Nowelizacja ustawy o KSC. Kontrowersyjne zapisy, nieznaczne zmiany?

W poniedziałek 7 października poznaliśmy zapisy nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. To właściwie jej 18. wersja, bowiem próby zmian przepisów podejmował jeszcze rząd Zjednoczonej Prawicy. To się jednak nie udało, a szanse na uchwalenie noweli KSC zostały zaplanowane przez obecną władzę na 2025 rok.

Nowelizacja KSC. Ważne zmiany

W ramach konsultacji społecznych zgłoszono aż 215 stanowisk i w sumie 1567 uwag, a około 70 proc. z nich zostało uwzględnionych w obecnym kształcie projektu. O najważniejszych, proponowanych zmianach piszemy w tym materiale.

Poprosiliśmy Agnieszkę Wachowską, radczynię prawną, Co-Managing Partner w Traple Konarski Podrecki i Wspólnicy o wskazanie - według niej - najważniejszych zmian w projekcie, w porównaniu do poprzedniej wersji.

Jak objaśnia, w poprzednim projekcie KSC był podwyższony rygor dla trzech sektorów: produkcji, produkcji i dystrybucji żywności oraz produkcji i dystrybucji chemikaliów, które zostały „przesunięte” do sektora kluczowego.

„W aktualnym projekcie te sektory, za dyrektywą NIS2 będą traktowane jako ważne. Doprecyzowano także sporo definicji, zarówno w zakresie usług cyfrowych, jak i w załączniku do ustawy, gdzie doprecyzowano listę podmiotów, których działalność mieści się w poszczególnych sektorach. Tam zmian jest sporo. I już po pierwszym przejrzeniu projektu widzę, że odpowiada on częściowo na uwagi przedsiębiorców dotyczące bardzo nieprecyzyjnego ujęcia zakresu podmiotowego ustawy. Uszczegółowiono chociażby definicję dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa” - tłumaczy w rozmowie z nami.

Wskazuje też na fakt, że z postulowanych przez przedsiębiorców zmian wykreślono odwołania wprost do norm ISO i związanego z nimi domniemania zgodności; częściowo uregulowano również sytuację podmiotów wchodzących w skład grup kapitałowych; za NIS2 wskazano też, że wymogi w zakresie bezpieczeństwa łańcucha dostaw odnoszą się wyłącznie do bezpośrednich dostawców.

„Z kolei spośród zmian, które zwiększyły rygoryzm ustawy można wskazać na rozszerzenie katalogu przesłanek umożliwiających nałożenie kary pieniężnej, zwłaszcza wobec kierowników podmiotu kluczowego lub ważnego, a także dodanie, że decyzja o uznaniu za dostawcę wysokiego ryzyka obejmuje również podmioty z grupy kapitałowej danego dostawcy” - uważa radczyni prawna.

Zmiana w kwestii audytów

Wśród najważniejszych zmian, jakie zostały uwzględnione, resort cyfryzacji wskazywał też na fakt, że audyt cykliczny będzie obowiązywał co 3 lata wyłącznie dla podmiotów kluczowych, a poprzednio proponowano, by odbywało się to co 2 lata.

„Jeśli chodzi o audyt, przedsiębiorcy postulowali ograniczenie ich zakresu. Ostatecznie te zapisy pozostały, natomiast zmniejszono ich częstotliwość. I zgodnie z obecnym projektem, termin wykonania pierwszego audytu został wydłużony do 24 miesięcy od wejścia w życie ustawy, a wcześniej było to 12 miesięcy. Natomiast audyty regularne, dotyczące bezpieczeństwa, należy według obecnego projektu przeprowadzać co 3 lata, a nie jak wcześniej wskazywano - co 2 lata” - mówi nam Agnieszka Wachowska, pytana o tę kwestię.

Inną istotną zmianą jej zdaniem, jest doprecyzowanie w przypadku sytuacji „kolizji” dla podmiotów, które jednocześnie mieszczą się w definicji sektorów ważnych, jak i kluczowych. „Wprost zapisano, że będą traktowane jako te z sektora kluczowego. W projekcie znalazły się także dodatkowe odwołania dotyczące podmiotów, które są objęte regulacją DORA, czyli z rynku finansowego” - komentuje prawniczka.

Co z dostawcą wysokiego ryzyka?

W czasie spotkania z dziennikarzami - w ramach prezentacji założeń nowelizacji - wiceminister cyfryzacji Paweł Olszewski zaznaczył, że zapisy dotyczące dostawcy wysokiego ryzyka nie są kierowane wobec żadnej konkretnej firmy i żadnego konkretnego kraju.

„Tylko są wobec podatności, które mogą wystąpić. Jeśli jest zagrożone bezpieczeństwo państwa, Polaków, musimy mieć takie narzędzia, jakimi dysponują także inne branże, bo bezpieczeństwo jest najważniejsze” - stwierdził.

