22 listopada 2024 r. na stronach Rządowego Centrum Legislacji (RCL) dość niespodziewanie opublikowano trzecią wersję projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawy o KSC)[1]. Nowelizacja ma transponować do polskiego porządku prawnego dyrektywę unijną z zakresu cyberbezpieczeństwa – dyrektywę NIS 2[2].
Nowy projekt, datowany na 18 listopada 2024 r., nie wprowadza zbyt wielu merytorycznych zmian względem poprzedniego. Co istotne, tym razem zmiany nie dotyczyły zakresu obowiązków podmiotów kluczowych i ważnych oraz terminów ich realizacji, które dla przypomnienia przedstawiają się następująco:
Nowy projekt dostępny jest na stronie internetowej RCL: legislacja RCL – UC32. Natomiast na końcu artykułu zamieszczamy jako załącznik:
- przygotowaną przez nas scaloną wersję ustawy o KSC, uwzględniającą zmiany wprowadzane projektem nowelizacji w jego obecnej wersji z 18 listopada 2024 r. oraz
- porównanie nowego projektu nowelizacji z jego poprzednią wersją z dnia 3 października br.
Według wcześniejszych zapowiedzi Ministerstwa Cyfryzacji, projekt ma być przyjęty przez Radę Ministrów do końca 2024 r., a następnie skierowany do prac parlamentarnych, tak aby ustawę uchwalono z początkiem roku 2025.
Poniżej przedstawiamy omówienie najważniejszych, naszym zdaniem, zmian w nowym projekcie:
Zmiana zakresu definicji dostawcy usług zarządzanych cyberbezpieczeństwa (art. 2 pkt 4i nowelizowanej ustawy o KSC)
Trzecia wersja projektu nowelizacji ustawy o KSC wprowadza już trzecią wersję definicji dostawcy usług zarządzanych z zakresu cyberbezpieczeństwa. Zanim omówimy co oznacza nowa zmiana, warto przedstawić ewolucję tej definicji od jej pierwszej wersji:
Jak wynika z powyższego zestawienia, pierwszy projekt nowelizacji ustawy o KSC przyjął koncepcję zbliżoną do dyrektywy NIS 2 – dostawcy usług zarządzanych cyberbezpieczeństwa byli definiowani jako kwalifikowana forma dostawców usług zarządzanych (w znaczeniu ogólnym) i ich definicja opierała się właśnie o definicję formy podstawowej tego rodzaju podmiotu.
Kategoria dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa miała obejmować podmioty świadczące usługi zarządzane związane z zarządzaniem ryzykiem w zakresie cyberbezpieczeństwa lub takie, które zapewniają pomoc dla takich działań. Definicja ta była dość szeroka i po opublikowaniu pierwszego projektu ustawy wywoływała wiele wątpliwości interpretacyjnych i pytań, co było widoczne na etapie składania stanowisk w ramach przeprowadzonych konsultacji społecznych. Możliwe, iż właśnie ze względu na zgłaszane uwagi oraz mocno niedookreślony zakres definicyjny ustawodawca zdecydował się na jej zmianę – wprowadzając w kolejnych projektach doprecyzowania. Szkoda jednak, iż bez żadnego komentarza i wyjaśnienia w projekcie do uzasadnienia ustawy, szczególnie iż zaproponowane doprecyzowania w drugiej i trzeciej wersji projektu ustawy idą w zupełnie różnych kierunkach.
Projekt nowelizacji ustawy o KSC z 3 października 2024 r. odszedł od wcześniejszej koncepcji i przewidywał autonomiczną definicję dostawców usług zarządzanych cyberbezpieczeństwa. Definicja ta oprócz wprowadzenia przykładowego katalogu usług, które należało rozumieć jako usługi zarządzane z zakresu cyberbezpieczeństwa, wprowadzała dość istotną zmianę – spod zakresu definicji wyłączono bowiem wprost usługi konsultacji.
Najnowszy projekt nowelizacji ustawy o KSC ponownie robi zwrot o 180 stopni i tym razem zamiast wyłączyć usługi konsultacji (doradztwa) z zakresu definicji, to wymienia je jako „usługi doradztwa” w przykładowym katalogu usług, które należy uznać za usługi zarządzane z zakresu cyberbezpieczeństwa. Konsekwencje tego wydają się być oczywiste – do stosowania regulacji nowelizacji ustawy o KSC będą zobowiązane podmioty, które według poprzedniego projektu byłyby z tego zwolnione.
