Tech in the Know 5/2024

Witamy w piątym wydaniu Tech in the Know, cyklu krótkich artykułów przygotowywanych przez warszawski zespół TMT/IP.

W naszym cyklu znajdą Państwo informacje o najważniejszych zmianach prawnych w zakresie nowych technologii, ochrony danych osobowych i prywatności, sztucznej inteligencji oraz cyberbezpieczeństwa.

Zapraszamy do lektury!

Wdrożenie NIS2 – projekt zmian do ustawy o krajowym systemie cyberbezpieczeństwa – cz. II 

Tak jak sygnalizowaliśmy w poprzednim wydaniu Tech in the Know, w którym opisaliśmy główne założenia nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa („Ustawa”), 22 listopada 2024 r. na stronie internetowej Rządowego Centrum Legislacyjnego („RCL”) opublikowano kolejny projekt Ustawy zmierzający do implementowania dyrektywy NIS2 („Projekt Listopadowy”). Prace nad ustawą przyspieszają, bo w piątek 6 grudnia 2024 r. na stronach RCL pojawiła się kolejna, czwarta już wersja projektu nowelizacji Ustawy („Projekt Grudniowy”).

Najważniejsze zmiany – Projekt Listopadowy

Projekt Listopadowy przewidywał następujące zmiany: 

Zmiany w definicjach legalnych 

Z pojęcia dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa wykluczono usługę konsultacji, zastępując ją usługą doradztwa. Co więcej, zakwalifikowanie niektórych podmiotów jako kluczowe i ważne uniezależniono od ich wielkości. I tak: 

• do podmiotów kluczowych, niezależnie od wielkości podmiotu, zaliczono podmiot świadczący usługi rejestracji nazw domen;
• wskazano, że podmiot będący inwestorem obiektu energetyki jądrowej, który uzyskał decyzję zasadniczą, tj. decyzję określającą dozwolone parametry inwestycji, jest podmiotem ważnym w rozumieniu Ustawy niezależnie od jego wielkości. 

Podmiot kluczowy i ważny mają podlegać obowiązkom wynikającym z Ustawy, jeżeli mają miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej lub prowadzą działalność na terytorium RP przez swoją siedzibę, oddział lub w ramach działalności transgranicznej.

Zmiany podmiotowe

W Projekcie Listopadowym wprowadzono kolejne zmiany do załącznika nr 1 (sektory kluczowe) i załącznika nr 2 (sektory ważne), w tym m.in.:

• do podsektora energii elektrycznej wskazanego w załączniku nr 1 włączono podmioty świadczące usługę magazynowania energii; 
• z podsektora dostawy i usługi dla sektora energii elektrycznej w załączniku nr 1 wykreślono dostawców usług zarządzanych w zakresie cyberbezpieczeństwa dla podmiotów kluczowych lub ważnych w sektorze energii,
• z podsektora dostawy i usługi dla sektora energii elektrycznej w załączniku nr 1 wykreślono dostawców usług zarządzanych w zakresie cyberbezpieczeństwa dla podmiotów kluczowych lub ważnych w sektorze energii, 
• przeniesiono podmiot będący inwestorem obiektu energetyki jądrowej z załącznika nr 1 do załącznika nr 2.

Zmiana metodologii obliczania wielkości przedsiębiorstwa 

W Projekcie wprowadzono zmiany mające wpływ na podmioty wchodzące w skład grup kapitałowych, uzależniając sposób obliczania wielkości przedsiębiorstwa w grupach nie tylko od powiązań wewnątrzgrupowych systemów informacyjnych, ale również od tego, czy dany podmiot świadczy usługi wspólnie z przedsiębiorstwami powiązanymi lub przedsiębiorstwami partnerskimi. 

Tym samym, jeżeli podmiot spełnia jeden z wymogów uznania za podmiot kluczowy albo ważny, ponieważ przewyższa kryteria dla średniego przedsiębiorstwa, ale jego system informacyjny jest niezależny od systemów informacyjnych jego przedsiębiorstw powiązanych lub przedsiębiorstw partnerskich lub podmiot ten nie świadczy wspólnie usług z takimi przedsiębiorstwami, to nie będzie podmiotem kluczowym ani ważnym w rozumieniu Ustawy.  

Zmiany dot. środków zarządzania ryzykiem

Na dostawców usług: DNS, rejestrów nazw domen najwyższego poziomu (TLD), chmurowych, centrum przetwarzania danych, sieci dostarczania treści, zarządzanych, zarządzanych w zakresie cyberbezpieczeństwa, internetowych platform handlowych, wyszukiwarek internetowych oraz dostawców platform usług sieci społecznościowych nałożono obowiązek stosowania, w ramach systemu zarzadzania bezpieczeństwem w systemie informacyjnym, środków zarządzania ryzykiem o których mowa w rozporządzeniu wykonawczym Komisji (UE) 2024/2690 z dnia 17 października 2024 r. ustanawiającym zasady stosowania dyrektywy (UE) 2022/2555 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowującym przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców ww. usług. 

Najważniejsze zmiany – Projekt Grudniowy

W Projekcie Grudniowym nie wprowadzono wielu zmian w porównaniu z Projektem Listopadowym. Do najważniejszych zaliczyć należy m.in. rozszerzenie katalogu środków nadzoru nad podmiotami kluczowymi o możliwość wystąpienia do sądu z wnioskiem o zawieszenie działalności podmiotu wpisanego do Krajowego Rejestru Sądowego oraz skierowanie wniosku do organu, który prowadzi Centralną Ewidencję i Informację o Działalności Gospodarczej (CEIDG) o zawieszenie działalności podmiotu wpisanego do CEIDG do czasu usunięcia uchybień lub zaprzestania naruszeń. Dopuszczono również możliwość udostępnienia informacji publicznej w zakresie podatności, incydentów i cyberzagrożeń, o ile ich udostępnienie nie będzie zagrażało bezpieczeństwu państwa lub bezpieczeństwu publicznemu.

Co dalej? 

Zgodnie z komunikatem Ministerstwa Cyfryzacji, resort zakłada przyjęcie Ustawy do końca bieżącego roku. Wydać wyraźne przyspieszenie prac nad Ustawą, co może zwiastować, że rząd planuje skierować wkrótce projekt do dalszego etapu prac legislacyjnych.

Wraz z nowelizacją Ustawy, znajdzie ona zastosowanie do nawet 40 tysięcy podmiotów w Polsce. Dotyczy to szczególnie podmiotów z takich sektorów jak: infrastruktura cyfrowa, bankowość, energetyka, transport i ochrona zdrowia. 

Warto zatem już teraz przeanalizować czy nowe przepisy mogą znaleźć zastosowanie do Państwa działalności.

Jeśli mają Państwo jakiekolwiek pytania odnośnie Ustawy, serdecznie zapraszam do kontaktu.