Dyrektywa NIS2 oraz projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – czy dotyczą także podmiotów z branży TSL?

Z tego artykułu dowiesz się m.in.: na jakim etapie jest wdrożenie NIS2 w Polsce, kogo obejmą nowe przepisy, jakie obowiązki nakłada NIS2 oraz czy kary za niedostosowanie się do nowych przepisów są wysokie?

Wdrożenie NIS2 w Polsce

W ostatnich dniach i tygodniach głośno było o tym, iż minął termin na wdrożenie dyrektywy NIS2 w Polsce. To prawda – od 18 października 2024 r. powinniśmy stosować unijną dyrektywę NIS2 [dalej: dyrektywa NIS2] w całej UE, ale żeby tak było, każdy kraj członkowski musi tę dyrektywę wdrożyć w drodze własnych krajowych przepisów. Na jakim etapie jest implementacja NIS2 w Polsce?

Dnia 7 października 2024 r. opublikowano najnowszy projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa [dalej: projekt nowelizacji ustawy o KSC], który ma na celu implementację dyrektywy NIS2 do polskiego porządku prawnego. Procedowana nowelizacja ma wejść w życie po upływie 14 dni od daty ogłoszenia. Aktualnie prace nad projektem nowelizacji ustawy o KSC są na etapie rozpatrywania przez komitety, a celem Ministerstwa Cyfryzacji jest przyjęcie projektu przez Radę Ministrów i skierowanie do parlamentu do końca bieżącego roku. Zgodnie z zapowiedziami resortu, wejście w życie nowelizacji ustawy miałoby nastąpić w pierwszym kwartale 2025 r.

Uwaga! Z dniem 7 listopada 2024 r. wejdzie w życie Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r. ustanawiające zasady stosowania dyrektywy (UE) 2022/2555 (czyli NIS2 – przyp. aut.) w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowujące przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania.

Ww. rozporządzenie o niezwykle długiej nazwie nie powinno jednak odstraszać, gdyż określa – w odniesieniu do podmiotów wskazanych właśnie w jego nazwie – wymogi techniczne i metodyczne dotyczące środków zarządzania ryzykiem w cyberbezpieczeństwie, o których mowa w art. 21 ust. 2 lit. a)-j) dyrektywy NIS2, np. wskazuje, co powinien zawierać plan ciągłości działania.

Cel zmian

Celem wdrażania postanowień dyrektywy NIS2 do polskiego porządku prawnego jest zminimalizowanie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do ciągłości świadczenia usług przez podmioty kluczowe i ważne, czyli usług, których świadczenie będzie szczególnie istotne dla utrzymania krytycznej działalności społecznej i gospodarczej poszczególnych sektorów i branż. Wprowadzane projektem ustawy rozwiązania zobligują bowiem m.in. przedsiębiorców w poszczególnych sektorach gospodarki do dbania o cyberbezpieczeństwo. Dostosowanie się do nowych wymogów pozwoli przedsiębiorcom zwiększyć skuteczność podejmowanych przez nich działań w zakresie cyberbezpieczeństwa w ich działalności, co przełoży się na bezpieczne prowadzenie biznesu i minimalizację ryzyka strat spowodowanych cyberatakami.

Kogo obejmą nowe przepisy?

Nowe przepisy stworzą dwie główne kategorie podmiotów: podmioty kluczowe oraz ważne. Poprzez podmioty kluczowe należy rozumieć m.in. podmioty w załączniku nr 1 do projektu nowelizacji ustawy o KSC. Przykładowo będą to podmioty świadczące usługi w sektorach energetyki, transportu czy produkcji.

Mianem przedmiotów ważnych projekt nowelizacji ustawy o KSC wymienia w załączniku nr 2, czyli m.in. jednostki z sektora usług pocztowych, gospodarki odpadami, czy dostawców usług cyfrowych.

Dodatkowym kryterium stawianym przez prawodawcę, aby zakwalifikować część podmiotów jako kluczowe lub ważne, jest wielkość przedsiębiorstwa oceniana zgodnie z kryteriami wynikającymi z Rozporządzenia Komisji (UE) Nr 651/2014 z dnia 17 czerwca 2014 r. uznające niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu.

Aby zakwalifikować pod tym kątem podmiot jako kluczowy, przedsiębiorstwo musi przewyższać wymogi stawiane średniemu przedsiębiorstwu. Zgodnie z tym, aby podmiot można było uznać za podmiot kluczowy, musi on jednocześnie zatrudniać więcej 250 pracowników i którego roczny obrót przekracza 50 milionów EUR, lub roczna suma bilansowa przekracza 43 milionów EUR.