Ciężko ocenić jaki cel próbuje osiągnąć ustawodawca, wprowadzając omawianą zmianę. W uzasadnieniu projektu kwestia objęcia usług doradztwa w zakresie cyberbezpieczeństwa nie została poruszona, brak jest o tym jakiejkolwiek wzmianki. W uzasadnieniu wskazuje się natomiast na kwestie oczywiste, tzn. iż zakres definicji powinien obejmować podmioty świadczące usługi SOC (Security Operations Center), CSIRT (Computer Security Incident Response Team) oraz CERT (Computer Emergency Response Team).
Obecne brzmienie definicji „dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa” obejmujące świadczenie usług polegających na realizacji lub wsparciu dla realizacji działań związanych z zarządzaniem ryzykiem w cyberbezpieczeństwie poprzez doradztwo w tym zakresie może budzić poważne wątpliwości. Dotyczą one głównie tego, gdzie zaczyna się i na czym polega usługa doradztwa związana z zarządzaniem ryzykiem w cyberbezpieczeństwie. Przykładowo kilka pytań, na które nie odpowiada projekt ustawy:
- czy sama rekomendacja co do wdrożenia systemu zarządzania ryzykiem w cyberbezpieczeństwie jest już doradztwem w tym zakresie?
- czy doradztwo prawne polegające na wskazaniu odpowiednich wymagań prawnych dot. konieczności wdrożenia środków zarządzania cyberbezpieczeństwem mieści się w tej kategorii?
- czy opiniowanie wdrożonych rozwiązań pod kątem ich zgodności z regulacjami z zakresu cyberbezpieczeństwa stanowi świadczenie usług zarządzanych w zakresie cyberbezpieczeństwa?
Wydaje się, iż tak szerokie rozumienie tego pojęcia nie jest uzasadnione. Świadczenie usług doradczych w zakresie cyberbezpieczeństwa należy oddzielić od świadczenia usług prawnych, a poza tym nie powinno ono obejmować incydentalnego przekazywania pewnych wskazówek czy rekomendacji.
Bardzo szerokie rozumienie wsparcia i doradztwa w zakresie zarządzania ryzykiem w cyberbezpieczeństwie prowadziłoby do absurdów, gdzie jedna kategoria podmiotów objętych regulacjami nowelizacji ustawy o KSC obejmuje zarówno podmioty typu SOC – zapewniające kompleksową obsługę z zakresu cyberbezpieczeństwa (w tym zarządzanie aktywami IT) jak i podmioty świadczące usługi prawne i to w dodatku w sposób incydentalny, gdy obsługa prawna podmiotu kluczowego ogranicza się na przykład do wydania jednej opinii. Aby uniknąć sytuacji, w której z tymi problemami będziemy mierzyć się, gdy przepisy zostaną już uchwalone, ważne jest, by projektodawca po raz czwarty pochylił się nad tą definicją, a przy jej projektowaniu skonsultował się z rynkiem i zastanowił się nad konsekwencjami wprowadzanych zmian.
Omawiając kwestię dostawców usług zarządzanych cyberbezpieczeństwa, warto dodatkowo wspomnieć o dwóch kwestiach, tj. niższym progu wielkości oraz kwestii świadczenia tych usług na rzecz innych spółek w grupie kapitałowej.
Zgodnie z obecnym projektem, pod regulacje nowelizacji ustawy o KSC mają podlegać podmioty świadczące usługi zarządzane cyberbezpieczeństwa spełniające kryteria uznania za co najmniej małe przedsiębiorstwo. Stanowi ro odejście od ogólnej zasady, iż pod regulacje podlegają podmioty co najmniej średnie.
Drugą, sygnalizowaną m.in. w ramach konsultacji publicznych kwestią jest to, iż zakresem definicji dostawców usług zarządzanych (oraz usług zarządzanych cyberbezpieczeństwa) objęte będą podmioty, które świadczą takie usługi wyłącznie na rzecz spółek w grupie kapitałowej. Biorąc pod uwagę, iż jest to zjawisko dość często występujące na rynku oraz samą istotę i sens funkcjonowania grup kapitałowych wydaje się, iż świadczenie usług zarządzanych dla przedsiębiorstw partnerskich i powiązanych należałoby traktować w sposób inny niż świadczenie tych usług w sposób profesjonalny, na rzecz podmiotów trzecich.
