4 grudnia 2024 Szymon Sieniewicz  - Aleksandra Czubek Cyber Security - Data Privacy - Technology - Telecoms, Media & Business Services

Tech in the Know 4/2024

Witamy w czwartym wydaniu Tech in the Know, cyklu krótkich artykułów przygotowywanych przez warszawski zespół TMT/IP.

W naszym cyklu znajdą Państwo informacje o najważniejszych zmianach prawnych w zakresie nowych technologii, ochrony danych osobowych i prywatności, sztucznej inteligencji oraz cyberbezpieczeństwa.

Zapraszamy do lektury!

 

22 listopada 2024 r. na stronie internetowej Rządowego Centrum Legislacji opublikowano kolejny projekt ustawy („Projekt”) o zmianie ustawy o krajowym systemie cyberbezpieczeństwa („Ustawa”), dostosowujący krajowe regulacje do prawa Unii Europejskiej. Projekt zmierza do implementowania do polskiego prawa dyrektywy 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („Dyrektywa NIS2”) i stanowi odpowiedź na rosnące potrzeby zwiększenia bezpieczeństwa cybernetycznego w Polsce. 

Jak wynika z informacji opublikowanej przez Ministerstwo Cyfryzacji, nowelizacja Ustawy może oznaczać, że znajdzie ona zastosowanie do nawet 40 tysięcy podmiotów w Polsce, nieobjętych dotychczas jej przepisami. Warto zatem już teraz przeanalizować, czy przepisy Ustawy mogą znaleźć zastosowanie do Państwa działalności.

Nowelizacja Ustawy:

  • znacząco rozszerza zakres podmiotów, do których znajdą zastosowanie nowe przepisy o cyberbezpieczeństwie;
  • wprowadza obowiązek samodzielnej oceny przez przedsiębiorców, czy podlegają oni pod obowiązki przewidziane w Ustawie (samoidentyfikacja);
  • istotnie zwiększa kary za naruszenie obowiązków związanych z cyberbezpieczeństwem.

 

Ogólne założenia Projektu

Rozszerzenie zakresu zastosowania Ustawy

Już pierwszy projekt nowelizacji Ustawy zmierzający do implementowania Dyrektywy NIS2 (tj. z 24 kwietnia 2024 r.) znacznie rozszerzył jej zakres podmiotowy, wprowadzając dwie zasadnicze kategorie podmiotów, do których będą miały zastosowanie przepisy Ustawy, tj. (a) podmioty kluczowe oraz (b) podmioty ważne. 

 

Podmioty kluczowe

Za podmioty kluczowe zgodnie z definicją w Projekcie uznane / uznani będą m.in.: 

  • podmioty, które przewyższają wymogi dla średniego przedsiębiorstwa w rozumieniu rozporządzenia Komisji (UE) nr 651/2014 (tj. przedsiębiorstwa zatrudniającego co najmniej 50 pracowników lub przekraczającego roczny obrót / sumę bilansową 10 mln EUR) prowadzące działalność w sektorach określonych w załączniku nr 1 do Projektu;
  • przedsiębiorcy komunikacji elektronicznej, którzy co najmniej spełniają kryteria uznania ich za średnich przedsiębiorców;
  • dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa, którzy co najmniej spełniają wymogi dla małego albo średniego przedsiębiorcy; oraz
  • podmioty wymienione w Projekcie niezależnie od ich wielkości (np. podmioty krytyczne czy dostawcy usług DNS).

Zgodnie z załącznikiem nr 1 do Projektu, do podmiotów kluczowych zaliczać się będą podmioty z wielu sektorów gospodarki uznanych za kluczowe. Lista obejmuje podmioty z sektora:

  • energetycznego (wydobywania kopalin, energii elektrycznej, ciepła, ropy i paliw, gazu, energetyki jądrowej i wodoru);
  • transportowego (transportu lotniczego, kolejowego, wodnego i drogowego);
  • bankowości i infrastruktury rynków finansowych (w tym m.in. banki krajowe, instytucje kredytowe i SKOK-i);
  • ochrony zdrowia (w tym m.in. udzielania świadczeń zdrowotnych i zdrowia publicznego, produkcji i dystrybucji produktów leczniczych i wyrobów medycznych);
  • zaopatrzenia w wodę pitną i jej dystrybucję;
  • zbiorowego odprowadzania ścieków;
  • infrastruktury cyfrowej (w tym m.in. dostawcy chmury obliczeniowej, dostawcy usług centrum przetwarzania danych, dostawcy usług zaufania i przedsiębiorcy komunikacji elektronicznej);
  • zarządzania usługami ICT (dostawcy usług zarządzanych i dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa);
  • przestrzeni kosmicznej;
  • niektóre podmioty publiczne.

 

Podmioty ważne

Natomiast za podmioty ważne, zgodnie z definicją w Projekcie uznane / uznani będą m.in.: 

  • podmioty które spełniają kryteria średniego przedsiębiorcy i które nie są podmiotami kluczowymi;
  • niekwalifikowani dostawcy usług zaufania będący mikro-, małym lub średnim przedsiębiorcą;
  • przedsiębiorcy komunikacji elektronicznej będący mikro- lub małym przedsiębiorcą;
  • podmioty będące inwestorami obiektu energetyki jądrowej;
  • podmioty zidentyfikowane jako podmiot ważny na podstawie Projektu;
  • podmioty nie będące przedsiębiorcą, ale wskazane w załączniku nr 2 do Projektu z nazwy lub rodzajowo.

