Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa niezgodna z prawem unijnym?

02 lut 2023
Oprac. Paulina Karpińska
rozwiń więcej
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa niezgodna z prawem unijnym? / Shutterstock

Federacja Przedsiębiorców Polskich (FPP) wskazuje, zmiany proponowane w nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) mogą nie być w pełni zgodne z prawem unijnym. Obawia się, że proponowany zmiany być niewłaściwie bądź niewystarczające, co doprowadzi do konieczności wprowadzania dalszych modyfikacji. A za to mogą już zapłacić przedsiębiorcy. 

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa niezgodna z prawem unijnym?

NIS 2 wprowadza wspólny standard cyberbezpieczeństwa w całej UE. Obecna ustawa o KSC była bezpośrednim przełożeniem unijnych przepisów i co do zasady odpowiada założeniom wcześniejszej dyrektywy NIS. Tym razem jest inaczej – nowelizacja KSC nie odnosi się w żaden sposób do wielu rozwiązań projektowanych w NIS 2. Prace toczą się w oderwaniu od prac unijnych i są autorskim pomysłem polskich ustawodawców. Pytanie tylko, czy to dobry kierunek, skoro powinniśmy jak najszybciej rozpocząć prace nad wdrożeniem NIS 2. Może się okazać, że nowa wersja krajowych przepisów za chwilę będzie wymagała kolejnych zmian.

 

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa - opinie ekspertów

Na stronie Ministerstwa Cyfryzacji kolejna wersja nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) pojawiła się 17 stycznia br. Zaledwie dzień wcześniej weszła w życie NIS 2 – unijna dyrektywa dotycząca cyberbezpieczeństwa. Choć Polska ma obowiązek niedługo wdrożyć ją do polskich przepisów, projekt nowelizacji KSC w kilku istotnych kwestiach jest niezgodny z tą dyrektywą. Różni się w zakresie pojęć, obowiązków i ogólnego podejścia do zarządzania cyberbezpieczeństwem. Będzie to miało poważne negatywne konsekwencje.

„NIS 2 nakłada na przedsiębiorców szereg obowiązków dotyczących obsługi incydentów. Nowelizacja KSC niezależnie od NIS 2 modyfikuje zakres tych obowiązków i robi to niespójnie z założeniami NIS 2. Już tylko z tego powodu przedsiębiorcy będą musieli ponieść koszty podwójnego wdrożenia. Najpierw dostosować się do przepisów KSC, a następnie – po wdrożeniu NIS 2 – powtórzyć prace. KSC odnosi się do ograniczonego grona podmiotów z sektora energetycznego, transportowego, bankowego, finansowego i zdrowotnego. NIS 2 znacząco rozszerzy to grono i obejmie tysiące nowych podmiotów. Oba dokumenty są na tyle niespójne, że niektóre podmioty będą częścią krajowego systemu bezpieczeństwa w rozumieniu NIS 2, ale już nie nowelizacji KSC. Chodzi m.in. o operatorów usług pocztowych, dostawców usług kurierskich czy producentów żywności. Już teraz można by się zastanowić, jak rozwiązać ten problem, szczególnie że dotyczy on nawet niektórych małych i mikroprzedsiębiorców. Najwięcej obaw mają przedsiębiorcy telekomunikacyjni, którzy wcześniej nie byli objęci KSC. Projekt nakłada na nich wiele zupełnie nowych obowiązków. Nawet mali przedsiębiorcy będą musieli spełniać wymogi bezpieczeństwa i zgłaszania incydentów. Zgodnie z projektem powinni też zrezygnować z dostawców sprzętu i oprogramowania, których organ uzna za dostawców wysokiego ryzyka” – podkreśla Arkadiusz Pączka, wiceprzewodniczący Federacji Przedsiębiorców Polskich (FPP).

