Bez obowiązku audytu dla podmiotów ważnych, ale i zasady domniemania zgodności certyfikacji ISO/IEC. Z korektą terminów i zakresów podmiotowych, nowym rozdziałem dla administracji publicznej. 7 października (datowana na 3 października) pojawiła się druga wersja projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawy o KSC) implementującej do polskiego porządku prawnego dyrektywę unijną NIS 2.
Nowy projekt uwzględnia dużą część uwag zgłoszonych w ramach konsultacji publicznych i uzgodnień międzyresortowych. Ministerstwo Cyfryzacji zapowiada, że do końca 2024 r. chce, aby projekt ten został przyjęty przez Radę Ministrów i skierowany do prac parlamentarnych do końca tego roku (2024), tak aby uchwalić ustawę z początkiem 2025 r.
Najważniejsze zmiany dotyczą terminów spełnienia obowiązków przez podmioty kluczowe i ważne – zostały one wydłużone. Obecnie harmonogram wygląda następująco:
Ponieważ wprowadzonych zmian jest dużo, warto zapoznać się przynajmniej z najważniejszymi zmianami, które wprowadzono w stosunku do poprzedniej wersji projektu. Dla przypomnienia także najważniejsze aspekty nowelizacji ustawy o KSC.
Obowiązki podmiotów kluczowych i terminy ich realizacji
Nowy projekt wydłuża czas jaki podmioty kluczowe i ważne będą miały na przeprowadzenie samoanalizy podlegania pod regulacje oraz dokonanie rejestracji w wykazie. Zgodnie z projektem datowanym na 3 października, termin na wniesienie wniosku o wpis w wykazie podmiotów kluczowych i ważnych wynosi 3 miesiące od wejścia w życie ustawy (lub spełnienia kryteriów uznania za podmiot kluczowy lub ważny). Poprzednio wynosił on 2 miesiące.
Projekt UKSC z 3 października ograniczył obowiązek przeprowadzania regularnych audytów zewnętrznych wyłącznie do podmiotów kluczowych. Podmioty ważne nie będą miały obowiązku przeprowadzania audytu. Stanowi to istotną zmianę, ponieważ w poprzedniej wersji projektu taki obowiązek był dla nich przewidziany. Warto zaznaczyć, że w poprzedniej wersji projektu (oraz w samej dyrektywie NIS 2), obowiązki podmiotów kluczowych i ważnych były takie same.
Wydłużeniu uległy również terminy na spełnienie tego obowiązku. Podmioty kluczowe, będą musiały przeprowadzić pierwszy audyt w ciągu 24 miesięcy od wejścia w życie ustawy (lub od momentu spełnienia kryteriów uznania za podmiot kluczowy). Poprzednio termin ten wynosił 12 miesięcy.
Również czas ważności audytów został wydłużony. Obecnie każdy kolejny audyt będzie musiał być przeprowadzony przez podmiot kluczowy w ciągu 36 miesięcy od poprzedniego – w wersji projektu nowelizacji z 23 kwietnia br. termin ten wynosił 24 miesiące.
Obowiązki w zakresie wdrożenia systemu zarządzania bezpieczeństwem informacji nie uległy zasadniczym zmianom w stosunku do poprzedniej wersji projektu nowelizacji. Nowy projekt wprowadza jednak pewne doprecyzowania.
Podmioty kluczowe i ważne wciąż będą miały obowiązek wdrożenia odpowiednich środków organizacyjnych i technicznych w ramach systemu zarzadzania bezpieczeństwem informacji w systemie informatycznym wykorzystywanym przy świadczeniu usługi. Na obowiązek ten składa się m.in. opracowanie i wdrożenie odpowiednich procedur i polityk zapewnienie ciągłości działania czy bezpieczeństwa łańcucha dostaw.
Termin realizacji tego obowiązku nie uległ zmianie i wynosi 6 miesięcy od wejścia w życie ustawy (lub spełnienia kryteriów uznania za podmiot kluczowy lub ważny). Wyjątkiem w tym zakresie będą podmioty wyznaczone jako podmioty kluczowe lub ważne na mocy decyzji organu właściwego ds. cyberbezpieczeństwa – czas jaki będą miały na spełnienie tego obowiązku wynosić będzie 12 miesięcy.
