powiązanych. Poprzednia wersja projektu nowelizacji wymagała, aby przy obliczaniu wielkości danego podmiotu uwzględniać dane pochodzące od innych przedsiębiorstw w grupie kapitałowej.
Obecna wersja projektu nowelizacji przewiduje, iż jeśli przedsiębiorstwo spełnia kryterium wielkościowe (będzie przedsiębiorstwem średnim lub dużym) przy uwzględnieniu jego przedsiębiorstw partnerskich lub powiązanych, ale jego system informacyjny jest niezależny od systemów wykorzystywanych w tych przedsiębiorstwach, to podmiot taki nie będzie uznawany za podmiot najważniejszy i ważny.
d. „Przesunięcia” w sektorach kluczowych i ważnych – sektory produkcyjne
W nowej wersji projektu ustawodawca przeniósł sektory produkcyjne tj.:
- sektor produkcji (ogólnej) m.in. urządzeń elektrycznych, komputerów, pojazdów
- sektor produkcji i dystrybucji chemikaliów oraz
- sektor produkcji i dystrybucji żywności
z załącznika nr 1 określającego sektory najważniejsze do załącznika nr 2 określającego sektory ważne. Zmiana ta odpowiada systematyce obowiązującej w dyrektywie NIS 2.
e. Inne zmiany w zakresie podmiotowym
Nowelizacja wprowadza dużo innych zmian, które dotyczą modyfikacji podsektorów i rodzajów podmiotów w m.in. następujących sektorach:
- Energii (np. modyfikacje dot. rodzajów podmiotów w podsektorze energii elektrycznej, czy dodanie podsektora energii jądrowej);
- Transportu (modyfikacja w zakresie transportu wodnego – operatorów portów);
- Sektor finansowy – uległ rozszerzeniu o nowe rodzaje podmiotów np. podmioty prowadzące ASO i OTF;
- Sektor ochrona zdrowia – dodano nowy podsektor oraz rodzaje podmiotów np. jednostki organizacyjne publicznej służby krwi;
- Sektor podmiotów publicznych – dodano nowe rodzaje podmiotów, część podmiotów została przeniesiona do sektora Badań naukowych;
Zmiany dotyczą także m.in. podmiotów, które w poprzedniej wersji były kwalifikowane jako podmioty najważniejsze bez względu na wielkość, w tym:
- Przedsiębiorców komunikacji elektronicznej (teraz podmiotem kluczowym będą przedsiębiorstwa co najmniej średniej wielkości, natomiast mikro lub małe przedsiębiorstwa będą podmiotami ważnymi);
- Dostawców usług zarządzanych w zakresie cyberbezpieczeństwa (podmiotem kluczowym będą jedynie przedsiębiorstwa co najmniej małe, natomiast mikroprzedsiębiorstwa nie będą już objęte regulacją). Warto wskazać, iż zmianie uległa także definicja tego rodzaju podmiotu, w szczególności wprost wyłączono usługi konsultacji z zakresu tej definicji.
4. Określenie relacji z rozporządzeniem DORA (m.in. art. 8i nowelizowanej ustawy o KSC)
Nowy projekt uwzględnia także regulacje wynikające z rozporządzenia DORA, a także wytyczne Komisji Europejskiej dot. stosowania art. 4 ust 1 i 2 dyrektywy NIS 2 z dnia 13 września 2023 r.
Przejawia się to m.in. z wyłączenia konieczności spełnienia poszczególnych obowiązków wynikających z nowelizacji ustawy o KSC przez podmioty z sektora bankowego i infrastruktury rynków finansowych.
Dotyczy to m.in. obowiązków z zakresu systemu zarządzania bezpieczeństwem informacji i zgłaszania poważnych incydentów, jednak z pewnymi wyjątkami określonymi w art. 8i nowelizowanej ustawy o KSC.
5. Wspólne wykonywanie obowiązków przez podmioty publiczne (art. 16c i nast. nowelizowanej ustawy o KSC)
Wprowadzono nowy rozdział ustawy – art. 16c i n. UKSC:
- Organyadministracji rządowej i jednostki samorządu terytorialnegomogą wyznaczyć, spośród jednostek organizacyjnych podległych albo przez nie nadzorowanych, jednostkę odpowiedzialną za realizację obowiązków wynikających z ustawy w pozostałych jednostkach organizacyjnych podległych oraz nadzorowanych (art. 16d);
- Pozostałe jednostki, dla których wyznaczono jednostkę wykonującą obowiązki mają obowiązek współpracy. Ustawa ogólnie reguluje też zasady współpracy (art. 16e – art. 16g).
6. Vacatio legis (art. 38 projektu nowelizacji)
Nowelizacja ma wejść w życie po upływie miesiąca od dnia ogłoszenia (bez zmian w stosunku do poprzedniej wersji projektu).