Niełatwa implementacja dyrektywy NIS2

1 miesiąc temu

Resort cyfryzacji zakończył pracę nad projektem nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, która ma implementować dyrektywę NIS2 do naszego prawa. Teraz projektem zajmie się Rada Ministrów, co ma potrwać ok. trzech miesięcy. Minister cyfryzacji Krzysztof Gawkowski wyraził nadzieję, iż przepisy uda się uchwalić w I kwartale 2025 r., a więc niemal rok od publikacji pierwszej wersji projektu. Jak wskazał minister podczas konferencji prasowej, w ramach trwających dziewięć miesięcy prac w resorcie projekt zmieniano kilkanaście razy. W konsultacjach wzięło udział ponad 200 podmiotów, złożono 1567 uwag. MC twierdzi, iż uwzględniono 70 proc. z nich.

– Nie we wszystkich miejscach znaleźliśmy kompromis, ale też nie wszędzie chcieliśmy go znaleźć. Bo jeżeli ktoś chciałby namówić Ministerstwo Cyfryzacji, by w ustawie nie było przepisów o tym, co dla ustawy kluczowe, np. dostawcy wysokiego ryzyka, to nie możemy się na to fundamentalnie zgodzić. Cyberbezpieczeństwo w kategorii państwa jest bezcenne – mówił podczas konferencji Krzysztof Gawkowski.

– Wiele podmiotów nie tylko nie jest gotowych na nowe przepisy, a choćby pozostaje nieświadomych obowiązków, które na nich spoczną. To niestety pokazuje, z jakim wyzwaniem się mierzymy. Pamiętajmy, iż ustawa dotyczy podmiotów, których sprawne funkcjonowanie ma wpływ na nasze codzienne życie – mówi Aleksander Kostuch, inżynier systemowy Stormshield.

Ważne i kluczowe

Projekt ustawy, w ślad za dyrektywą NIS2, wprowadza rozróżnienie na podmioty kluczowe, które mają największe obowiązki z zakresu cyberbezpieczeństwa, oraz podmioty ważne. Państwa członkowskie mają jednak dużo swobody w określeniu, które branże zaliczają się do której kategorii.

– Podmioty najważniejsze są zobowiązane do zgłaszania incydentów poważnych niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia do odpowiedniego CSIRT sektorowego (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego). Podmioty ważne mają mieć więcej czasu w zgłaszanie incydentów lub mniej rygorystyczne wymagania dotyczące sprawozdawczości z incydentów – mówi Aleksander Kostuch.

Do kategorii podmiotów kluczowych zaliczona zostanie m.in. centralna administracja rządowa, publiczni dostawcy sieci i usług łączności elektronicznej, cyfrowych i telekomunikacyjnych, na przykład operatorzy chmurowi, i platformy sieci społecznościowych. A także instytucje publiczne świadczące usługi w sektorze niezbędnym dla utrzymania podstawowych funkcji społeczeństwa i gospodarki.

Z kolei podmiotami ważnymi w rozumieniu przepisów będą m.in. dostawcy wyszukiwarek internetowych, e-platformy handlowe, usługi pocztowe, kurierskie i łączności elektronicznej, przedsiębiorstwa gospodarujące odpadami lub jedyni dostawcy usług określonego rodzaju w danym państwie.

Jak poinformował podczas konferencji prasowej Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w MC, resort w ostatniej wersji projektu zdecydował się przenieść z kategorii podmiotów kluczowych do kategorii ważnych takie sektory, jak produkcja, wytwarzanie, dystrybucja chemikaliów oraz żywności, a także produkcja wyrobów medycznych, urządzeń elektrycznych, maszyn, samochodów, sprzętu transportowego.

Złagodzone zostały też obowiązki co do audytu. Podmioty najważniejsze będą musiały przeprowadzać go raz na trzy lata (a nie, jak wcześniej proponowano, co dwa), a podmioty ważne – tylko gdy zajdą ku temu przesłanki. Z kolei przedsiębiorcy usług komunikacyjnych mają mieć 24, a nie 12 godzin na zgłoszenie incydentu.

Kary i kontrole

Marcin Wysocki wskazał też, iż zrezygnowano z kar za niezastosowanie się do ostrzeżenia. Doprecyzowane mają też zostać przesłanki orzekania kar okresowych albo zakazu działalności za naruszenie ustawy, a także środki nadzoru i kontroli oraz związane z nimi procedury.

Chodzi tu o podmioty podlegające pod adekwatność wielu organów czy resortów, tak jak banki, firmy telekomunikacyjne czy energetyka. Wprowadzono możliwość wyznaczania jednego tzw. organu wiodącego do sprawowania nadzoru.

Ma to z jednej strony zmniejszyć uciążliwość i pozwolić kil ku kontroli, a z drugiej – usprawnić możliwość reagowania na zagrożenia dla cyberbezpieczeństwa. Temu drugiemu celowi mają służyć kontrole doraźne, które pozwolą na natychmiastową reakcję w wypadku zagrożenia cyberatakiem. Wprowadzono także możliwość odwołania do WSA od środków nadzorczych.

W projekcie pozostały jednak budzące kontrowersje zapisy o rozpoznawaniu skarg od decyzji MC na posiedzeniach niejawnych oraz przekazywania stronie uzasadnienia bez informacji niejawnych. Resort zapewnia, iż jest to podyktowane koniecznością ochrony tych informacji, a sąd rozpatrujący sprawę ma do nich dostęp.

Etap legislacyjny: przed Radą Ministrów

Opinia dla „Rzeczpospolitej”

Piotr Podgórski, radca prawny, Ogólnopolska Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl

W ogłoszonym projekcie o zmianie ustawy w dalszym ciągu pozostawiono niepokojące uregulowania dotyczące niejasnej procedury, na podstawie której dostawca sprzętu lub systemu informacyjno-komunikacyjnego (ICT) dla podmiotów kluczowych i ważnych (np. przedsiębiorców z sektora gospodarowania odpadami, z sektora ścieków, producentów, komputerów) uznany może zostać za dostawcę wysokiego ryzyka. jeżeli to się stanie, podmiot najważniejszy lub istotny zobowiązany będzie do pozbycia się jego systemu lub sprzętu w terminie siedmiu lat. Wiązało się to będzie z ogromnymi kosztami, jakie będą musieli ponieść przedsiębiorcy. Nie mówiąc o tym, iż niejednokrotnie obecny dostawca sprzętu oferował konkurencyjne ceny, a jego produkt lub usługa cechowały się wysoką jakością. Największe obawy budzą jednak kryteria nietechniczne, na podstawie których dany dostawca będzie mógł zostać uznany za dostawcę wysokiego ryzyka.

Idź do oryginalnego materiału