W celu zaliczenia podmiotu do grupy podmiotów ważnych, przedsiębiorstwo musi spełniać wymogi dla średniego przedsiębiorstwa i jednocześnie nie należeć do podmiotów kluczowych.

Powyższe warunki dotyczą wyłącznie podmiotów kluczowych oraz ważnych, które zostały wymienione w załącznikach 1 i 2 do projektu nowelizacji ustawy o KSC.

Co równie istotne, istnieją grupy podmiotów, które projekt nowelizacji ustawy o KSC kwalifikuje jako podmioty kluczowe bez względu na wielkość przedsiębiorstwa i są to m.in.: dostawcy usług DNS, podmioty krytyczne, czy podmioty publiczne. Jak można przeczytać w uzasadnieniu do projektu nowelizacji ustawy o KSC: “Podmioty publiczne, nawet te małe, świadczą zadania publiczne na rzecz obywateli, dlatego bardzo istotne jest, aby mógł być prowadzony wobec nich także nadzór ex ante z zakresu cyberbezpieczeństwa.”.

Cyberbezpieczeństwo a branża TSL

Dyrektywa NIS2, a co za tym idzie projekt nowelizacji ustawy o KSC, kładą nacisk na zwiększanie cyberbezpieczeństwa również w sektorze logistycznym, transportowym i spedycyjnym. Ustawodawca wskazuje tutaj na wszelkie rodzaje transportu, tj. kolejowy, drogowy, lotniczy i wodny. Zwiększenie standardów cyberbezpieczeństwa w tym sektorze jest niezwykle istotne, ponieważ podatność na cyberataki może mieć przełożenie bezpośrednio na opóźnienia w łańcuchu dostaw i utrudnienia w komunikacji, a w ostateczności doprowadzić do całkowitego paraliżu operacyjnego.

Wyszczególniając transport drogowy, zgodnie z załącznikiem I do projektu nowelizacji ustawy o KSC, nowe przepisy obejmą operatorów tzw. inteligentnych systemów transportowych. Mowa tutaj o systemach, w których technologie informatyczne i komunikacyjne stosowane są w obszarze transportu drogowego, obejmując m.in. pojazdy i służące do zarządzania ruchem, jak również połącznia między systemami innych rodzajów transportów. Nowe przepisy będą dotyczyć również organy administracji drogowej, odpowiedzialne za zarządzanie ruchem drogowym.

Nawiązując do transportu lotniczego, przepisy obejmą przedsiębiorstwa transportu lotniczego, posiadające ważną licencję na prowadzenie działalności lub jej odpowiednik, zarządzających portami lotniczymi, a także zarządzających ruchem lotniczym w służbie kontroli ruchu lotniczego.

Przechodząc do transportu kolejowego, obowiązek wprowadzenia wytycznych będzie obejmował zarządców infrastruktury kolejowej oraz przedsiębiorstwa kolejowe.

Wreszcie, wspominając o transporcie wodnym, pod nowe przepisy będą podlegać armatorzy śródlądowego, morskiego i przybrzeżnego wodnego transportu pasażerów i towarów. Dodatkowo, objęte przepisami zostaną organy zarządzające portami, jak również operatorzy systemów ruchu statków.

Mimo że NIS2 oraz projekt nowelizacji ustawy o KSC kładą bezpośredni nacisk na sektor transportowy, niezwykle istotne w naszej opinii jest, aby również pozostałe podmioty z branży TSL wdrożyły odpowiednie regulacje zwiększające poziom cyberbezpieczeństwa z uwagi na specyfikę tej branży. Celem działania branży TSL jest zapewnienie efektywnego działania łańcucha dostaw, rozpoczynając od magazynu producenta po dostarczenie ładunku klientowi. Zatem przepływ informacji, w tym danych jest niezwykle istotny, dynamiczny, a podmioty współpracują ze sobą w sposób ścisły.

Jakie obowiązki zostaną nałożone na przedsiębiorcę objętego nowymi przepisami?

Nowe przepisy wprowadzą szereg obowiązków dla podmiotów kluczowych i ważnych, po wdrożeniu których standardy cyberbezpieczeństwa w ich przedsiębiorstwach ulegną optymalizacji.

