EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.
Zobacz wszystkie wyniki dla
'
'
Brak wyników wyszukiwania
Ogólne
Zobacz wszystkoPeople
Zobacz wszystkoOstatnie wyszukiwania
Dyrektywa NIS2 [1] weszła w życie 16 stycznia 2023, a więc już ponad rok temu. Stanowi ona rewizję poprzednio obowiązującej dyrektywy NIS [2], która w Polsce transponowana została za pomocą ustawy o krajowym systemie cyberbezpieczeństwa [3]. Pierwszy projekt NIS2 pojawił się w 2020 roku.
Wnioski z analizy zarówno obecnego stanu transpozycji NIS2 w Polsce, jak i analizy projektów w innych państwach członkowskich wskazują, że sytuacja Polski nie odbiega od europejskiego tempa implementacji. Do wprowadzania NIS2 w Polsce należy podejść z uwzględnieniem różnic pomiędzy obowiązującym stanem prawnym, a zmianami przewidzianymi w NIS2. Transpozycja niepoprzedzona odpowiednio procesem konsultacji może mieć negatywne skutki szczególnie dla SME („small and medium enterprises”) i tych sektorów, które nie były objęte dyrektywą NIS
Termin transpozycji NIS2 do krajowego porządku prawnego upływa 18 października 2024 r. Pozostało więc niewiele czasu na dokonanie tak istotnych zmian. Warto zastanowić się czy w tak krótkim czasie ustawodawca jest w stanie skutecznie zaprojektować ustawę uwzględniającą wszystkie konieczne wymogi NIS2 i odpowiedzieć na potrzeby rynku.
Statystyki UE dotyczące średniego opóźnienia Polski w transpozycji dyrektyw pokazują, że Polska opóźnia się średnio 19 miesięcy w transpozycji [4]. Średnia unijna wynosi 18 miesięcy. W mojej ocenie bazując na tych statystykach w sytuacji, w której trudnym okaże się dopełnienie terminu na implementację NIS2, warto aby ustawodawca skupił się na jakości regulacji.
Transpozycja NIS2 w Polsce
Zgodnie z obecnymi, wczesnymi szacunkami NIS2 obejmie zakresem kilkanaście tysięcy podmiotów w Polsce (18 sektorów). Skala implementacji będzie zatem znacząca. Dostępne modele wdrożenia dyrektywy uwarunkowane są sposobem transpozycji poprzednio obowiązującej dyrektywy NIS. Funkcjonowanie w obrocie prawnym polskiej ustawy o krajowym systemie cyberbezpieczeństwa z 13 sierpnia 2018 r. sprawia, że akt prawny transponujący NIS2 będzie musiał ustawę tę zmienić, lub uchylić zastępując ją całkowicie nową regulacją. Obecne cele w ramach Krajowego Planu Odbudowy (KPO) nie uwzględniają wdrożenia dyrektywy NIS2, które powinno być traktowane priorytetowo. Przykładowo przygotowana rewizja KPO w reformie C3.1. wskazuje na wdrożenie dyrektywy NIS1, jednak pomija kwestię NIS2.
Ze względu na skalę zmian wynikających z NIS2 jedynym racjonalnym rozwiązaniem jest przyjęcie nowej ustawy transponującej przepisy europejskie. Proces legislacyjny będzie bez wątpienia czasochłonny, mając na uwadze, że NIS2 istotnie rozszerza liczbę sektorów objętych wymogami w zakresie cyberbezpieczeństwa. Koszty wdrożenia nowych przepisów, dla podmiotów nie objętych wcześniej dyrektywą NIS będą znacznie wyższe niż dla tych podmiotów, które miały czas wdrożyć poprzednio obowiązujące wymogi. W tym kontekście, konieczne są szerokie konsultacje sektorowe. Ryzyka dotyczące bezpieczeństwa różnią się diametralnie w zależności od tego, czy mówimy o sektorze energetycznym, finansowym, czy np. wytwórczym. Ustawodawca zdecydowanie powinien uwzględniać te różnice w procesie legislacyjnym. Na takie rozróżnienie wskazuje sama dyrektywa NIS2.
Warto pamiętać, że NIS2 nie stanowi tylko aktualizacji dyrektywy NIS. Wraz z transpozycją dyrektywy do porządku krajowego nastąpią bardzo duże zmiany w zakresie obowiązków przewidzianych przez prawo. W szczególności zmiany dotyczą podejścia do zarzadzania ryzykiem, gdzie w NIS nie było ono szeroko omówione, zaś w NIS2 przedstawiono rozbudowany katalog wymogów w tym zakresie w art. 21 NIS2.
Również wielkość podmiotu, w zakresie wyznaczonych przez NIS2 obowiązków będzie miała szczególne znaczenie w praktyce krajowej. Pomiędzy dużymi firmami, a SME występują ogromne różnice w dojrzałości w zakresie cyberbezpieczeństwa. Konieczne jest więc takie zaprojektowanie krajowych przepisów, które pozwolą tym średnim podmiotom zrealizować wymogi stawiane przez nadchodzące zmiany w prawie. SME różnią się od dużych podmiotów nie tylko dojrzałością, ale przede wszystkim dostępnymi zasobami. Niektóre wymogi, szczególnie w nowych sektorach, mogą być niemożliwe do zrealizowania jeszcze przez jakiś czas. Dojrzałość w zakresie cyberbezpieczeństwa wymaga czasu.