Zmiany w obliczaniu wielkości przedsiębiorstwa (art. 5 ust 6-7 nowelizowanej ustawy o KSC)
Dyrektywa NIS 2 oraz projekt nowelizacji ustawy o KSC przyjmują zasadę określania wielkości podmiotu z uwzględnieniem danych pochodzących od spółek z grupy kapitałowej. Oznacza to, iż przy określaniu wielkości podmiotu, czy dany podmiot jest mikro, małym, średnim czy dużym przedsiębiorcą, powinno uwzględniać się również dane jego przedsiębiorstw partnerskich i powiązanych, zgodnie z zasadami określonymi w załączniku I do rozporządzenia[3] (Załącznika do Zalecenia Komisji 2003/361/WE[4] w przypadku dyrektywy NIS 2).
Może to oznaczać, iż przedsiębiorstwo, które samo zatrudnia mniej niż 50 pracowników i osiąga obrót, który nie przekracza 10 mln EUR – czyli nieosiągające pułapu uznania za przedsiębiorstwo średnie – przy uwzględnieniu danych jego przedsiębiorstw partnerskich lub powiązanych może być w wyniku takiego sumowania danych przedsiębiorstwem średnim lub dużym, a w związku z tym spełniać kryterium wielkości przewidziane przez omawiane regulacje.
Ważną zmianą, którą wprowadził jeszcze poprzedni projekt nowelizacji ustawy o KSC, było częściowe ograniczenie omawianej powyżej zasady uwzględniania danych spółek powiązanych i partnerskich przy ustalaniu wielkości danego podmiotu. Polski ustawodawca postanowił wyłączyć zasadę uwzględniania danych przedsiębiorstw zależnych lub partnerskich, gdy system informacyjny danego podmiotu jest niezależny od systemów informacyjnych tych przedsiębiorstw (art. 5 ust. 6 oraz 7 projektowanej nowelizacji ustawy o KSC). Warto podkreślić, iż omawiane ograniczenie jest zgodne z dyrektywą NIS 2 – możliwość wprowadzenia ograniczeń dla podmiotów w grupie kapitałowej została przewidziana w motywie 16 dyrektywy NIS 2.
W nowym projekcie dodano jednak dodatkowe wyłączenie. Zgodnie z nim danych ze spółek powiązanych i partnerskich nie powinno uwzględniać się także w przypadku, gdy nie świadczą one usług wspólnie z badanym podmiotem. w tej chwili projektowany przepis wygląda następująco (art. 5 ust. 6 nowelizowanej ustawy o KSC – analogiczny przepis art. 5 ust. 7 dotyczy podmiotu ważnego):
Pozostałe zmiany
Inne zmiany w nowelizacji dotyczą między innymi:
- rozszerzenia katalogu podmiotów kluczowych, bez względu na ich wielkość, o podmioty świadczące usługi rejestracji nazw domen (art. 5 ust. 1 lit. j nowelizowanej ustawy o KSC);
- dodania do podsektora energii elektrycznej nowego rodzaju podmiotu, tj. podmiotu świadczącego usługi magazynowania energii (zmiana w załączniku nr 1 nowelizowanej ustawy o KSC);
- doprecyzowania zasad podlegania pod polską ustawę o KSC (w kontekście terytorialnym) – wprowadzono kryterium miejsca zamieszkania lub prowadzenia działalności na terytorium RP przez siedzibę, oddział lub w ramach działalności transgranicznej przez dany podmiot (art. 5a ust. 1 nowelizowanej ustawy o KSC);
- wyłączenia obowiązku przeprowadzania audytu dla podmiotów kluczowych z sektora bankowości i rynków finansowych podlegających pod rozporządzenie DORA[5] (art. 8i ust. 1 nowelizowanej ustawy o KSC);
- dodania przepisu wyłączającego spod ustawy służby specjalne w rozumieniu ustawy o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu[6] (art. 5 ust. 11 nowelizowanej ustawy o KSC).
[1] Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych. Ustawa z 18 listopada 2024 r. (UC32).
[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Tekst mający znaczenie dla EOG).
[3] Rozporządzenie Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznające niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. U. UE. L. z 2014 r. Nr 187, str. 1 z późn. zm.).
[4] Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20 maja 2003, s. 36)
[5] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. U. UE. L. z 2022 r. Nr 333, str. 1 z późn. zm.).
[6] Ustawa z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (t.j. Dz. U. z 2024 r. poz. 812 z późn. zm.).
