Druga wersja projektu nowelizacji ustawy o KSC
7 października pojawiła się druga wersja projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ustawy o KSC), implementującej do polskiego porządku prawnego dyrektywę unijną NIS 2. Projekt jest datowany na 3 października br. i uwzględnia dużą część uwag zgłoszonych w ramach konsultacji publicznych i uzgodnień międzyresortowych.
Projekt dostępny jest na stronie internetowej BIP Ministerstwa Cyfryzacji: Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (bip.gov.pl). Natomiast na końcu artykułu zamieszczamy jako załączniki:
- porównanie nowego projektu nowelizacji z jego poprzednią wersją z dnia 23 kwietnia br. oraz
- przygotowaną przez nas scaloną wersję ustawy o KSC, uwzględniającą zmiany wprowadzane projektem nowelizacji.
Ministerstwo Cyfryzacji zapowiada, że do końca 2024 r. chce, aby projekt ten został przyjęty przez Radę Ministrów i skierowany do prac parlamentarnych, tak aby uchwalić ustawę z początkiem 2025 r.
Najważniejsze zmiany dotyczą terminów spełnienia obowiązków przez podmioty kluczowe i ważne. W nowej wersji projektu zostały one wydłużone. Obecnie harmonogram wygląda następująco:
Wprowadzonych zmian jest dużo. Poniżej przedstawiamy szersze (ale wciąż skrótowe) omówienie najważniejszych, naszym zdaniem, zmian w stosunku do poprzedniej wersji projektu, a dla przypomnienia także najważniejsze aspekty nowelizacji ustawy o KSC:
1. Obowiązki podmiotów kluczowych i ważnych oraz terminy ich realizacji
- Obowiązek rejestracji w wykazie podmiotów kluczowych i ważnych – wydłużenie terminu (art. 7 i nast. nowelizowanej ustawy o KSC)
Nowy projekt wydłuża czas, jaki podmioty kluczowe i ważne będą miały na przeprowadzenie samoanalizy podlegania pod regulacje oraz dokonanie rejestracji w wykazie. Zgodnie z projektem datowanym na 3 października termin na wniesienie wniosku o wpis w wykazie podmiotów kluczowych i ważnych wynosi 3 miesiące od wejścia w życie ustawy (lub spełnienia kryteriów uznania za podmiot kluczowy lub ważny) – poprzednio wynosił on 2 miesiące.
- Obowiązek przeprowadzenia audytu – ograniczenie obowiązku do podmiotów kluczowych oraz zmiany jego terminów (art. 15 nowelizowanej ustawy o KSC)
Projekt ustawy o KSC z 3 października ograniczył obowiązek przeprowadzania regularnych audytów zewnętrznych wyłącznie do podmiotów kluczowych.
Podmioty ważne nie będą miały obowiązku przeprowadzania audytu, co stanowi dość istotną zmianę, ponieważ w poprzedniej wersji projektu taki obowiązek był dla nich przewidziany. Warto wskazać, że w poprzedniej wersji projektu (oraz w dyrektywie NIS 2) obowiązki podmiotów kluczowych i ważnych były takie same.
Wydłużeniu uległy również terminy na spełnienie tego obowiązku. Podmioty kluczowe będą musiały przeprowadzić pierwszy audyt w ciągu 24 miesięcy od wejścia w życie ustawy (lub spełnienia kryteriów uznania za podmiot kluczowy) – poprzednio termin ten wynosił 12 miesięcy.
Również czas ważności audytów został wydłużony. Obecnie każdy kolejny audyt będzie musiał być przeprowadzony przez podmiot kluczowy w ciągu 36 miesięcy od poprzedniego – w wersji projektu nowelizacji z 23 kwietnia br. termin ten był krótszy i wynosił 24 miesiące.
- Obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji (art. 8 i nast. nowelizowanej ustawy o KSC)
Obowiązki w tym zakresie nie uległy zasadniczym zmianom w stosunku do poprzedniej wersji projektu nowelizacji. Nowy projekt wprowadza jednak pewne doprecyzowania.
Podmioty kluczowe i ważne wciąż będą miały obowiązek wdrożenia odpowiednich środków organizacyjnych i technicznych w ramach systemu zarzadzania bezpieczeństwem informacji w systemie informatycznym wykorzystywanym przy świadczeniu usługi. Na obowiązek ten składa się m.in. opracowanie i wdrożenie odpowiednich procedur i polityk dotyczących takich aspektów jak zapewnienie ciągłości działania czy bezpieczeństwa łańcucha dostaw.