Bardzo istotną zmianą jest natomiast wyrzucenie zasady domniemania zgodności określonych norm ISO/IEC z wymogami regulacji odnośnie systemów zarządzania bezpieczeństwem informacji. W projekcie nowelizacji z 3 X wykreślono zapis o domniemaniu zgodności takiego systemu z regulacjami w przypadku, gdy spełnia on wymogi norm ISO/IEC 27001 oraz ISO/IEC 22301.
ZMIANY OBOWIĄZKÓW I TERMINÓW
Obowiązki podmiotów kluczowych i ważnych oraz terminy ich realizacji
a. Obowiązek rejestracji w wykazie podmiotów kluczowych i ważnych – wydłużenie terminu (art. 7 i nast. nowelizowanej ustawy o KSC). 3 miesiące – zamiast 2 miesięcy.
b. Obowiązek przeprowadzenia audytu – ograniczenie obowiązku do podmiotów kluczowych oraz zmiany jego terminów (art. 15 nowelizowanej ustawy o KSC). 24 miesiące na pierwszy audyt zamiast 12 miesięcy.
c. Obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji (art. 8 i nast. nowelizowanej ustawy o KSC)
d. Vacatio legis (art. 38 projektu nowelizacji) – bez zmian
Nowelizacja ma wejść w życie po upływie miesiąca od dnia ogłoszenia (bez zmian w stosunku do poprzedniej wersji projektu).
Kary w mocy
Nowy projekt nie wprowadza modyfikacji wysokości kar. Rozszerzeniu uległ natomiast katalog przypadków, w których można nałożyć karę na podmiot lub jego kierownika (art. 73 ust. 1, art. 73b, art. 73c oraz art. 73a ust. 1 nowelizowanej ustawy o KSC). Kary przewidziane w nowelizacji ustawy o KSC odpowiadają minimalnym karom określonych w dyrektywie NIS 2.
KARY WEDŁUG ROZDZIELNIKA NIS2
Kary finansowe oraz ich wysokość (art. 73 i nast. nowelizowanej ustawy o KSC)
Kara nakładana na podmioty kluczowe niewykonujące obowiązków może wynieść maksymalnie 10 mln EUR lub 2% przychodów osiągniętych przez podmiot w roku poprzednim (zastosowanie ma kwota wyższa). Nałożona kara nie może być niższa niż 20 000 zł.
Kara nakładana na podmioty ważne może wynieść maksymalnie 7 mln EUR lub 1,4% przychodu dla podmiotów ważnych. Nałożona kara nie może być niższa niż 15 000 zł.
Polski ustawodawca wprowadził ponadto możliwość nałożenia kary kwalifikowanej – w wysokości do 100 mln zł, w przypadku, gdy naruszenie spowodowało:
a. bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi;
b. zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
d. Nowelizacja wprowadza także kary dla kierowników podmiotu kluczowego lub ważnego – do 600% otrzymywanego przez niego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
Kto jest kim – zmiany w definicjach
Ustawodawca poprawił błąd, występujący w poprzedniej wersji projektu nowelizacji, w myśl którego podmiotami kluczowymi były podmioty duże działające w sektorach wskazanych zarówno w załączniku nr 1 (sektory kluczowe) oraz nr 2 do ustawy (sektory ważne).
W obecnej wersji podmiotami kluczowymi co do zasady będą jedynie podmioty duże działające w sektorach kluczowych, natomiast podmiotami ważnymi przedsiębiorstwa średnie działające w sektorach kluczowych oraz przedsiębiorstwa średnie oraz duże działające w sektorach ważnych – odpowiada to kryteriom określonym w dyrektywie NIS 2.
Nowa wersja projektu nowelizacji określa, że w przypadku, w którym dany podmiot spełnia kryteria uznania zarówno za podmiot kluczowy oraz ważny, podmiot taki jest podmiotem kluczowym.
Nowy projekt wprowadza zawężenie do dotychczas przewidzianych zasad obliczania wielkości przedsiębiorstwa z uwzględnieniem jego przedsiębiorstw partnerskich lub powiązanych. Poprzednia wersja projektu nowelizacji wymagała, aby przy obliczaniu wielkości danego podmiotu uwzględniać dane pochodzące od innych przedsiębiorstw w grupie kapitałowej.
