Nowelizacja KSC. Będzie dłuższy termin na wdrożenie zmian?

Od początku grudnia Sejm zajmuje się projektem ustawy zmieniającej ustawę o krajowym systemie cyberbezpieczeństwa oraz kilku innych ustaw. Jak opisywaliśmy na naszych łamach, prace nad implementującą dyrektywę NIS2 nowelizacją trwają od 7 lat; w pierwszym czytaniu partie przedstawiły swoje stanowiska, zdecydowano również o skierowaniu dokumentu do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii.

We wtorek 16 grudnia w ramach posiedzenia Komisji odbyła się dyskusja w sprawie procedowanego projektu. Wiceminister cyfryzacji Paweł Olszewski zadeklarował, że instytucja dostawcy wysokiego ryzyka nie podlega negocjacjom, co nie spodobało się niektórym organizacjom branżowym. Uwagi kierowano również pod adresem katalogu podmiotów objętych KSC oraz wpływowi na małe i średnie firmy.

Rozjaśnianie wątpliwości interpretacyjnych. Będzie Q&A

Środowe posiedzenie Komisji poświęcono na rozpatrzenie części zmian zaproponowanych do projektu ustawy. Na samym jego początku, przewodniczący Bartłomiej Pejo złożył wniosek o wysłuchanie publiczne, który poparli posłowie PiS i Konfederacji; z drugiej strony, przedstawiciele Koalicji Obywatelskiej i Polski 2050 chcieli przejść bezpośrednio do procedowania ustawy, tłumacząc, że dyskusje na temat projektu miały miejsce we wtorek. Ostatecznie wniosek odrzucono stosunkiem 6 głosów za do 9 głosów przeciw.

Większość uwag zgłoszonych przy procedowaniu proponowanych zmian miała charakter redakcyjny. Nie zabrakło jednak merytorycznych zgłoszeń dotyczących konkretnych zapisów projektu. Piotr Konieczny z IAB Polska stwierdził, że definicja dostawcy sieci dostarczania treści jest błędna, ponieważ „osobami dostarczającymi treści do sieci serwerów” mają być wszyscy użytkownicy. Zapis ten ma być niezgodny z dyrektywą. Wiceminister Olszewski zaprzeczył, jakoby tak było, deklarując przy tym powstanie listy pytań i odpowiedzi wyjaśniającego „wszystkie wątpliwości interpretacyjne”.

Z kolei Tomasz Proć z Polskiej Izby Komunikacji Elektronicznej zwrócił uwagę, że termin „niezależne systemy informacyjne” miałby tworzyć wątpliwości interpretacyjne przy stosowaniu przepisów. Zaproponował doprecyzowanie, że w tym kontekście regulacja powinna dotyczyć jedynie systemów wykorzystywanych do świadczenia usług wspólnie z przedsiębiorstwami partnerskimi lub powiązanymi.

„To wydaje się duży niuans, ale on ma duże znaczenie w praktyce: czy do systemów liczyć system CRM czy Centrum Usług Wspólnych w grupach kapitałowych?” – podkreślił przedstawiciel PIKE.

Co z progami podmiotów ważnych lub kluczowych?

Proć wskazał również na kwestię progów uznania przedsiębiorców komunikacji elektronicznej za podmioty ważne lub kluczowe. Zapisany w artykule 5 ust. 6 wyjątek ma wykluczać stosowanie przepisu o systemach informacyjnych wobec firm, które są podmiotami małymi, a w ramach grupy kapitałowej stają się średnimi.„Zwracamy się o wprowadzenie zachowania spójności ustawy, niewprowadzanie żadnych nowych reguł wobec tej grupy podmiotów, ale umożliwienie skorzystania z wyjątków” – podkreślił.

Poparcie dla postulatu przedstawionego przez przedstawiciela PIKE wyrazili Piotr Konieczny oraz reprezentantka Krajowej Izby Komunikacji Ethernetowej Kinga Pawłowska-Nojszewska, która wskazała na problem z doliczaniem podmiotów z grup kapitałowych. Wspomniany wyjątek miałby dotyczyć tylko przedsiębiorców, którzy osiągnęli próg podmiotów dużych.

