Nadregulacje stanowią poważną przeszkodę dla terminowego wdrożenia NIS2 przed rozpoczęciem prezydencji Polski w Unii Europejskiej. Zbyt „ambitne” podejście na poziomie krajowym blokuje dostosowanie regulacji do wymogów UE. Opóźnienia w przyjęciu przepisów, brak spójności i niepewne otoczenie regulacyjne działają na szkodę polskich przedsiębiorców i administracji państwowej. Nie ma czasu do stracenia – powinniśmy zapewnić jak najszybciej podstawowe ramy NIS2 i CER, a następnie przystąpić do projektowania odpowiedzialnej i długofalowej polityki cyberbezpieczeństwa.
Sprawa Ustawy o Krajowym Systemie Cyberbezpieczeństwa ciągnie się już od 4 lat. Jakie są jej główne punkty i kwestie, które wzbudziły największe wątpliwości podczas konsultacji społecznych?
Karolina Kulikowska-Gruszecka, radca prawny, Senior Associate w Praktyce IP & TMT kancelarii Domański Zakrzewski Palinka sp.k.: Nowelizacja ustawy o KSC ma na celu transponować do polskiego porządku dyrektywę NIS2. Jest to kompleksowa i złożona ustawa, której procedowanie rozpoczęto jeszcze w poprzednim rządzie, przy czym wówczas celem ustawy było w szczególności dostosowanie polskiego porządku prawnego do wymogów Aktu o cyberbezpieczeństwie, a nie implementacja dyrektywy NIS2. Obecnie, stosowanie Aktu o cyberbezpieczeństwie zostanie zapewnione poprzez uchwalenie ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa. Ustawa nakłada obowiązki w zakresie cyberbezpieczeństwa zarówno na przedsiębiorców, jak i na podmioty publiczne. Wskazuje ona dwie kategorie, „podmioty kluczowe” i „podmioty ważne” w zależności od wielkości (z pewnymi wyjątkami) oraz sektora gospodarki, w której działają. Podmioty te będą zobowiązane do prowadzenia szeregu działań związanych z cyberbezpieczeństwem, m.in. zgłaszania incydentów poważnych, przeprowadzania regularnych audytów bezpieczeństwa, oceny ryzyka czy wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie. Świadomość zagadnień dotyczących cyberbezpieczeństwa i potencjalnych zagrożeń z nim związanych rośnie, stąd sama istota i cel regulacji nie budzą większych kontrowersji. Istotne jest jednak, że zakres projektu przedstawionego przez Ministerstwo Cyfryzacji jest szerszy niż wynika to z legislacji unijnej. Może to oznaczać większe koszty dla adresatów nowej regulacji. Wątkiem, który zwraca szczególną uwagę, jest wprowadzenie procedury uznania danego podmiotu za „dostawcę wysokiego ryzyka”. Uznanie za takiego dostawcę powoduje, że wszystkie podmioty kluczowe i ważne muszą zrezygnować z korzystania z jego produktów. Przepisy dotyczące dostawców wysokiego ryzyka znalazły się w Toolboxie 5G, czyli wytycznych wydanych przez Komisję Europejską, w ramach których zaleca się m.in. aby wszystkie państwa członkowskie zastosowały odpowiednie ograniczenia dla dostawców uznanych za obarczonych wysokim ryzykiem, jednak tylko w kontekście bezpiecznego wdrożenia sieci 5G w państwach członkowskich UE. Zaproponowana w projekcie nowelizacji ustawy o KSC procedura dotycząca dostawców wysokiego ryzyka dotyczy jednak nie tylko przedsiębiorstw komunikacyjnych, lecz również podmiotów kluczowych lub podmiotów ważnych (z wyłączeniem podsektora komunikacji elektronicznej). A zatem, projekt ustawy wykracza również w sposób istotny poza zalecenia wynikające Toolbox 5G. Dyrektywa NIS2 nie przewiduje z kolei żadnych regulacji ani procedur dotyczących dostawców wysokiego ryzyka.
