Dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady [UE] 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie [UE] nr 910/2014 i dyrektywę [UE] 2018/1972 oraz uchylająca dyrektywę [UE] 2016/1148, Dz.U. L 333 z 27.12.2022, str. 80–152.) weszła w życie 16 stycznia 2023 r., a więc już ponad rok temu. Stanowi ona rewizję poprzednio obowiązującej dyrektywy NIS, która w Polsce została transponowana za pomocą ustawy o krajowym systemie cyberbezpieczeństwa (ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, Dz.U. 2018 poz. 1560.). Pierwszy projekt NIS2 pojawił się w 2020 r.
Wnioski zarówno z analizy obecnego stanu transpozycji NIS2 w Polsce, jak i z analizy projektów w innych państwach członkowskich wskazują, że sytuacja Polski, jeśli chodzi o implementację, nie odbiega od europejskiego tempa. Do wprowadzania NIS2 w Polsce należy podejść z uwzględnieniem różnic między obowiązującym stanem prawnym a zmianami przewidzianymi w NIS2. Transpozycja niepoprzedzona odpowiednim procesem konsultacji może mieć negatywne skutki, szczególnie dla MŚP i tych sektorów, które nie były objęte dyrektywą NIS.
Termin transpozycji NIS2 do krajowego porządku prawnego upływa 18 października 2024 r. Pozostało więc niewiele czasu na dokonanie tak istotnych zmian. Warto się zastanowić, czy w tak krótkim czasie ustawodawca jest w stanie skutecznie zaprojektować ustawę uwzględniającą wszystkie konieczne wymogi NIS2 i odpowiedzieć na potrzeby rynku.
Statystyki UE dotyczące średniego opóźnienia Polski w transpozycji dyrektyw pokazują, że jesteśmy opóźnieni średnio o 19 miesięcy w transpozycji (Komisja Europejska, Single Market Scoreboard). Średnia unijna wynosi 18 miesięcy. W mojej ocenie, jeśli się bazuje na tych statystykach, w sytuacji, w której trudne okaże się dopełnienie terminu na implementację NIS2, warto, aby ustawodawca skupił się na jakości regulacji.
Transpozycja NIS2 w Polsce
Zgodnie z obecnymi, wczesnymi szacunkami NIS2 obejmie zakresem kilkanaście tysięcy podmiotów w Polsce (18 sektorów). Skala implementacji będzie zatem znaczna. Dostępne modele wdrożenia dyrektywy są uwarunkowane sposobem transpozycji poprzednio obowiązującej dyrektywy NIS. Funkcjonowanie w obrocie prawnym polskiej ustawy o krajowym systemie cyberbezpieczeństwa z 13 sierpnia 2018 r. sprawia, że akt prawny transponujący NIS2 będzie musiał tę ustawę zmienić lub uchylić, zastępując ją całkowicie nową regulacją. Obecne cele w ramach Krajowego Planu Odbudowy (KPO) nie uwzględniają wdrożenia dyrektywy NIS2, które powinno być traktowane priorytetowo. Przykładowo przygotowana rewizja KPO w reformie C3.1. wskazuje na wdrożenie dyrektywy NIS1, jednak pomija kwestię NIS2.
Ze względu na skalę zmian wynikających z NIS2 jedynym racjonalnym rozwiązaniem jest przyjęcie nowej ustawy transponującej przepisy europejskie. Proces legislacyjny będzie bez wątpienia czasochłonny z uwagi na to, że NIS2 istotnie rozszerza liczbę sektorów objętych wymogami w zakresie cyberbezpieczeństwa. Koszty wdrożenia nowych przepisów dla podmiotów nieobjętych wcześniej dyrektywą NIS będą znacznie wyższe niż dla tych, które miały czas wdrożyć poprzednio obowiązujące wymogi. W tym kontekście konieczne są szerokie konsultacje sektorowe. Ryzyka dotyczące bezpieczeństwa różnią się diametralnie w zależności od tego, czy mówimy o sektorze energetycznym, finansowym czy np. wytwórczym. Ustawodawca zdecydowanie powinien uwzględniać te różnice w procesie legislacyjnym. Na takie rozróżnienie wskazuje sama dyrektywa NIS2.
Warto pamiętać, że NIS2 nie stanowi tylko aktualizacji dyrektywy NIS. Wraz z transpozycją dyrektywy do porządku krajowego nastąpią bardzo duże zmiany w zakresie obowiązków przewidzianych przez prawo. Te zmiany dotyczą w szczególności podejścia do zarządzania ryzykiem, co w NIS nie było szeroko omówione. W NIS2 natomiast przedstawiono rozbudowany katalog wymogów w tym zakresie w art. 21 NIS2.
