Rząd pracuje nad zmianą przepisów, która już w momencie uchwalania będzie wymagać nowelizacji. Nie uwzględnia bowiem nowej unijnej dyrektywy. Dla firm może to oznaczać dodatkowe koszty.

Nowe regulacje mają według Komisji Europejskiej zapewnić „bezpieczniejszą i silniejszą Europę” dzięki zaostrzeniu wymagań w sferze cyberbezpieczeństwa i objęciu nimi większej liczby podmiotów. Dyrektywa 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dalej: NIS2) jest częścią pakietu unijnych środków służących wzmocnieniu odporności i poprawie zdolności reagowania na cyberincydenty.
- NIS2 zwiększy cyberbezpieczeństwo i cyberodporność, ale nie od razu, a w ciągu kilku lat - stwierdza dr Łukasz Olejnik, niezależny badacz i doradca ds. cyberbezpieczeństwa, autor książki „Filozofia cyberbezpieczeństwa”.
Dyrektywa wskazuje 10 kluczowych elementów, jakie objęte nią firmy muszą uwzględnić lub wdrożyć w swojej działalności, w tym: politykę analizy ryzyka i bezpieczeństwa systemów informatycznych, bezpieczeństwo łańcucha dostaw, obsługę incydentów, kryptografię i szyfrowanie.

Więcej obowiązków

Regulacja zastąpiła swoją poprzedniczkę z 2016 r. (NIS). W myśl poprzedniej dyrektywy państwa członkowskie samodzielnie oceniały, które podmioty zakwalifikować jako operatorów usług kluczowych. NIS2 wprowadza tu kryterium wielkości. W jej zakres wchodzą wszystkie średnie i duże podmioty (zatrudniające co najmniej 250 osób), które działają w objętych regulacją sektorach. Tych ostatnich też przybyło (patrz ramka), a niektóre z wcześniejszych uwzględniono szerzej (np. do branży zdrowotnej zostali włączeni producenci wyrobów medycznych).
Ponadto w odniesieniu do podmiotów administracji publicznej - które są w zasięgu NIS2 na szczeblu centralnym i regionalnym - państwa członkowskie mogą rozszerzyć stosowanie nowych przepisów na administrację szczebla lokalnego.
Obowiązki cyberbezpieczeństwa zostały zaostrzone.
- Poszerzone zostały wymogi zarządzania ryzykiem cyberbezpieczeństwa - o konieczność podstawowej praktyki cyber higieny. „Cyberhigiena” to termin techniczny i polityczny, jednak niezdefiniowany prawnie - wskazuje Łukasz Olejnik.
Według NIS2 „polityka cyberhigieny stanowi podstawę pozwalającą chronić infrastrukturę sieci i systemów informatycznych” i „umożliwia utworzenie proaktywnych ram gotowości oraz zapewnienie ogólnego bezpieczeństwa i ochrony w razie incydentów lub cyberzagrożeń”. Obejmuje takie praktyki jak aktualizacje oprogramowania i sprzętu, zmianę haseł, zarządzanie nowymi instalacjami, ograniczanie kont dostępu na poziomie administratora oraz tworzenie kopii zapasowych.

