W dniu 24 kwietnia 2024 r. na stronie RCL został opublikowany projekt ustawy z 23 kwietnia 2024 r. o zmianie ustawy o krajowym systemie cyberbzpieczeńswa oraz niektórych innych ustaw.
25 kwietnia 2024
Celem projektowanej ustawy jest:
Ustawa przewiduje wprowadzenie zmian m. in. w:
Zgodnie z nomenklaturą przyjętą na gruncie dyrektywy NIS-2 projekt zakłada uchylenie definicji usługi kluczowej, która nie występuje na gruncie dyrektywy NIS 2, oraz rozdziału 4 i 5 ustawy o KSC dotyczącego usług cyfrowych oraz podmiotów publicznych i zastępuje dotychczasowy podział na operatorów usług kluczowych i dostawców usług kluczowych nowym podziałem na podmioty kluczowe i podmioty ważne.
Zauważyć należy, iż w załączniku 1 do projektu ustawy, określającym podmioty kluczowe wymienione zostały nie tylko podmioty wskazane jako podmioty kluczowe bezpośrednio w dyrektywie NIS 2, ale również dodane zostały podmioty zakwalifikowane wg dyrektywy NIS 2 jako podmioty ważne, tj. podmioty produkujące żywność i chemikalia, czy produkcja ogólna (np. produkcja pojazdów, maszyn, komputerów, urządzeń elektrycznych) co stanowi rozszerzenie zakresu podmiotowego kategorii podmiotów kluczowych względem dyrektywy NIS-2.
Podstawowa różnica między podmiotem kluczowym i ważnym wyraża się w kwestiach nadzorczych. Wobec podmiotu kluczowego można prowadzić czynności nadzorcze ex ante i ex post. Wobec podmiotu ważnego czynności nadzorcze prowadzone będą tylko ex post.
Projekt ustawy określa procedurę rejestracji podmiotów kluczowych i ważnych. Minister właściwy do spraw informatyzacji będzie prowadził rejestr podmiotów kluczowych i podmiotów ważnych. Minister właściwy do spraw informatyzacji w komunikacje ogłoszonym w dzienniku urzędowym ministra właściwego do spraw informatyzacji określi termin składania wniosków o wpis do wykazu podmiotów kluczowych i podmiotów ważnych przez podmioty kluczowe i podmioty ważne.
Podmioty spełniające wymogi dla podmiotów kluczowych i podmiotów ważnych będą zobowiązane do zarejestrowania się w rejestrze w terminie 2 miesięcy od spełnienia przesłanek uznania za podmiot kluczowy albo podmiot ważny.
Rejestr będzie prowadzony w systemie teleinformatycznym S46, a wnioski do niego będą miały formę elektroniczną.
Organ właściwy do spraw cyberbezpieczeństwa będzie mógł również z urzędu wpisać dany podmiot do wykazu podmiotów kluczowych i podmiotów ważnych, jeśli na podstawie danych zawartych w rejestrach publicznych oraz w innych dostępnych źródłach informacji stwierdzi, że dany podmiot spełnia kryteria podmiotu kluczowego lub podmiotu ważnego.
W związku z tym, że podmioty świadczące usługi z zakresu cyberbezpieczeństwa staną się pod rządami znowelizowanej ustawy dostawcami usług z zakresu cyberbezpieczeństwa i będą podlegali na tej podstawie wymogom wdrożenia systemu zarządzania bezpieczeństwem informacji, utraci moc rozporządzenie Ministra cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.
Obowiązki podmiotów kluczowych i ważnych
Obowiązki podmiotów kluczowych i ważnych dotyczą przede wszystkim dbania o bezpieczeństwo wszystkich swoich systemów wykorzystywanych do prowadzenia działalności, poprzez stosowanie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. Podmioty te będą obowiązane wdrożyć system zarządzania bezpieczeństwem informacji wykorzystywanym do świadczenia usług i w procesach organizacji mających na celu świadczenie usług.
Co ważne, spełnienie norm PN-EN ISO/IEC 27001 oraz ISO/IEC 22301 ma być równoznaczne ze spełnieniem niniejszego wymogu.