Projekt nowelizacji ustawy o KSC narzuci na podmioty kluczowe oraz ważne m.in. obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji, który powinien uwzględniać;

1. szacowanie ryzyka wystąpienia incydentu oraz zarządzenie tym ryzykiem;
2. wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, np. polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, czy też wdrażanie, dokumentowanie, testowanie i utrzymywanie planów ciągłości działania;
3. zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi;
4. zarządzanie incydentami;
5. stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi.

Zatem celem wdrożenia w danej organizacji postanowień NIS2 jest podjęcie działań mających na celu uświadomienie sobie ryzyka wystąpienia incydentu w zakresie cyberbezpieczeństwa, oszacowanie tego ryzyka, zminimalizowanie tego ryzyka, przygotowania się na jego zaktualizowanie się, czyli na wystąpienie incydentu, a koniec końców – zorganizowanie wszystkiego w ten sposób, aby ewentualny incydent nie wpłynął bądź też wpłynął marginalnie na system informacyjny, który wykorzystujemy do świadczenia usługi (zachowanie ciągłości działania).

Wdrożenie NIS2 to jednak nie tylko dokumentacja, polityki, procedury – choć jest to bardzo ważny etap, ale także obowiązek przeszkolenia pracowników w zakresie cyberbezpieczeństwa i postępowania z incydentami.

Nowe przepisy zobligują podmioty kluczowe i ważne do wczesnego zgłaszania ostrzeżeń o incydentach poważnych oraz – kiedy incydent poważny już wystąpił – do dokonywania zgłoszeń o incydentach poważnych.

Incydent poważny, w kontekście bezpieczeństwa informacji i cyberbezpieczeństwa, oznacza zdarzenie, które ma istotny wpływ na funkcjonowanie systemów informatycznych, bezpieczeństwo danych lub ciągłość działania organizacji, szczególnie tych świadczących usługi kluczowe. Tego typu incydent może prowadzić do zakłóceń w dostarczaniu usług, utraty danych lub naruszenia poufności, integralności albo dostępności zasobów.

Terminy, jakie nakreśla prawodawca na podjęcie takich działań przez podmioty kluczowe oraz ważne to kolejno:

• Zgłoszenie ostrzeżenia o incydencie poważnym – 24 godziny od momentu wykrycia;
• Zgłoszenie incydentu poważnego – 72 godziny od momentu wykrycia.

Podmioty obowiązane będą dokonywały zgłoszenia do właściwego CSIRT sektorowego, to znaczy Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego właściwego dla danego sektora.

Ponadto, przepisy nałożą na podmioty kluczowe i ważne obowiązek przeprowadzania w ich przedsiębiorstwach audytów bezpieczeństwa (co najmniej raz na 3 lata), a następnie przedkładania ich wyników do organu właściwego do spraw cyberbezpieczeństwa.

Najnowsza wersja projektu nowelizacji poszerzy jednocześnie kompetencje organów nadzoru nad podmiotami kluczowymi i ważnymi. Wykrycie zaniedbań w wypełnianiu obowiązków, narzuconych nowymi przepisami, będzie mogło skutkować nałożeniem kar i sankcji na podmioty kluczowe oraz ważne.

Kary pieniężne

Dyrektywa NIS2 i w konsekwencji przepisy projektu nowelizacji ustawy o KSC przewidują kary pieniężne za niedostosowanie się do nowych regulacji. Podmiot kluczowy i podmiot ważny podlegają karze pienięznej np. za brak wdrożenia systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi albo system ten nie zapewnia funkcjonalności, o których mowa w przepisach ustawy o KSC.

Co do wysokości kar pieniężnych:

1. dla podmiotów kluczowych wysokość kary pieniężnej nie może przekroczyć 10 000 000 euro lub 2% przychodów osiągniętych w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa. Kara ta nie może być jednak niższa niż 20 000 zł.
2. dla podmiotów ważnych wysokość kary pieniężnej nie może przekroczyć 7 000 000 euro lub 1,4% przychodów osiągniętych w roku obrotowym poprzedzającym wymierzenie kary. Kara ta nie może być jednak niższa niż 15 000 zł.

Agnieszka Marciniak – radca prawny

Michał Piórkowski – asystent prawny

Przygotowano na podstawie:

Dyrektywa NIS2– https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32022L2555#ntr14-L_2022333PL.01014301-E0014

Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/902927_projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-niektorych-innych-ustaw.html

Rozporządzenie wykonawcze do NIS2 – https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32024R2690