Będzie dłuższy limit na realizację obowiązków

Dużą dyskusję wywołała zmiana 24 dotycząca realizacji obowiązków przez podmioty ważne lub kluczowe w terminie 6 miesięcy. Aleksandra Musielak z Konfederacji Lewiatan zaproponowała wydłużenie tegoż limitu do 12 miesięcy. W uzasadnieniu wskazała, że firmy sygnalizują brak możliwości utrzymania półrocznego terminu realizacji obowiązków.

„Przedsiębiorcy będą działać w niezmiernym pośpiechu, jest mała szansa, że wielu z nich ten termin dotrzyma. Działają pod bardzo dużą presją wysokich kar finansowych. One bardzo odbiegają od tych, które teraz obowiązują w ustawie o krajowym systemie cyberbezpieczeństwa. Mamy bardzo duże zastrzeżenia do tego, czy przedsiębiorcy będą w stanie zrealizować swoje obowiązki” – powiedziała Musielak podczas posiedzenia. Wspomniała również o dłuższych terminach na realizację obowiązków w innych krajach Unii Europejskiej, takich jak Belgia (18 mies.) czy Czechy (1 rok).

Do propozycji Konfederacji Lewiatan przychyliła się Ogólnopolska Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl. Według obecnego na posiedzeniu wiceprezesa zarządu Piotra Podgórskiego, biznes ma patrzeć na nowelizację „z bardzo dużym przerażeniem”.

„Vacatio legis jest bardzo krótkie. (…) Apelowalibyśmy o co najmniej dwukrotnie dłuższy termin na wdrożenie szeregu obowiązków. Dla nas właściwym terminem byłby 12-miesięczny” – podkreślił Podgórski.

Wiceminister Olszewski w odpowiedzi na stanowiska organizacji stwierdził, że nie podziela przerażenia biznesu, przypominając również o wielu konsultacjach projektu. Zadeklarował jednak, że rząd jest skłonny wydłużyć termin na wdrożenie zmian. „Mamy przygotowaną poprawkę, ale (chcemy ją złożyć – red.) na następnym etapie prac legislacyjnych” – powiedział wiceszef resortu cyfryzacji, uzasadniając decyzję sytuacją z wykazami prac legislacyjnych.

Wskutek tego kroku, rozpatrywanie zmiany 24 zostało zawieszone do czasu przedstawienia propozycji rządowej co do terminu wdrożenia zmian przez podmioty ważne lub kluczowe.

Natychmiastowe zamknięcie działalności bez zmian

Podczas posiedzenia poruszono również kwestię zamykania działalności podmiotów przewidzianej w ustawie. Jak zauważył Tomasz Proć z Polskiej Izby Komunikacji Elektronicznej, decyzja jest wykonalna w dniu doręczenia decyzji w tej sprawie z możliwością odwołania się do sądu.

„Zdajemy sobie sprawę, że wyrok może nastąpić po roku, dwóch lub po jeszcze innym okresie, co może prowadzić do poważnego ograniczenia prowadzonej działalności. Obawiamy się, że będzie można w ten sposób nie zawsze efektywnie zamykać działalność przed rozstrzygnięciem sądowym” – wyjaśnił Proć, zwracając się z prośbą o dodanie przepisu o wykonalności decyzji do upływu terminu na złożenie skargi oraz wstrzymanie wykonania decyzji do czasu rozpatrzenia skargi przez sąd.

Wiceminister cyfryzacji stwierdził jednak, że termin procedury zawarty w dokumencie wynika bezpośrednio z dyrektywy NIS2.„Jesteśmy zobowiązani wprowadzić taką procedurę. Nawet gdyby była poprawka, to nie moglibyśmy jej zaakceptować” – powiedział Paweł Olszewski.

Podczas posiedzenia Komisja rozpatrzyła w sumie 74 zmiany, a jedną zawiesiła. Prace mają być kontynuowane po świętach Bożego Narodzenia, o co wnioskowali przedstawiciele Biura Legislacyjnego Rządu.