Termin realizacji tego obowiązku nie uległ zmianie i wynosi 6 miesięcy od wejścia w życie ustawy (lub spełnienia kryteriów uznania za podmiot kluczowy lub ważny). Wyjątkiem w tym zakresie będą podmioty wyznaczone jako podmioty kluczowe lub ważne na mocy decyzji organu właściwego ds. cyberbezpieczeństwa. Czas, jaki będą miały na spełnienie tego obowiązku, wynosić będzie 12 miesięcy.
Ważną zmianą jest natomiast wykreślenie z projektu nowelizacji z 3 października domniemania zgodności systemu zarządzania bezpieczeństwem informacji z regulacjami w przypadku, gdy system ten spełniał wymogi norm ISO/IEC 27001 oraz ISO/IEC 22301.
2. Kary finansowe oraz ich wysokość – brak istotnych zmian w stosunku do wersji projektu nowelizacji ustawy o KSC z 23 kwietnia 2024 r. (art. 73 i nast. nowelizowanej ustawy o KSC)
Nowy projekt nie wprowadza modyfikacji co do wysokości kar. Rozszerzeniu uległ natomiast katalog przypadków, w których można nałożyć karę na podmiot lub jego kierownika (art. 73 ust. 1, art. 73b, art. 73c oraz art. 73a ust. 1 nowelizowanej ustawy o KSC).
Kary przewidziane w nowelizacji ustawy o KSC odpowiadają minimalnym karom określonym w dyrektywie NIS 2 i przedstawiają się następująco:
- Kara nakładana na podmioty kluczowe, które nie wykonują ustawowych obowiązków, może wynieść maksymalnie 10 mln EUR lub 2% przychodów osiągniętych przez podmiot w roku poprzednim (zastosowanie ma kwota wyższa). Nałożona kara nie może być jednak niższa niż 20 000 zł.
- Kara nakładana na podmioty ważne może wynieść maksymalnie 7 mln EUR lub 1,4% przychodów. Nałożona kara nie może być jednak niższa niż 15 000 zł.
- Polski ustawodawca wprowadził ponadto możliwość nałożenia kary kwalifikowanej – w wysokości do 100 mln zł – w przypadku, gdy naruszenie przepisów ustawy spowodowało:
- bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi;
- zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.
- Nowelizacja wprowadza także kary dla kierowników podmiotu kluczowego lub ważnego w wysokości do 600% otrzymywanego przez niego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
3. Zakres podmiotowy – zmiany w stosunku do wersji projektu nowelizacji ustawy o KSC z 23 kwietnia 2024 r.
a. Zmiana kryteriów uznania za podmiot kluczowy i ważny (art. 5 ust. 1 nowelizowanej ustawy o KSC)
Ustawodawca poprawił błąd występujący w poprzedniej wersji projektu nowelizacji, zgodnie z którym podmiotami kluczowymi były duże podmioty działające w sektorach wskazanych w załączniku nr 1 (sektory kluczowe) oraz nr 2 do ustawy (sektory ważne).
W obecnej wersji podmiotami kluczowymi co do zasady będą jedynie podmioty duże działające w sektorach kluczowych, natomiast podmiotami ważnymi – przedsiębiorstwa średnie działające w sektorach kluczowych oraz przedsiębiorstwa średnie oraz duże działające w sektorach ważnych, co odpowiada kryteriom określonym w dyrektywie NIS 2.
b. Doprecyzowany został przypadek spełnienia kryteriów uznania podmiotu zarówno za podmiot kluczowy i ważny (art. 5 ust. 4 nowelizowanej ustawy o KSC).
Nowa wersja projektu nowelizacji określa, że w przypadku, gdy dany podmiot spełni kryteria uznania go jednocześnie za podmiot kluczowy oraz ważny, podmiot taki będzie podmiotem kluczowym.
c. Zmiany dotyczące grup kapitałowych – zawężenie zakresu obejmowania (art. 5 ust. 5 oraz 6 nowelizowanej ustawy o KSC)
Nowy projekt wprowadza zawężenie do dotychczas przewidzianych zasad obliczania wielkości przedsiębiorstwa z uwzględnieniem jego przedsiębiorstw partnerskich lub powiązanych. Poprzednia wersja projektu nowelizacji wymagała, aby przy obliczaniu wielkości danego podmiotu uwzględniać dane pochodzące od innych przedsiębiorstw w grupie kapitałowej.