W konsekwencji katalog podmiotów ważnych w załączniku nr 2 do Projektu określono także dość szeroko. Obejmuje on m.in. podmioty z sektora:

  • usług pocztowych,
  • inwestycji energetyki jądrowej,
  • gospodarowania odpadami (m.in. zbierania odpadów, transportu odpadów, przetwarzania odpadów, sprzedawania odpadów),
  • produkcji, wytwarzania i dystrybucji chemikaliów,
  • produkcji, przetwarzania i dystrybucji żywności,
  • produkcji (m.in. wyrobów medycznych, komputerów, wyrobów elektronicznych i optycznych, urządzeń elektrycznych, maszyn i urządzeń gdzie indziej niesklasyfikowanych, pojazdów samochodowych)
  • dostawców usług cyfrowych,
  • podmioty z sektora badań naukowych.
 
Wykaz podmiotów kluczowych i ważnych – obowiązek samoidentyfikacji 

Podmioty kluczowe i podmioty ważne będą zobowiązane złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych („Wykaz”) w ciągu 3 miesięcy od spełnienia przesłanek uznania ich za te podmioty. W przypadku podmiotów kluczowych oraz podmiotów ważnych, które w dniu wejścia w życie nowelizacji spełnią przesłanki uznania za podmiot kluczowy lub podmiot ważny, termin zgłoszenia określi harmonogram ogłoszony przez ministra właściwego ds. informatyzacji. Dotychczas wpis do wykazu operatorów usług kluczowych następował na wniosek właściwego organu, co miało miejsce po wydaniu decyzji o uznaniu za operatora usługi kluczowej. 

Nowe przepisy znajdą zastosowanie bez konieczności wydania decyzji administracyjnej w tym zakresie. Oznacza to, że to na przedsiębiorców spadnie obowiązek przeanalizowania, czy obowiązują ich nowe przepisy, a w przypadku odpowiedzi pozytywnej, do dostosowania do nich swojej działalności.

W wymienionych w Projekcie przypadkach organ właściwy do spraw cyberbezpieczeństwa będzie mógł w drodze decyzji uznać za podmiot kluczowy albo podmiot ważny także podmiot, który prowadzi działalność sektorową objętą zakresem ustawy i jest mikroprzedsiębiorcą albo małym przedsiębiorcą. Taką możliwość zastrzeżono, jeżeli podmiot spełnia jedną ze szczegółowych przesłanek wskazanych w Projekcie (np. jeśli jako jedyny świadczy za pomocą systemu informacyjnego usługę, która ma kluczowe znaczenie dla krytycznej działalności społecznej lub gospodarczej).

 

Odpowiedzialność zarządu

Zgodnie z Projektem, za prawidłowe spełnienie obowiązków wynikających z Ustawy będą odpowiedzialni kierownicy podmiotów kluczowych / ważnych. Kierownikami podmiotu są np. członkowie zarządu, komplementariusz spółki komandytowej, wspólnicy spółki jawnej.

Kierownicy podmiotów kluczowych i podmiotów ważnych będą odpowiedzialni za realizację zasad dotyczących cyberbezpieczeństwa oraz będą zobowiązani odbyć szkolenie ze świadomości cyberzagrożeń oraz wymogów wynikających z Ustawy raz w roku. Kierownik podmiotu kluczowego lub podmiotu ważnego będzie ponosił odpowiedzialność także wtedy, gdy niektóre z obowiązków związanych z cyberbezpieczeństwem zostały powierzone innej osobie za jego zgodą.

 

Sankcje

Zgodnie z Projektem kara pieniężna za niewykonanie obowiązków na gruncie Ustawy może wynieść maksymalnie: (i) 10 mln EUR lub 2% rocznych przychodów dla podmiotów kluczowych oraz; (ii) 7 mln EUR lub 1,4% rocznych przychodów dla podmiotów ważnych. Dodatkowo wprowadzono możliwość nałożenia kwalifikowanej kary pieniężnej w wysokości do 100 mln PLN w przypadkach, gdy naruszenie spowodowało (i) bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, lub (ii) zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług. Stanowi to wyraz znaczącego zaostrzenia polityki dotyczącej cyberbezpieczeństwa, bowiem wysokość kary pieniężnej na gruncie dotychczasowych przepisów mogła wynieść co do zasady maksymalnie 200.000 PLN (1 000 000 PLN w przypadku kary pieniężnej kwalifikowanej). 

Niezależnie od kary pieniężnej wskazanej powyżej, karę pieniężną będzie można też nałożyć na kierownika podmiotu kluczowego lub podmiotu ważnego. Kara ta będzie mogła być wymierzona w kwocie nie większej niż 600% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustaleniu ekwiwalentu pieniężnego za urlop. Dotychczas taka kara mogła być wymierzona w kwocie nie większej niż 200% miesięcznego wynagrodzenia.

 

Co dalej? 

Polska nie wdrożyła Dyrektywy NIS2 w terminie, który upłynął 18 października 2024 r. Zgodnie z komunikatem Ministerstwa Cyfryzacji, resort zakłada przyjęcie przepisów do końca bieżącego roku. Z dniem wejścia w życie przepisów w projektowanym kształcie, operatorzy usług kluczowych wyznaczeni dotychczas na podstawie Ustawy staną się automatycznie podmiotami kluczowymi. Podmioty, które z dniem wejścia w życie nowelizacji Ustawy spełnią przesłanki uznania ich za podmiot kluczowy albo podmiot ważny będą miały 6 miesięcy na realizację obowiązków wynikających z rozdziału 3 Ustawy.

W kolejnym wydaniu newslettera przedstawimy kluczowe zmiany wprowadzone do Projektu względem poprzedniej wersji, tj. projektu opublikowanego 15 października 2024 r.  

Jeśli mają Państwo jakiekolwiek pytania dotyczące Projektu, serdecznie zapraszamy do kontaktu.