Gniewomir Wycichowski-Kuchta, legislator, Associate w Praktyce Doradztwa Regulacyjnego, Legislacji i Compliance kancelarii Domański Zakrzewski Palinka sp.k., współpracownik naukowy WPiA UW oraz INP PAN:
Punktem „zapalnym” w konsultacjach publicznych, ale także w uzgodnieniach międzyresortowych prowadzonych z innymi ministerstwami jest to, że Ministerstwo Cyfryzacji zdecydowało się na „ambitniejsze” podejście niż wynikałoby to z dyrektywy NIS2 – eksperci i Komisja Europejska nazywają to „gold-platingiem” czyli „pozłacaniem”. Zjawisko to oznacza wprowadzenie dodatkowych obowiązków względem tego czego wymaga od nas UE. W przypadku KSC mamy do czynienia z tym na kilku poziomach. Głównym aspektem jest procedura HRV, co do której poważne uwagi konstytucyjne zgłosił Rzecznik Praw Obywatelskich. Zgodnie z nią decyzją Kolegium ds. Cyberbepieczeństwa, w skład którego wchodzą ministrowie, czyli politycy, można de facto wykluczyć określony podmiot z rynku, gdyż podmioty kluczowe i podmioty ważne nie będą mogły korzystać z dostaw produktów ICT od przedsiębiorców uznanych za dostawców wysokiego ryzyka i jednocześnie, będą musiały wycofać tego rodzaju produkty z użytkowania, jeśli z nich korzystają. Decyzja ta jest oparta o bardzo ocenne przesłanki, jest natychmiast wykonalna, a jej sądowa kontrola jest ograniczona tylko do badania legalności wydania decyzji – co przy bardzo szerokich i nieokreślonych podstawach wydania decyzji sprawa, że kontrola ta jest w istocie pozorna. Trudno się więc dziwić, że budzi ona słuszne obiekcje. Projekt przedstawiony przez Ministerstwo Cyfryzacji, poza tym głośnym tematem, rozszerza zakres stosowania obowiązków względem wymogów dyrektywy – przykładowo jako podmioty kluczowe uznane będą firmy działające na rynku farmaceutycznym czy wyrobów medycznych, czy też producenci i dystrybutorzy żywności, choć Dyrektywa NIS2 tego nie wymaga. Jest to stały wątek, który przewija się w konsultacjach publicznych i komentarzach ekspertów. Wątpliwości budzi także podejście do mikro- i małych przedsiębiorców, w stosunku do których projekt Ministerstwa przewiduje możliwość nałożenia dokładnie takich samych obowiązków, jak na gigantyczne międzynarodowe firmy.
Kiedy Państwa zdaniem KSC zostanie przyjęta i wdrożona?
GWK: Przebieg procesu legislacyjnego jest bardzo trudny do przewidzenia, bo projekt został opublikowany niemalże pół roku temu. Bardzo wiele zależy od tego czy Ministerstwo wycofa się z procedury HRV i innych nadregulacji – jeśli tego nie zrobi projekt, po przyjęciu go przez rząd, będzie musiał zostać notyfikowany Komisji Europejskiej i prace legislacyjne nad nim będą musiały zostać wstrzymane przez 3 miesiące. Nawet więc, zakładając bardzo optymistyczną wersję, iż w obecnej wersji Rada Ministrów przyjmie projekt w październiku, to Sejm będzie mógł zająć się ustawą dopiero w nowym roku. Podkreślić należy, że już obecnie termin implementacji przez Polskę dyrektywy NIS2 jest niemożliwy do dotrzymania – mija on 17 października. Istnieje więc bardzo dużo szansa, że wejdziemy w naszą unijną prezydencję z postępowaniem wszczętym przez Komisję Europejską za brak wdrożenia tej dyrektywy w terminie. Jeśli chcemy tego uniknąć odpuszczenie wątków nadregulacyjnych jest koniecznością – wtedy, przy sprawnych pracach w rządzie i parlamencie, końcówka roku wydaję się realną perspektywą.
