Projekt nowelizacji ustawy dotyczącej cyberbezpieczeństwa zawiera rozwiązania nadmiarowe w stosunku do unijnej dyrektywy – uważa Ministerstwo Rozwoju i Technologii. Krytykuje m.in. zaliczenie sektora ochrony zdrowia do podmiotów kluczowych – co będzie skutkowało większymi obowiązkami dla przedsiębiorców.

W jaki sposób nowelizacja ustawy wykracza poza dyrektywę NIS2?

Mimo zaawansowanych prac nad projektem uwagi mają też inne resorty. Chodzi o przygotowaną przez Ministerstwo Cyfryzacji zmianę ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC). Wdroży ona unijną dyrektywę 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (NIS2). Zawiera też rozwiązania związane z unijnymi narzędziami oceny ryzyka dostawców sprzętu do sieci 5G (tzw. toolbox).

Projektem zajmuje się obecnie Stały Komitet Rady Ministrów, który zobowiązał ministra rozwoju i technologii do analizy projektu pod kątem przepisów wykraczających poza NIS2. Efektem są uwagi MRiT o nadregulacji polegającej na zaliczeniu do podmiotów kluczowych (objętych obowiązkami cyberbezpieczeństwa) hurtowni farmaceutycznych, ogólnodostępnych aptek oraz importerów, wytwórców i dystrybutorów substancji czynnych i produktów leczniczych (sektor ochrony zdrowia), a także zaliczeniu do podmiotów ważnych sektora inwestycje energetyki jądrowej. Z tymi uwagami zgadza się minister do spraw Unii Europejskiej, który konsultował analizę.

Pozostałe uwagi do projektu przepisów o cyberbezpieczeństwie

MRiT wskazuje ponadto, że projektowana procedura uznania za dostawcę wysokiego ryzyka (HRV) wychodzi poza toolbox, bo rozszerzy jej skutki na 18 sektorów gospodarki objętych nowelą KSC, zamiast tylko na krytyczne elementy sieci 5G. Zgodnie z projektem skutkiem decyzji ministra cyfryzacji o uznaniu dostawcy produktów, usług lub procesów związanych z technologiami informacyjno-telekomunikacyjnymi (ICT) za HRV dla 18 sektorów objętych KSC będzie zakaz kupowania od takiej firmy. Już posiadany sprzęt od HRV trzeba będzie wymienić, za co nie przewidziano rekompensaty.

Za nadregulację MRiT uważa też projektowane przepisy o kontrolach w firmach podlegających KSC. Chodzi m.in. o wyłączenie organu kontroli spod zakazu podejmowania i prowadzenia więcej niż jednej kontroli działalności przedsiębiorcy – co wg MRiT nie jest niezbędne do realizacji celu dyrektywy NIS2.

Minister ds. UE ocenił jednak, że ten przepis nie stanowi nadregulacji. „Nie powinno bowiem dojść do sytuacji, w której organ właściwy do spraw cyberbezpieczeństwa, posiadając uzasadnione podejrzenia co do naruszania przepisów z zakresu cyberbezpieczeństwa, nie może przeprowadzić kontroli z uwagi na to, że prowadzi ją w tym podmiocie inny organ” – argumentuje.

Do rozstrzygnięcia przez SKRM pozostają ponadto odrzucone przez MC uwagi resortu finansów i resortu spraw wewnętrznych. Wszystkie dotyczą pieniędzy na cyberbezpieczeństwo. MSWiA chce je uzyskać dla Urzędu do Spraw Cudzoziemców, natomiast Ministerstwo Finansów podważa projektowane rozwiązania dotyczące finansowania organów właściwych do spraw cyberbezpieczeństwa i zadań z tego obszaru. ©℗

Podstawa prawna

Etap legislacyjny

Projekt w pracach Stałego Komitetu Rady Ministrów