Obecna wersja projektu nowelizacji przewiduje, że jeśli przedsiębiorstwo spełnia kryterium wielkościowe (będzie przedsiębiorstwem średnim lub dużym) przy uwzględnieniu jego przedsiębiorstw partnerskich lub powiązanych, ale jego system informacyjny jest niezależny od systemów wykorzystywanych w tych przedsiębiorstwach, to podmiot taki nie będzie uznawany za podmiot kluczowy i ważny.
d. „Przesunięcia” w sektorach kluczowych i ważnych – sektory produkcyjne
W nowej wersji projektu ustawodawca przeniósł z załącznika nr 1 (określającego sektory kluczowe) do załącznika nr 2 (określającego sektory ważne) sektory produkcyjne, tj.:
- sektor produkcji (ogólnej) m.in. urządzeń elektrycznych, komputerów, pojazdów,
- sektor produkcji i dystrybucji chemikaliów oraz
- sektor produkcji i dystrybucji żywności.
Zmiana ta odpowiada systematyce obowiązującej w dyrektywie NIS 2.
e. Inne zmiany w zakresie podmiotowym
Nowelizacja wprowadza dużo innych zmian, które dotyczą modyfikacji podsektorów i rodzajów podmiotów m.in. w następujących sektorach:
- energii (np. modyfikacje dot. rodzajów podmiotów w podsektorze energii elektrycznej, czy dodanie podsektora energii jądrowej);
- transportu (modyfikacja w zakresie transportu wodnego – operatorów portów);
- finansowym, który uległ rozszerzeniu o nowe rodzaje podmiotów np. podmioty prowadzące ASO i OTF;
- ochrony zdrowia, gdzie dodano nowy podsektor oraz rodzaje podmiotów np. jednostki organizacyjne publicznej służby krwi;
- podmiotów publicznych, gdzie dodano nowe rodzaje podmiotów, a część podmiotów została przeniesiona do sektora Badań naukowych;
Zmiany dotyczą także podmiotów, które w poprzedniej wersji były kwalifikowane jako podmioty kluczowe bez względu na wielkość, w tym:
- przedsiębiorców komunikacji elektronicznej – teraz podmiotem kluczowym będą przedsiębiorstwa co najmniej średniej wielkości, natomiast mikro lub małe przedsiębiorstwa będą podmiotami ważnymi;
- dostawców usług zarządzanych w zakresie cyberbezpieczeństwa – podmiotem kluczowym będą jedynie przedsiębiorstwa co najmniej małe, natomiast mikroprzedsiębiorstwa nie będą już objęte regulacją; warto wskazać, że zmianie uległa także definicja tego rodzaju podmiotu – m.in. z jej zakresu wprost wyłączono usługi konsultacji.
4. Określenie relacji z rozporządzeniem DORA (m.in. art. 8i nowelizowanej ustawy o KSC)
Nowy projekt uwzględnia także regulacje wynikające z rozporządzenia DORA, a także wytyczne Komisji Europejskiej dot. stosowania art. 4 ust 1 i 2 dyrektywy NIS 2 z dnia 13 września 2023 r. Przejawia się to choćby wyłączeniem wymogu spełnienia poszczególnych obowiązków wynikających z nowelizacji ustawy o KSC przez podmioty z sektora bankowego i infrastruktury rynków finansowych. Dotyczy to m.in. obowiązków z zakresu systemu zarządzania bezpieczeństwem informacji i zgłaszania poważnych incydentów, jednak z pewnymi wyjątkami określonymi w art. 8i nowelizowanej ustawy o KSC.
5. Wspólne wykonywanie obowiązków przez podmioty publiczne (art. 16c i nast. nowelizowanej ustawy o KSC)
Wprowadzono nowy rozdział ustawy – art. 16c i n. ustawy o KSC:
- organy administracji rządowej i jednostki samorządu terytorialnegomogą wyznaczyć, spośród jednostek organizacyjnych podległych albo przez nie nadzorowanych, jednostkę odpowiedzialną za realizację obowiązków wynikających z ustawy w pozostałych jednostkach organizacyjnych podległych oraz nadzorowanych (art. 16d nowelizowanej ustawy o KSC);
- pozostałe jednostki, dla których wyznaczono jednostkę wykonującą obowiązki mają obowiązek współpracy. Ustawa reguluje też ogólne zasady współpracy (art. 16e – art. 16g nowelizowanej ustawy o KSC).
6. Vacatio legis (art. 38 projektu nowelizacji)
Vacatio legis pozostało bez zmian w stosunku do poprzedniej wersji projektu. Nowelizacja ma wejść w życie po upływie miesiąca od dnia ogłoszenia.
Zapoznaj się z porównaniem projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z dnia 3 października 2024 roku w stosunku do projektu z 23 kwietnia 2024 roku.