NIS2

Kary za nieprzestrzeganie obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa będą mogły być nakładane dopiero po dwóch latach od wejścia w życie przepisów uchwalonych przez Sejm. To efekt jednej z poprawek przyjętych podczas ostatniego posiedzenia izby niższej.

Ustawa implementująca dyrektywę NIS2 znacząco ponad jej oryginalną zawartość zawiera rozwiązania tak dyskrecjonalne, że zamiast podwyższyć poziom cyberbezpieczeństwa w Polsce, poprzez swój uznaniowy charakter już sama z siebie stanowi zagrożenie dla bezpieczeństwa narodowego. Wprowadzenie przepisów, które nadają arbitralną i de facto niekontrolowaną władzę administracji jest niebezpieczne dla samego państwa oraz kontrproduktywne dla osiągnięcia deklarowanych celów, które od dawna powinny być realizowane w naszym państwie.

Polska już w 2024 r. powinna była wdrożyć wymagania unijnej dyrektywy NIS2, zobowiązującej państwa członkowskie do wprowadzenia nowych standardów ochrony infrastruktury krytycznej przed cyberzagrożeniami. Jednak projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa nadal jest procedowany – i budzi niemałe kontrowersje.

Administracje publiczne w całej Europie stają się głównym celem cyberataków, a skala incydentów gwałtownie rośnie. Cyberprzestępcy najczęściej wykorzystują ataki DDoS, a sektor publiczny pozostaje jednym z najbardziej narażonych na zakłócenia. Polski problem jest szczególny: mimo zbliżającego się terminu, dyrektywa NIS2 nadal nie została wdrożona.

Ataki hakerskie nie są już technicznym problemem informatyków, lecz realnym ryzykiem biznesowym, za które – po wdrożeniu dyrektywy NIS2 do polskiej ustawy o krajowym systemie cyberbezpieczeństwa – będą odpowiadać zarządy. Do tego systemu mają zostać włączone podmioty kluczowe i ważne dla gospodarki.

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), implementujący dyrektywę NIS2, znajduje się na końcowym etapie prac rządowych. Po latach dyskusji, analiz i konsultacji, przepisy, które mają m.in. uregulować procedurę uznawania tzw. dostawców wysokiego ryzyka, wkrótce trafią do Sejmu. Mimo strategicznego znaczenia ustawy, nad procesem legislacyjnym zawisła poważna wątpliwość proceduralna związana z rezygnacją z notyfikacji technicznej TRIS.

Wciąż brak wspólnego stanowiska rządu w sprawie zmiany przepisów o cyberbezpieczeństwie. Wdrożenie unijnej dyrektywy NIS2 jest już opóźnione o ponad 10 miesięcy. Główną osią sporu wokół nowelizacji KSC są pieniądze.

Rząd nadal jest podzielony w sprawie projektu nowelizacji ustawy o cyberbezpieczeństwie. Niektóre resorty ostrzegają przed nadregulacją wykraczającą poza implementację dyrektywy NIS2 i inne unijne regulacje.

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), będąca implementacją unijnej dyrektywy NIS2 została właśnie przekazana na Komitet Stały Rady Ministrów, którego posiedzenie zaplanowane jest na najbliższy czwartek. KSC ma być środkiem do zapewnienia polskim instytucjom, biznesowi i społeczeństwu bezpieczeństwa w czasach rosnących zagrożeń cybernetycznych. Skłania jednak do pytań o nadmierną regulację, obciążenia dla przedsiębiorców, ingerencję w prawo własności i ryzyko naruszenia traktatów międzynarodowych.

Firmy, które stawiają na zrównoważony rozwój, nie tylko przyciągają kapitał, lecz także budują silniejsze relacje z konsumentami i inwestorami. Zgodność z normami ESG (ang. environmental, social, governance) zyskuje na znaczeniu nie tylko w oczach rynku, lecz także w związku z takimi regulacjami prawnymi jak rozporządzenie EUDR i dyrektywa NIS2, które nakładają na firmy nowe obowiązki.

Spółki działające w sektorach o znaczeniu krytycznym, tj. energetyce, transporcie, opiece zdrowotnej czy na rynkach finansowych, a także w sektorach istotnych, tj. produkcji chemikaliów, żywności czy gospodarce odpadami, muszą wdrożyć środki zarządzania ryzykiem w zakresie cyberbezpieczeństwa oraz zapewnić odpowiednią sprawozdawczość. Te obowiązki wynikają z dyrektywy NIS2, której regulacje miały zostać transponowane do polskiego prawa do 18 października 2024 r. Jednak wciąż trwają prace nad nimi.

Firmy często traktują cyberbezpieczeństwo wyłącznie jako koszt, a nawet zbędną inwestycję. Warto dostrzec w nim jednak realną szansę na rozwój, na zbudowanie przewagi konkurencyjnej, zdobycie nowych klientów i poszerzenie zasięgu swoich usług.

Analiza danych podawanych przez Ministerstwo Cyfryzacji wskazuje, że spośród ponad 1,5 tysiąca uwag zgłoszonych do projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa, uwzględniono całkowicie lub częściowo 37,5 proc., wyjaśniono 41 proc. a nie uwzględniono 21,5 proc. Tymczasem 7 października Ministerstwo Cyfryzacji informowało o 70 proc. przyjętych propozycji.

Zbliża się decydujący moment we wdrożeniu do polskiego prawodawstwa Dyrektywy NIS2. Wszystko rozstrzygnie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa. Obawy co do katastrofalnych dla polskich przedsiębiorców skutków nowych regulacji jest wiele, co wyrażają eksperci, organizacje branżowe i ministerstwa.

Podejście do cyberbezpieczeństwa ewoluowało. Wcześniej skupiano się na ochronie sektorów szczególnie istotnych z punktu widzenia bezpieczeństwa państwa: przede wszystkim energetyki i transportu, czyli takich klejnotów koronnych. Ostatnie lata nauczyły nas jednak, że na cyberbezpieczeństwo trzeba patrzeć szerzej - mówi w rozmowie z DGP Magdalena Wrzosek menedżer ds. cyberbezpieczeństwa, EY Polska.