„NIS 2 wprost wskazuje, że środki zarządzania ryzykiem powinny być proporcjonalne. Zapewnienie wysokiego poziomu bezpieczeństwa jest oczywiście kluczowe, ale trzeba zrezygnować z rozwiązań nadmiernych, a zwłaszcza takich, które oznaczają zbyt wysokie koszty i nie odpowiadają faktycznemu poziomowi ryzyka. NIS 2 weszła już w życie, więc ustawodawca nie może jej ignorować i nakładać na przedsiębiorców obowiązków w sposób niezgodny z tą dyrektywą. Jeśli przepisy zostaną uchwalone niezgodne z NIS 2 w czasie przewidzianym na jej implementację, Komisja Europejska może wszcząć postępowanie w związku z naruszeniem przez Polskę prawa UE. Poza tym postanowienia NIS 2 nadal trzeba włączyć do polskich przepisów. Dostosowanie się do nich będzie skomplikowanym prawnie i technicznie procesem. Ustawodawcy mogliby zmniejszyć uciążliwość takiego wdrożenia i wykreślić z projektu przepisy, które budzą praktyczne wątpliwości. Projekt nowelizacji KSC należy przynajmniej zmienić tak, by zachować zgodność z NIS 2 i DORA. Najrozsądniej byłoby zrezygnować z obecnego projektu i przygotować jedną propozycję uwzględniającą wszystkie zmiany w cyberbezpieczeństwie. Nie ma przeszkód, aby nowelizacja KSC stała się ustawą wdrażającą NIS 2. Uniknęlibyśmy większości problemów związanych z przyjmowaniem dwóch dużych, niespójnych aktów w tym samym czasie. Inaczej czeka nas chaos i wątpliwości, jak zastosować przepisy, które bywają sprzeczne. Zainteresowane podmioty będą musiały włożyć więcej czasu, pieniędzy i wysiłku w poradzenie sobie z podwójną zmianą przepisów.Prace nad nowelizacją KSC trwają od dawna i nie ma powodu, aby przyjmować ją teraz nagle w pośpiechu, w oderwaniu od unijnych przepisów. Warto się zastanowić, czy kontynuowanie prac nad obecnym projektem ma sens. Nadal jest szansa na zmianę kierunku” – mówi Wojciech Piszewski, Counsel w kancelarii Maruta Wachta, specjalizujący się m.in. w zagadnieniach compliance, prawa ochrony danych osobowych i e-commerce.

Zamiast skoordynowanej oceny ryzyka na poziomie UE i aktywnego zarządzania ryzykiem przez przedsiębiorcę, co jest ważnym założeniem unijnych przepisów, nowelizacja KSC uwzględnia odgórną decyzję organu. Kryteria takiej decyzji pozostają niejasne i są sprzeczne z NIS 2. Dają też organowi większą władzę niż przewiduje DORA – dyrektywa dotycząca wspólnego poziomu cyberbezpieczeństwa w UE. Obecne zapisy projektu pozwalają uznać za dostawcę wysokiego ryzyka praktycznie każdy podmiot spoza UE. Ocena nie dotyczy konkretnych usług czy systemów IT, ale całych ich kategorii.

Zakaz korzystania z usług oraz sprzętu ICT określonych dostawców będzie dotyczyć tysięcy podmiotów objętych KSC. Ograniczenie rynku odbije się na wszystkich jego uczestnikach, zmniejszy konkurencyjność i będzie miało negatywne skutki gospodarcze. Podmioty objęte KSC będą musiały usunąć ze swojej sieci wszystkie produkty, usługi lub procesy ICT wskazane w decyzji. Nie będzie już można wprowadzać do użytku rozwiązań tego typu. Podmioty objęte KSC będą musiały stale monitorować decyzje organów i utrzymywać ciągłą gotowość do zmiany stosowanych rozwiązań w narzuconym terminie. Może się to okazać ogromnie kosztowne lub wręcz niewykonalne, szczególnie w przypadku mniejszych podmiotów.

 

 

Prawo
Rewolucyjne zmiany w Kodeksie pracy już niedługo? Umowy zlecenia i działalność gospodarcza będą wliczane do stażu pracy
15 maja 2024

Projektowane zmiany Kodeksu pracy zakładają, że do stażu pracy będą zaliczane okresy wykonywania pracy m.in. w ramach umowy zlecenia i działalności gospodarczej. Do stażu pracy mają być zaliczane również umowy o świadczenie usług przez uczniów szkół ponadpodstawowych lub studentów do ukończenia 26 lat.