Zdublowane ustawy

NIS2 weszła w życie 16 stycznia tego roku, ale ponieważ ma formę dyrektywy, państwa członkowskie muszą ją jeszcze implementować, na co mają czas do października 2024 r.
W Polsce oznacza to konieczność zmiany ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r., poz. 1863 ze zm.; dalej: KSC).
- Obowiązująca ustawa o KSC jest skutkiem implementacji pierwszej dyrektywy NIS - przypomina prof. dr hab. Maciej Rogalski, rektor Uczelni Łazarskiego i partner w kancelarii prawnej Rogalski i Wspólnicy.
- Obecnie mamy zaś taką sytuację, że toczą się prace nad nowelizacją KSC przygotowaną przed NIS2, która tymczasem weszła w życie (16 stycznia br. - red.) i którą musimy zaimplementować - dodaje.
Mamy więc do czynienia z dublowaniem się procesów legislacyjnych.
- Dlatego moim zdaniem nie jest uzasadnione kontynuowanie prac nad obecną nowelizacją KSC, którą zaraz po wejściu w życie i tak trzeba będzie zmieniać, gdyż konieczna będzie implementacja NIS2. Najlepiej byłoby przygotować nowy projekt ustawy o krajowym systemie cyberbezpieczeństwa, która wdrożyłaby NIS2 i wprowadziła postanowienia, jakie ustawodawca chciał zawrzeć w procedowanym projekcie zmian w KSC - stwierdza Maciej Rogalski.
Wspomniany projekt zawiera m.in. postanowienia dotyczące oceny dostawców wysokiego ryzyka. UKE wykorzystał je w dokumentacji do aukcji częstotliwości na sieć komórkową 5G. Maciej Rogalski uważa, że takie postanowienia nie mogą się znaleźć w dokumentacji aukcyjnej, dopóki nie mają oparcia w ustawie. Aukcję można przeprowadzić także i bez nich, a później, po wprowadzeniu nowej ustawy o krajowym systemie cyberbezpieczeństwa, ewentualnie rozpocząć na jej podstawie proces oceny ryzyka dostawców - wskazuje.
Podkreśla przy tym, że oczywiście dyrektywa NIS2 ma dużo szerszy zakres niż weryfikacja dostawców.
- Kwestia ta stanowi jedynie mały wycinek nowych regulacji w NIS2. Tym bardziej więc powinno się możliwie szybko implementować do polskiego porządku prawnego uregulowania dyrektywy NIS2 - mówi.

Niepotrzebne koszty

Damian Karwala, radca prawny ds. praktyki prawa własności intelektualnej i nowych technologii w kancelarii CMS, również wskazuje, że wejście w życie NIS2 nie wpłynęło na razie na prace nad zmianami w KSC, o czym świadczy najnowsza wersja projektu tej nowelizacji (z datą 17 stycznia br.).
- Kontynuowanie prac nad zmianą KSC, a następnie wdrażanie przepisów NIS2 kolejną ustawą generuje poważne ryzyko dla przedsiębiorców - uważa Karwala.
- Nie można wykluczyć nawet, że będą oni zmuszeni (przynajmniej część z nich, w szczególności z sektora telekomunikacyjnego) do dostosowania się najpierw do przepisów zreformowanej KSC, a następnie - po wdrożeniu NIS2 - do nowych regulacji - stwierdza. To zaś oznaczałoby niepotrzebne koszty.
Jak dodaje, przedsiębiorców komunikacji elektronicznej, w tym operatorów telekomunikacyjnych, w procedowanym obecnie projekcie noweli KSC dotyczą przepisy wdrażające Europejski Kodeks Łączności Elektronicznej (dalej: EKŁE), a konkretnie jego art. 40 i 41.
- A tymczasem przepisy EKŁE są uchylane przez przepisy dyrektywy NIS2 - podkreśla Damian Karwala. - Co prawda, uchylenie to ma nastąpić 18 października 2024 r., to jednak stawia pod dużym znakiem zapytania aktualne prace nad reformą KSC. Budzi również wątpliwości co do zgodności z unijnym orzecznictwem, z którego wynika dość jednoznaczny zakaz przyjmowania jakichkolwiek przepisów, które mogłyby zagrozić osiągnięciu rezultatów zakładanych przez unijne dyrektywy - przywołuje tzw. zasadę lojalności.
Resort cyfryzacji obstaje jednak przy nowelizacji KSC sprzed NIS2. Jak nas informuje Janusz Cieszyński, sekretarz stanu w KPRM i pełnomocnik rządu ds. cyberbezpieczeństwa, ma ona zostać przeprowadzona przed implementacją nowej dyrektywy. Kiedy to nastąpi, nie wiadomo, bo projekt utknął na szczeblu rządowym - nie został jeszcze zatwierdzony przez Stały Komitet Rady Ministrów. ©℗
Więcej firm będzie musiało dbać o cyberbezpieczeństwo / Dziennik Gazeta Prawna - wydanie cyfrowe