Jako Polska mamy obowiązek wdrożenia dyrektywy unijnej NIS2. Czy ona poprawi bezpieczeństwo?
KKG: Dyrektywa NIS2 sama w sobie jest odpowiedzią na wyzwania, przed którymi stoi cała Unia Europejska. Jej przyjęcie jest reakcją na postępującą transformację cyfrową oraz pojawiające się wyzwania w obszarze cyberbezpieczeństwa. Jej celem jest zapewnienie wysokiego poziomu odpowiedzialności za zarządzanie ryzykiem w bezpieczeństwie sieci informatycznych, harmonizacja standardów przyjętych w państwach członkowskich, wzmocnienie ochrony dla podmiotów działających w kluczowych sektorach gospodarki z perspektywy cyberbezpieczeństwa i odporności cyfrowej, m.in. przez ich identyfikację i nałożenie odpowiednich wymogów dotyczących wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie. Regulacja unijna wprowadza też obowiązek uwzględnienia podatności na cyberzagrożenia charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz obowiązek zarządzania i obsługi incydentów bezpieczeństwa. Wyrasta ona z doświadczeń państw europejskich kilku ostatnich lat i nowej rzeczywistości – w szczególności jako reakcja na zagrożenia natury hybrydowej. Nie można jednak zapominać, że NIS2 została przyjęta już prawie 2 lata temu – od tego czasu rzeczywistość się zmieniła, pojawiły się nowe wyzwania dla cyberbezpieczeństwa, a także sam unijny system ochrony ewoluował. Bez wątpienia jednak dyrektywa NIS2 jest istotnym krokiem naprzód, nie tylko w budowaniu systemu odporności i reagowania na cyberzagrożenia, ale w szerszej perspektywie – w myśleniu o cyberbezpieczeństwie jako przedmiocie polityk publicznych i angażowaniu przedsiębiorców we wspólne budowanie bezpiecznego ekosystemu.
Czy są jeszcze jakieś inne regulacje, które będą w najbliższym czasie musieli wdrożyć polscy przedsiębiorcy?
KKG: Oprócz dyrektywy NIS2 mamy ściśle z nią związaną dyrektywę CER, nakładającą na państwa członkowskie obowiązki w zakresie bezpiecznego i niezakłóconego świadczenia usług, które są kluczowe dla utrzymania niezbędnych funkcji społecznych i gospodarczych. Odnosi się ona także do przedsiębiorców – podmioty krytyczne działające w najistotniejszych sektorach (CER wskazuje ich 11) będą miały obowiązek ochrony infrastruktury niezbędnej do utrzymania usług kluczowych. Podmioty krytyczne będą miały obowiązek ochrony infrastruktury niezbędnej do utrzymania usług kluczowych (infrastruktury krytycznej). Co istotne, podmioty krytyczne w rozumieniu dyrektywy CER będą uznane za podmioty kluczowe na gruncie dyrektywy NIS 2 (niezależnie od ich wielkości). Poza tym pakietem mamy rozporządzenie DORA, które dotyczy bezpieczeństwa sektora finansowego i komponentów ICT wykorzystywanych w tym sektorze. Rozporządzenie wprowadza szereg obowiązków dotyczących monitoringu i zarządzania ryzykiem cyberbezpieczeństwa. Mamy też rozporządzenie w sprawie cyberodporności (CRA), który został przyjęty przez Parlament Europejski w marcu tego roku. Celem rozporządzenia CRA jest zapewnienie odpowiedniego poziomu cyberbezpieczeństwa produktów lub oprogramowania z komponentem cyfrowym – odpowiedzialni za to będą jednak nie tylko producenci, ale także dystrybutorzy i importerzy. Akt o cyberodporności ma uzupełnić unijne ramy cyberbezpieczeństwa: dyrektywę NIS2 oraz Akt o cyberbezpieczeństwie.
Z jakimi kosztami zmiany te wiążą się dla właścicieli firm?