Czy można podawać dzieciom leki na wycieczce szkolnej lub przedszkolnej?
15 maja 2024

Podawanie leku na wycieczce szkolnej lub przedszkolnej - czy jest dopuszczalne? Co w sytuacji nagłej niedyspozycji dziecka? Kto może podać lek?

Nauczyciele: Wynagrodzenia za godziny ponadwymiarowe, godziny doraźnych zastępstw i inne składniki w 2024 r.
15 maja 2024

Na dodatkowe składniki wynagrodzenia nauczycieli należy tworzyć specjalny fundusz. Co najmniej 1 proc. planowanych rocznych wynagrodzeń osobowych powinien wynosić fundusz na nagrody dla nauczycieli za ich osiągnięcia dydaktyczno-wychowawcze.

Uciekł na Białoruś. Sąd zastosował tymczasowy areszt wobec byłego sędziego Tomasza Sz.
15 maja 2024

Prokurator Artur Kaznowski z Prokuratury Krajowej poinformował, że Sąd Rejonowy dla m.st. Warszawy nałożył trzymiesięczny areszt tymczasowy na b. sędziego Tomasza Sz. Sąd podzielił argumenty prokuratora, uznając, że zgromadzone dowody w dużym stopniu potwierdzają popełnienie zarzucanego czynu przez podejrzanego.

ZUS już wypłaca świadczenia wspierające. Kto może je otrzymać w 2024 roku?
15 maja 2024

Zakład Ubezpieczeń Społecznych informuje o pierwszych wypłatach świadczeń wspierających. Wpłynęły one na konta 1,5 tys. osób. Jednak nie zawsze osoba niepełnosprawna może otrzymać wsparcie już w 2024 roku. Jakie warunki trzeba spełnić?

Spadek po rodzicu - jak rozliczyć?
15 maja 2024

Jak rozliczyć spadek po rodzicu? Otrzymanie spadku po osobie z najbliższej rodziny wiąże się z obowiązkiem uregulowania spraw podatkowych. W celu rozliczenia spadku konieczny będzie kontakt z urzędem skarbowym. Nie oznacza to jednak, że podatek trzeba będzie zapłacić.

Cezary Pazura ma swoją planetoidę
15 maja 2024

Międzynarodowa Unia Astronomiczne (IAU) podjęła decyzję, że jedna z planetoid krążących w głównym pasie planetoid pomiędzy orbitami Marsa i Jowisza będzie nosiła nazwę polskiego aktora, Cezarego Pazury.

Dodatkowe pieniądze dla nauczycieli. Prawie 2500,00 zł wpłynie na konta w ciągu 3 miesięcy. To zasługa odmrożenia kwot.
15 maja 2024

Dodatkowe pieniądze dla nauczycieli. Prawie 2500,00 zł wpłynie na konta w ciągu 3 miesięcy. To zasługa odmrożenia kwot, na które wszyscy czekali.

15.676 zł wpłynęło na konta niektórych uprawnionych. Ruszyły wypłaty nowego świadczenia z ZUS. Należy się wyrównanie za 3 miesiące.
15 maja 2024

Nawet 15.676 zł może wypłynąć na konto z ZUS. Ruszyły wypłaty świadczenia wspierającego. Oprócz bieżącej należności, na konto wpłynie wyrównanie za 3 miesiące.

15 maja - Ogólnopolski Dzień Opiekuna Osoby Starszej. W Polsce nie docenia się ich pracy
15 maja 2024

15 maja obchodzimy Ogólnopolski Dzień Opiekuna Osoby Starszej. To ciężka, wymagająca, niedoceniana i niestety niewystarczająco wynagradzana praca. Opiekunów osób starszych brakuje od lat i zapotrzebowanie będzie tylko rosło.

pokaż więcej
Proszę czekać...