Dyrektywa NIS 2 wymaga wskazania roli kierownictwa poszczególnych podmiotów.
Co warte podkreślenia, kierownik podmiotu kluczowego lub ważnego z mocy ustawy ponosić ma odpowiedzialność za wykonywanie obowiązków podmiotu w zakresie cyberbezpieczeństwa, także wtedy jeżeli niektóre z obowiązków zostały powierzone innej osobie za jego zgodą.
W zakresie sektora bankowego i infrastruktury rynków finansowych ustawa wskazuje, że pierwszeństwo przed nią mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia14 grudnia 2022 r. w sprawie operacyjnej odporności sektora finansowego (dalej „rozporządzenie DORA”), co jest zbieżne z treścią motywu 16 preambuły do rozporządzenia DORA.
Obowiązek zgłaszana incydentów
Podmioty kluczowe i ważne będą musiały zgłaszać incydenty odpowiednio w ciągu 24 i 72 godzin od momentu jego wykrycia oraz sprawozdanie końcowe w okresie miesiąca od dnia zgłoszenia incydentu.
Progi uznania incydentu za incydent poważny zostaną określone w drodze rozporządzenia przez Radę Ministrów.
Dostawca wysokiego ryzyka
Projekt ustawy przewiduje wprowadzenie mechanizmu pozwalającego na uznanie określonego dostawcy sprzętu lub oprogramowania dla szczególnego rodzaju podmiotów gospodarczych i społecznych za dostawcę wysokiego ryzyka. Wskazane w decyzji zakresy produktów ICT, rodzaje usług ICT lub konkretne procesy ICT pochodzące od dostawcy wysokiego ryzyka, będą musiały być (w określonym przedziale czasowym odpowiednio 7 lub 4 letnim od ogłoszenia decyzji) wycofane z tych podmiotów. Niniejszej regulacja ma stanowić odpowiedź na ryzyka związane z wdrożeniem sieci 5G.
Minister właściwy do spraw informatyzacji będzie prowadził w Biuletynie Informacji Publicznej wykaz decyzji o uznaniu za dostawcę wysokiego ryzyka w podziale na produkty, usługi i procesy w nich wskazane.
Kary
Zmianie ulegają przepisy z zakresu kar pieniężnych w ramach dostosowania do katalogu kar w związku z nowymi obowiązkami podmiotów kluczowych i podmiotów ważnych.
Co do zasady kary dla podmiotów ważnych nie mogą przekroczyć 10 000 000 euro lub 2% przychodów osiągniętych przez podmiot kluczowy.
W odniesieniu do podmiotów ważnych, co do zasady, maksymalny poziom kary nie może przekroczyć 7 000 000 euro lub 1,4% przychodów osiągniętych przez ten podmiot z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary.
W przypadku, jeśli podmiot kluczowy lub podmiot ważny naruszy przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi lub zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług, organ właściwy ma mieć możliwość nałożenia kary nawet w wysokości do 100 000 000,00 zł.
Projektowana ustawa przewiduje także możliwość nałożenia kary pieniężnej na kierownika podmiotu kluczowego lub podmiotu ważnego, w kwocie nie większej niż 600 % otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.
Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie cyberbezpieczeństwa, jak również doradztwa regulacyjnego dla sektora finansowego, świadcząc usługi m. in. w zakresie działalności firm inwestycyjnych, funduszy inwestycyjnych, podmiotów zarządzających aktywami, banków (depozytariuszy).
Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.
ASI czy tradycyjna spółka prawa handlowego – na co zwrócić uwagę zakładając biznes?
26 kwietnia 2024
Uproszczone ramy zarządzania ryzykiem w DORA – kogo dotyczą i jaki jest ich zakres?
26 kwietnia 2024
AML/CFT w Towarzystwach Funduszy Inwestycyjnych w praktyce
25 kwietnia 2024
18 kwietnia 2024
ul. Wojciecha Górskiego 9
00-033 Warszawa
tel.: 22 295 09 40,
tel./fax: 22 692 44 74
e-mail: biuro@krwlegal.pl
Numer rachunku bankowego:
45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP
KRS: 0000576857
NIP: 5252630217
REGON: 362543036