Również wielkość podmiotu, w zakresie wyznaczonych przez NIS2 obowiązków, będzie miała szczególne znaczenie w praktyce krajowej. Pomiędzy dużymi firmami a MŚP występują ogromne różnice dojrzałości w zakresie cyberbezpieczeństwa. Konieczne jest więc takie zaprojektowanie krajowych przepisów, by pozwoliły one tym średnim podmiotom zrealizować wymogi stawiane przez nadchodzące zmiany w prawie. MŚP różnią się od dużych podmiotów nie tylko dojrzałością, lecz przede wszystkim dostępnymi zasobami. Niektóre wymogi, szczególnie w nowych sektorach, mogą być niemożliwe do zrealizowania jeszcze przez jakiś czas.
Dojrzałość w zakresie cyberbezpieczeństwa wymaga czasu. Warto zatem wykorzystać szansę na stworzenie krajowej regulacji, która realnie podniesie ogólny poziom cyberbezpieczeństwa, a nie stworzy wymogi, których część podmiotów nie będzie w stanie zrealizować. Podobne wnioski nasuwają się po analizie projektów transpozycji NIS2 w innych państwach członkowskich.
Transpozycja w innych państwach UE
Zgodnie z publicznie dostępnymi informacjami wyłącznie na Węgrzech przyjęto akt prawny bezpośrednio nawiązujący do NIS2 (Act XXIII of 2023 a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről). Nie jest to jednak pełna implementacja dyrektywy. Pozostałe kraje pozostają na razie w fazie projektów na różnych szczeblach administracji państwowej. Oficjalnego tekstu transpozycji NIS2 nie przedstawiły także m.in. Francja, Szwecja, Bułgaria, Irlandia, Estonia, czy Słowenia. W pozostałych państwach sprawa również nie jest prosta. Samo złożenie projektu aktu, który w założeniach ma stanowić transpozycję dyrektywy, nie oznacza jeszcze, że w momencie przyjęcia go transpozycja NIS2 zostanie zakończona. Konieczna jest w tym celu szczegółowa analiza postanowień danego aktu prawnego. Przykładowo Łotwa, mimo zgłoszenia projektu nowelizującego wiele ustaw dotyczących bezpieczeństwa ICT i telekomunikacji, dokona w ten sposób tylko częściowej transpozycji NIS2 (Valsts Kanceleja, Nacionālās kiberdrošības likums). Dobrym przykładem jest również Portugalia, która na ten moment przedstawiła jedynie projekt zmian, obowiązujących tylko sektor administracji publicznej (Aviso n.º 1517/2024 Projeto de regulamento relativo à implementação do Regime Jurídico da Segurança do Ciberespaço nas entidades da Administração Pública).
Widać zatem, że Polska – mimo braku oficjalnego projektu – nie pozostaje wcale w tyle za pozostałymi państwami UE, jeśli chodzi o transpozycję NIS2. Jednak we wszystkich analizowanych krajach są lub będą prowadzone prowadzone szerokie konsultacje społeczne, co powinno stanowić wyznacznik standardu również dla polskiego ustawodawcy. Niektóre kraje zaś proponują podejście sektorowe, co również może stanowić dla Polski inspirację w nadchodzącym procesie transpozycji.
Wnioski
NIS2 przyniesie ogromne zmiany dla gospodarki. Wbrew powszechnemu przekonaniu zmiany nie będą dotyczyły jedynie branży telekomunikacyjnej, ale obejmą 18 sektorów zamiast dotychczasowych 9. Oznacza, to, że w miejsce 397 operatorów usług kluczowych regulacją zostanie objętych kilkanaście tysięcy podmiotów. Nowe obowiązki dotkną przede wszystkim małe i średnie przedsiębiorstwa działające w każdej z poszczególnych branż: energetycznej, transportowej, produkcji żywności, R&D, a także jednostki administracji publicznej.
NIS2 wprowadzi więc całkowicie nowe podejście do cyberbezpieczeństwa w takich obszarach jak zarządzanie ryzykiem, zarządzanie łańcuchem dostaw i codzienną praktykę firm w zakresie cyberbezpieczeństwa. Uchwalenie ustawy powinny poprzedzić szczegółowe konsultacje z każdą z branż w celu wypracowania rozwiązań, które podniosą ogólny poziom cyberbezpieczeństwa w Polsce. Konieczne jest także dokonanie oceny skutków regulacji dla każdej z branż, tak by nowe obowiązki zostały wdrożone w sposób proporcjonalny w kontekście zarówno bezpieczeństwa, jak i kosztów dla przedsiębiorców. Z uwagi na skomplikowany charakter regulacji oraz upływający termin transpozycji uzasadnione jest więc rozważenie przyjęcia minimalnego modelu harmonizacji umożliwiającej wypracowanie odpowiednich standardów i praktyk przez sektor prywatny.
Partnerzy
Organizator