KKG: Ze względu na zakres nowej regulacji można się spodziewać, że koszty te będą znaczące. Po pierwsze, przedsiębiorstwa będą musiały ocenić swoją odporności, a następnie ją wzmocnić. Wiąże się to z przeprowadzeniem audytów bezpieczeństwa, analizami luk w organizacji, wprowadzeniem odpowiednich procedur monitorowania i zarządzania ryzykiem – nie tylko w ramach swojego przedsiębiorstwa, ale także w całym łańcuchu dostaw. Po drugie, wymagane będzie nabycie odpowiednich kompetencji przez pracowników przedsiębiorstw, co może się wiązać się z koniecznością zatrudnienia ekspertów i wyszkolenia własnej kadry. Po trzecie – pozostają koszty związane ze stosowaniem odpowiednich technik bezpieczeństwa i redukcji ryzyka. Oznacza to m.in. konieczność zainwestowania w odpowiednie technologie. Mamy więc koszty związane z działaniami identyfikacyjnymi, ze wzmocnieniem zasobów kadrowych i zbudowaniem odpowiedniego zaplecza organizacyjnego, a także z inwestycjami w odpowiedni hardware i software. Niewątpliwie najbliższe lata upłyną pod znakiem cyberbezpieczeństwa i wyzwań z nim związanych. Jest to skala porównywalna do okresu wzmożonego zainteresowania ochroną danych osobowych i wdrażaniem RODO. Z tym, że wyzwania związane z cyberbezpieczeństwem mogą być nawet bardziej złożone. Dlatego tak ważne, aby system ochrony przed cyberzagrożeniami budować w sposób przemyślany. Do tego potrzebna jest odpowiednia harmonizacja rozwiązań krajowych z unijnymi, dialog z biznesem i reagowanie na jego potrzeby.
Poza przedsiębiorcami inną grupą mocno obciążaną wdrażaniem wyżej wymienionej regulacji są JST oraz administracja państwowa. Czy polskie podmioty są gotowe na jednoczesne wdrożenie obowiązków wynikających z dyrektywy NIS2, dyrektywy CER, rozporządzenia DORA oraz rozporządzenia ws. cyberodporności (CRA)? Czy wydarzy się to w 2025 roku?
GWK: Jest to jeden z bardzo istotnych problemów, który wybrzmiewa w trakcie procesu legislacyjnego nowelizacji ustawy o KSC. Projekt ministerstwa podnosi wymogi wobec administracji publicznej względem NIS2. Administracja państwowa i samorządowa są jednymi za najczęstszych obiektów cyberataków, stąd kluczowe jest, by zapewnić ich odporność. Niemniej, wciąż jesteśmy na etapie dyskusji o tym jak dokładnie mają wyglądać regulacje i kształt publicznego systemu cyberbezpieczeństwa i skąd uzyskać źródła finansowania. Niestety, ponad 10 wersji nowelizacji ustawy o KSC i długi proces legislacyjny nie pomagają. Z perspektywy regulacyjnej i wymogów europejskich terminy realizacji obowiązków to lata 2025-2027. Czy administracja i JST będą gotowe już w ciągu 3 miesięcy z regulacjami związanymi z NIS2 i CER? Wydaje się to wątpliwe.
Jaki powinien być optymalny harmonogram i scenariusz transpozycji tych przepisów? Czy dobrze rozumiem, że zaraz po wejściu w życie nowelizacji KSC, wdrażającej NIS2, będzie ją trzeba dostosowywać do dyrektywy CER, rozporządzenia DORA oraz rozporządzenia ws. cyberodporności (CRA)?