Agnieszka Wachowska w rozmowie z CyberDefence24 zwraca uwagę, że zapisy dotyczące instytucji dostawcy wysokiego ryzyka, które wzbudzały wiele kontrowersji, nadal pozostają w tym projekcie.

„To regulacja niewynikająca z NIS2, a będąca inicjatywą rządową Polski, który ma uwzględniać specyficzne położenie geopolityczne naszego kraju. Jednak niektórzy wskazują, że na gruncie europejskim należą do odważnych postanowień, które później będą przez inne państwa członkowskie przejmowane. Dostawca wysokiego ryzyka budzi sporo kontrowersji, bo niektórzy podnoszą, że jest to instytucja niezgodna z prawem unijnym, gdyż ogranicza konkurencję na rynku europejskim. Daje również możliwość pojedynczemu państwu członkowskiemu - czyli w tym przypadku Polsce - do wyłączania konkretnych podmiotów z rynku” - tłumaczy prawniczka.

Niewykluczone, że jeżeli zostanie wydana decyzja na podstawie tego przepisu, zostanie zaskarżona do Trybunału Sprawiedliwości Unii Europejskiej. Wtedy dowiemy się po latach czy przepisy te były niezgodne z prawem europejskim. Jeżeli hipotetycznie zakładamy, że instytucja dostawcy wysokiego ryzyka w ogóle zostanie wykorzystana, bo pamiętajmy, że ustawa wprowadza jedynie możliwość wydania takiej decyzji, a nie przesądza czy taka decyzja zostanie wydana.
Agnieszka Wachowska, prawniczka

Nowelizacja KSC w 2025 roku?

Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz niektórych innych ustaw ma implementować do polskiego porządku prawnego dyrektywę NIS2. Czas na jej wdrożenie przez kraje członkowskie UE mija 17 października 2024 roku.

Natomiast z harmonogramu przedstawionego przez Ministerstwo Cyfryzacji jasno wynika, że do końca roku rząd planuje przyjąć projekt i skierować go do parlamentu. Z kolei uchwalenie ustawy będzie miało miejsce (planowo) dopiero w 2025 roku.

Czy ten termin jest realny, zważając na szereg przeszkód, jakie do tej pory stały naprzeciw zmianie przepisów?

„Moim zdaniem mamy szansę uchwalić nowelizację ustawy o KSC w 2025 roku, ale trzeba pamiętać, że tu znaczenia ma także polityka. W momencie, kiedy ta ustawa trafi do Sejmu, nie można wykluczać, że termin finalnie się przeciągnie. Trzymam kciuki za to, żeby udało się uchwalić przepisy jak najszybciej, bo czekamy na tą nowelizację już od kilku lat” - zaznacza Agnieszka Wachowska w rozmowie z CyberDefence24.

Przypomina też, że po 17 października Polska będzie już po terminie wdrożenia dyrektywy NIS2. „Ostatnio Polska dostała wysokie kary za niewdrożenie EKŁE (Europejskiego Kodeksu Łączności Elektronicznej) poprzez nieuchwalenie Prawa komunikacji elektronicznej. Dobrze by było, żebyśmy tym razem w miarę szybko te przepisy uchwalili i przystąpili do intensywnego budowania świadomości o nowych przepisach – bo obecnie wiele podmiotów nawet nie jest świadoma obowiązków, które będą na nich spoczywać” - podkreśla.

Wciąż niska świadomość rynku

O braku świadomości obowiązków wynikających z Dyrektywy NIS2 na rynku słychać i oficjalnie, i w kuluarach praktycznie każdej konferencji branżowej. Wciąż wiele podmiotów traktuje bowiem cyberbezpieczeństwo jako „zbędny wydatek”, a nie konieczność, a za chwilę - wiele z nich będzie musiało traktować je wręcz jako obowiązek.

„Potrzebna jest kampania edukacyjna, nastawiona głównie na zainteresowanie faktem, że dany podmiot podlega pod tę regulację. W działaniach komunikacyjnych powinno się postawić nacisk na katalog podmiotów, które podlegają pod tę regulację. Obecnie w kancelarii mamy wiele zapytań od podmiotów na rynku w tym temacie. Widać, że świadomość problemu się budzi, ale bardzo powoli” - stwierdza prawniczka.

Jej zdaniem, przedsiębiorcy, zarządy widzą w nowych regulacjach przede wszystkim koszty, związane z dodatkowymi środkami technicznymi, urządzeniami, czy też procedurami, które trzeba będzie wdrożyć.

„Zachęcam, by widzieć w nich korzyść związaną z zabezpieczeniem się przed atakami. Warto zdać sobie sprawę, że mnie jako firmę/ organizację też to może dotknąć. Wiadomo, że przestępcy bardzo często atakują prostymi sposobami, bo te są po prostu najmniej kosztowne, ale ich techniki wciąż działają, bo świadomość jest bardzo niska. Tym samym podniesienie w podstawowych kwestiach poziomu cyberbezpieczeństwa może znacząco ograniczyć cyberryzyka dla organizacji” - podsumowuje w rozmowie z CyberDefence24.pl.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].