Obecna wersja projektu nowelizacji przewiduje, że jeśli przedsiębiorstwo spełnia kryterium wielkościowe (będzie przedsiębiorstwem średnim lub dużym) przy uwzględnieniu jego przedsiębiorstw partnerskich lub powiązanych, ale jego system informacyjny jest niezależny od tych przedsiębiorstw, to podmiot taki nie będzie uznawany za podmiot kluczowy i ważny.
W nowej wersji projektu ustawodawca przeniósł sektory produkcyjne, tj.:
- sektor produkcji (ogólnej) m.in. urządzeń elektrycznych, komputerów, pojazdów
- sektor produkcji i dystrybucji chemikaliów oraz
- sektor produkcji i dystrybucji żywności
z załącznika nr 1 określającego sektory kluczowe do załącznika nr 2 określającego sektory ważne. Zmiana ta odpowiada systematyce obowiązującej w dyrektywie NIS 2.
Październikowa wersja wprowadza dużo innych zmian, które dotyczą modyfikacji podsektorów i rodzajów podmiotów w m.in. następujących sektorach:
- energii (np. modyfikacje dot. rodzajów podmiotów w podsektorze energii elektrycznej, czy dodanie podsektora energii jądrowej);
- transportu (modyfikacja w zakresie transportu wodnego – operatorów portów);
- finansów – uległ rozszerzeniu o nowe rodzaje podmiotów np. podmioty prowadzące ASO i OTF;
- ochrony zdrowia – dodano nowy podsektor oraz rodzaje podmiotów np. jednostki organizacyjne publicznej służby krwi;
- podmiotów publicznych – dodano nowe rodzaje podmiotów, część podmiotów została przeniesiona do sektora badań naukowych;
Zmiany dotyczą także m.in. podmiotów, które w poprzedniej wersji były kwalifikowane jako podmioty kluczowe bez względu na wielkość.
Dotyczy to przedsiębiorców komunikacji elektronicznej – teraz podmiotem kluczowym będą przedsiębiorstwa co najmniej średniej wielkości. Natomiast firmy mikro lub małe przedsiębiorstwa będą podmiotami ważnymi.
Z kolei w przypadku dostawców usług zarządzanych w zakresie cyberbezpieczeństwa podmiotem kluczowym będą jedynie przedsiębiorstwa co najmniej małe. Mikroprzedsiębiorstwa nie będą już objęte regulacją. Warto wskazać, że zmianie uległa także definicja tego rodzaju podmiotu, m.in. poprzez wyłączenie z jej zakresu usługi konsultacji.
ZMIANY I PRZESUNIĘCIA W DEFINICJACH PODMIOTÓW
Zakres podmiotowy – zmiany w stosunku do wersji projektu nowelizacji uKSC z 23 kwietnia 2024 r.
Zmiana kryteriów uznania za podmiot kluczowy i ważny (art. 5 ust. 1 nowelizowanej ustawy o KSC)
Doprecyzowany został zbieg podstaw uznania za podmiot kluczowy oraz ważny (art. 5 ust. 4 nowelizowanej ustawy o KSC)
Zmiany dotyczące grup kapitałowych – zawężenie zakresu obejmowania (art. 5 ust. 5 i 6 nowelizowanej ustawy o KSC)
“Przesunięcia” w sektorach kluczowych i ważnych – sektory produkcyjne
Inne zmiany w zakresie podmiotowym w sektorach:
energii – m.in. modyfikacje dot. rodzajów podmiotów w podsektorze energii elektrycznej oraz dodanie podsektora energii jądrowej;
transportu – modyfikacja w zakresie transportu wodnego poprzez dodanie operatorów portów;
sektor finansowy uległ rozszerzeniu o nowe rodzaje podmiotów np. podmioty prowadzące ASO i OTF;
ochrona zdrowia – dodano nowy podsektor oraz rodzaje podmiotów np. jednostki organizacyjne publicznej służby krwi;
podmiotów publicznych – dodano nowe rodzaje podmiotów, część podmiotów została przeniesiona do sektora Badań naukowych;
komunikacji elektronicznej – teraz podmiotem kluczowym będą przedsiębiorstwa co najmniej średniej wielkości, a mikro lub małe przedsiębiorstwa będą podmiotami ważnymi;
dostawców usług zarządzanych w zakresie cyberbezpieczeństwa – podmiotem kluczowym będą jedynie przedsiębiorstwa co najmniej małe, mikroprzedsiębiorstwa nie będą już objęte regulacją. Wyłączenie z zakresu usług konsultacji.