GWK: Dyrektywa NIS2 i dyrektywa CER, dot. podmiotów krytycznych są ze sobą ściśle powiązane – mają ten sam termin implementacji, w efekcie powinny być ze sobą zharmonizowane. DORA z kolei już weszła w życie i firmy muszą rozpocząć stosowanie wymogów tego rozporządzenia już od początku roku 2025. Z kolei prace nad CRA są na ostatniej prostej – przewidujemy, że po ukonstytuowaniu się Komisji Europejskiej i rozpoczęciu nowego cyklu instytucjonalnego pod koniec roku prace nad nim będą sfinalizowane, a stosowanie jego przepisów będzie miało miejsce w horyzoncie dwuletnim. Czasu więc nie ma zbyt wiele, szczególnie biorąc pod uwagę skalę wyzwań dla przedsiębiorców. Optymalnie byłoby sfinalizować prace nad nowelizacją ustawy o KSC i projektem ustawy o certyfikacji cyberbezpieczeństwa możliwe szybko, by Polska nie pozostawała w „długu legislacyjnym” – sytuacja taka jest szczególnie dotkliwa dla przedsiębiorców, którzy operują w niepewnym otoczeniu regulacyjnym, nie wiedząc jak wyglądać będą krajowe obowiązki w zakresie cyberbezpieczeństwa. Dotyczy to w szczególności tych podmiotów, które prowadzą działalność nie tylko w Polsce – różnice w zakresie wymogów regulacyjnych między państwami UE sprawiają, że koszty operacyjne po ich stronie rosną.
Dlatego powinniśmy jak najszybciej przyjąć przepisy zgodne z wymogami europejskimi, równocześnie prowadząc długofalowe prace nad całym systemem cyberbezpieczeństwa i certyfikacji produktów – pozwoli to na ustabilizowanie otoczenia regulacyjnego i uniknięcia błędów popełnionych w procesie nowelizacji ustawy o KSC, gdzie koncepcje zmieniały się wielokrotnie, a gotowych rozwiązań wciąż brak, mimo wymogów unijnych.
Projekt ustawy o KSC wprowadza szereg regulacji określających jakie podmioty i dostawcy mogą świadczyć potencjalnie usługi w Polsce. Jak to się ma do certyfikacji produktów i usług wydawanej i respektowanej na poziomie europejskim w zakresie cyberbezpieczeństwa? Czy projekt wypełnia regulacje wynikające z wymienionych przez państwa aktów UE?
GWK: Przyjęte przez UE rozporządzenie dot. certyfikacji cyberbezpieczeństwa służą zapewnieniu odpowiedniego poziomu bezpieczeństwa komponentów ICT już na poziomie ich projektowana i wprowadzania na rynek. W tym kontekście, znowu, największe wątpliwości budzi procedura HRV – jako że prowadzi do możliwości wykluczenia podmiotu posiadającego certyfikat i spełniającego wszystkie wymogi. Co więcej, nie zapominać należy o połączonej z NIS 2 Dyrektywie CER dot. podmiotów krytycznych wobec której HRV stanowi nadregulację. W świetle Dyrektywy CER jest ona teoretycznie dopuszczalna, ale, zgodnie z art. 3 CER, tylko pod warunkiem, że takie przepisy są zgodne z obowiązkami państw członkowskich ustanowionymi w prawie Unii – takim jak rozporządzenie ws. certyfikacji cyberbezpieczeństwa. Z kolei procedura HRV w wersji przedstawionej przez Ministerstwo Cyfryzacji jest niezgodna z projektowanym rozporządzeniem CRA, które wyraźnie wskazuje, że państwa członkowskie nie mogą – w odniesieniu do spraw objętych zakresem CRA – utrudniać udostępniania na rynku produktów z elementami cyfrowymi zgodnych z CRA (art. 4 CRA), a także wprowadza domniemanie, iż produkt jest bezpieczny, o ile producent stosuje wskazane w rozporządzeniu procedury i normy (art. 18 CRA).
Co więcej, w obecnej wersji CRA w art. 46 wskazuje ścieżkę postępowania w przypadku, gdy podmiot certyfikowany stwarza ryzyko dla cyberbezpieczeństwa – uregulowanie tej kwestii w sposób, o którym mowa w obecnym projekcie nowelizacji ustawy o KSC jest wprost sprzeczne z CRA i zasadą pierwszeństwa prawa UE. W związku z tym w dalszej perspektywie należałoby się zastanowić nad rozwiązaniem, które wprost przesądzi relacje między certyfikacją a ewentualnymi nadzwyczajnymi procedurami stosowanymi w przypadku cyberzagrożeń w sposób niezagrażający skuteczności prawa unijnego.
Skoro mamy obecnie tyle nowych regulacji w zakresie cyberbezpieczeństwa, czy mogłaby nam pani wyjaśnić czym różni się NIS2 od rozporządzenia ws. cyberodporności?
KKG: NIS2 dotyczy obowiązków podmiotów zidentyfikowanych jako działające w najbardziej newralgicznych sektorach, gdzie brak dochowania odpowiednich wymogów w zakresie cyberbezpieczeństwa może powodować poważne szkody dla gospodarki i społeczeństwa. Wymaga od nich stosowania odpowiednich procedur audytowych w zakresie bezpieczeństwa, stosowania rozwiązań technicznych adekwatnych do poziomu ryzyka, czy zarządzania i obsługi incydentów bezpieczeństwa. Natomiast rozporządzenie CRA skupione jest na bezpieczeństwie produktów ICT. Wprowadza ono obowiązkowe wymogi bezpieczeństwa dla sprzętu i oprogramowania z elementem cyfrowym podłączonym do Internetu (np. inteligentnych telewizorów lub innych urządzeń AGD, niań elektronicznych czy zabawek). Rozporządzenie CRA ma zatem skutecznie chronić firmy i konsumentów przed cyberzagrożeniami. Produkty te trzeba będzie projektować w taki sposób, aby spełniać wymogi unijne i opatrywać odpowiednim certyfikatem potwierdzającym ten fakt. Jest to nowe podejście, które wydaje się bardzo trafne i optymalne w dobie coraz istotniejszej roli komponentów ICT w naszym codziennym życiu. Odwrotne podejście, czyli takie, które opierałoby się wyłącznie na reagowaniu na zagrożenia, byłoby niewystarczające – bo w pewnym sensie zawsze spóźnione – a dodatkowo hamowałoby rozwój tego kluczowego sektora gospodarki europejskiej. Można uznać, że NIS2 i CRA to dwie strony tej samej monety – NIS2 dotyczy przedsiębiorstw, a rozporządzenie CRA produktów. Razem tworzą komplementarny system cyberbezpieczeństwa i tworzą, wraz z Aktem o cyberbezpieczeństwie, unijne ramy cyberbezpieczeństwa.
Czy jako Polska nie jesteśmy nieco nadgorliwi w kontekście naszej lokalnej adaptacji unijnych przepisów, choćby biorąc pod uwagę transpozycję NIS2 i KSC? Mamy przecież też szereg innych regulacji do wprowadzenia, które zabezpieczają cyberbezpieczeństwo zarówno na poziomie unijnym jak i krajowym.
GWK: Oczywiście, Polska, jako kraj przyfrontowy, będący obiektem szeregu działań hybrydowych ma swoją specyfikę, która może wymagać dodatkowych wysiłków w zakresie cyberbezpieczeństwa. Niemniej, to co kluczowe z perspektywy prawidłowości działania całego europejskiego cyberbezpieczeństwa to jego spójność. A w sytuacji, w której „ambitne” podejście na poziomie krajowym blokuje i opóźnia dostosowanie polskich regulacji do europejskich wymogów, spójność ta jest zachwiana. W związku z tym wydaje się, że nie ma czasu do stracenia – powinniśmy zapewnić jak najszybciej podstawowe ramy NIS2 i CER, a następnie przystąpić do projektowania odpowiedzialnej i długofalowej polityki cyberbezpieczeństwa. Myślę też, że unijna prezydencja w Radzie UE Polski, która rozpocznie się w 2025 roku to doskonała okazja, by nadawać ton dyskusji o cyberbezpieczeństwie w całej Europie. Niemniej, by być w tym wiarygodnym musimy pokazać na przykładzie krajowym musimy pokazać się jako przewidywalny i wiarygodny partner nie tylko dla innych państw członkowskich UE, ale i dla biznesu, do którego będzie należała realizacja obowiązków regulacyjnych i który będzie stanowić I linię obrony przed cyberzagrożeniami.
Materiał z serwisu partnerskiego Cyfrowa Gospodarka