Hello, DORA!
Nowy projekt określa także relacje uKSC z rozporządzeniem DORA (m.in. w art. 8i nowelizowanej ustawy o KSC). Uwzględnienie regulacji wynikających z rozporządzenia DORA przejawia się m.in. poprzez wyłączenia konieczności spełnienia poszczególnych obowiązków wynikających z nowelizacji ustawy o KSC przez podmioty z sektora bankowego i infrastruktury rynków finansowych.
Dotyczy to m.in. obowiązków z zakresu systemu zarządzania bezpieczeństwem informacji i zgłaszania poważnych incydentów, jednak z pewnymi wyjątkami określonymi we wspomnianym art. 8i nowelizowanej ustawy o KSC.
Sektor publiczny zyskuje ramy współpracy
W projekcie z 3 października wprowadzono nowy rozdział ustawy – art. 16c i n. UKSC. W myśl jego zapisów, organy administracji rządowej i jednostki samorządu terytorialnego mogą wyznaczyć spośród jednostek organizacyjnych podległych albo przez nie nadzorowanych jednostkę odpowiedzialną za realizację obowiązków wynikających z ustawy. Będzie ona odpowiadać za obowiązki wynikające z uKSC w pozostałych jednostkach organizacyjnych podległych oraz nadzorowanych (art. 16d).
W takiej sytuacji, w myśl projektowanej ustawy, jednostki, dla których wyznaczono jednostkę wykonującą obowiązki, mają obowiązek współpracy. Szczegóły jej regulują odpowiednie zapisy.
WSPÓLNE JEDNOSTKI
Wspólne wykonywanie obowiązków przez podmioty publiczne (art. 16c i nast. nowelizowanej ustawy o KSC)
a. Organy administracji rządowej i jednostki samorządu terytorialnego mogą wyznaczyć jednostkę odpowiedzialną za realizację obowiązków wynikających z ustawy (art. 16d);
b. Pozostałe jednostki mają obowiązek współpracy na określonych zasadach (art. 16e – art. 16g).
***
Podsumowując, projektodawca łagodzi, pod wpływem sugestii zawartych w uwagach, reżimy dostosowania podmiotów do regulacji, tak na wstępie, jak i na przyszłość. Istotną zmianą dla całego systemu bezpieczeństwa jest zniesienie obowiązku audytu dla podmiotów ważnych oraz znaczące wydłużenie okresu ich ważności dla podmiotów kluczowych. Pozostaje mieć nadzieję, że autorzy oszacowali ryzyko osłabienia taką zmianą całego ekosystemu cyberbezpieczeństwa.
W odwrotnym kierunku idzie wycofanie zasady domniemania zgodności z regulacją systemów bezpieczeństwa certyfikowanych normami ISO/IEC. Należy docenić zadbanie tą decyzją o spójność i sprawczość ustawy. W tym sam duchu ocenić można zmiany polegające na wykluczeniu niektórych sprzecznych i błędnych zapisów.
Z punktu widzenia firm, nieznaczne wydłużenie czasu na dokonanie samoidentyfikacji czy innych elementów, a nawet wydłużenie (w przypadku podmiotów kluczowych) daty pierwszego audytu systemu bezpieczeństwa, nie powinny stanowić powodu do demobilizacji. Nadal pozostają to pilne zadania. Pojawią się zresztą istotne szczegóły dotyczące ich realizacji. Nastąpi to wraz z opublikowaniem aktów wykonawczych (lub przynajmniej ich projektów), które będą precyzować konkretne środki zarządzania ryzykiem w cyberbezpieczeństwie.
Agnieszka Wachowska, radczyni prawna, Co-Managing Partner w Kancelarii Traple Konarski Podrecki i Wspólnicy