Warto zatem wykorzystać szansę, na stworzenie krajowej regulacji, która realnie podniesie ogólny poziom cyberbezpieczeństwa, a nie stworzy wymogi, których część podmiotów nie będzie w stanie zrealizować. Podobne wnioski nasuwają się po analizie projektów transpozycji NIS2 w innych państwach członkowskich.
Transpozycja NIS2 w innych państwach UE
Zgodnie z publicznie dostępnymi informacjami, wyłącznie na Węgrzech przyjęto akt prawny bezpośrednio nawiązujący do NIS2 [1]. Nie jest to jednak pełna implementacja dyrektywy. Pozostałe kraje pozostają na razie w fazie projektów, na różnych szczeblach administracji państwowej. Oficjalnego tekstu transpozycji NIS2 nie przedstawiły także takie państwa jak m.in. Francja, Szwecja, Bułgaria, Irlandia, Estonia, czy Słowenia. W pozostałych państwach sprawa również nie jest prosta. Fakt złożenia projektu aktu, który w założeniach stanowić ma transpozycję dyrektywy, nie oznacza jeszcze, że w momencie przyjęcia go, transpozycja NIS2 zostanie zakończona. Konieczna w tym celu jest szczegółowa analiza postanowień danego aktu prawnego. Przykładowo Łotwa, pomimo zgłoszenia projektu nowelizującego szereg ustaw dotyczących bezpieczeństwa ICT i telekomunikacji, dokona w ten sposób tylko częściowej transpozycji NIS2 [2]. Dobrym przykładem jest również Portugalia, która na ten moment przedstawiła jedynie projekt zmian obowiązujących jedynie sektor administracji publicznej [3].
Widać zatem, że Polska pomimo braku oficjalnego projektu nie pozostaje wcale w tyle za pozostałymi państwami UE, jeśli chodzi o transpozycję NIS2. Jednak we wszystkich analizowanych krajach prowadzone są, lub będą szerokie konsultacje społeczne, co powinno stanowić wyznacznik standardu również dla polskiego ustawodawcy. Niektóre kraje zaś proponują podejście sektorowe, co również może stanowić dla Polski inspirację w nadchodzącym procesie transpozycji.
Newsletter Prawny
Subskrybuj newsletter i otrzymuj aktualne informacje o zmianach w prawie dotyczących polskiego biznesu.
Podsumowanie
NIS2 przyniesie ogromne zmiany dla gospodarki. Wbrew powszechnemu przekonaniu zmiany nie będą dotyczyły jedynie branży telekomunikacyjnej, ale obejmą 18 sektorów, zamiast dotychczasowych 9. Oznacza, to, że w miejsce 397 operatorów usług kluczowych regulacją zostanie objęte kilkanaście tysięcy podmiotów. Nowe obowiązki dotkną przede wszystkim małe i średnie przedsiębiorstwa działające w każdej z poszczególnych branż – energetycznej, transportowej, produkcji żywności, R&D, a także jednostki administracji publicznej.
NIS2 wprowadzi więc całkowicie nowe podejście do cyberbezpieczeństwa w takich obszarach jak zarządzanie ryzykiem, zarządzanie łańcuchem dostaw i codzienną praktykę firm w zakresie cyberbezpieczeństwa będzie znaczący. Uchwalenie ustawy powinny poprzedzić szczegółowe konsultacjami z każdą z branż, w celu wypracowania rozwiązań , które podniosą ogólny poziom cyberbezpieczeństwa w Polsce. Konieczne jest także dokonanie oceny skutków regulacji dla każdej z branż, tak by nowe obowiązki zostały wdrożone w sposób proporcjonalny w kontekście zarówno bezpieczeństwa jak i kosztów dla przedsiębiorców. Mając na uwadze skomplikowany charakter regulacji oraz upływający termin transpozycji, uzasadnione jest więc rozważenie przyjęcia minimalnego modelu harmonizacji umożliwiającej wypracowanie odpowiednich standardów i praktyk przez sektor prywatny.
Artykuł ukazał się w Dzienniku Gazecie Prawnej w dniu 22 marca 2024 r.
Jak EY może pomóc
Kancelaria EY Law świadczy kompleksowe doradztwo w zakresie prawa technologii. AI - cloud computing – cyberbezpieczeństwo – 5G. Dowiedz się więcej.
Przeczytaj więcejLider
-
Justyna Wilczyńska-BaraniakEY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat
-
Alicja GuzyEY Polska, Kancelaria EY Law, Manager
-
Kancelaria EY Law oferuje kompleksowe doradztwo w zakresie ochrony danych osobowych, w tym audyty, wsparcie w umowach oraz wdrożenia RODO i ocenę narzędzi IT. Dowiedz się więcej.
Przeczytaj więcej -
Kancelaria EY Law oferuje kompleksowe doradztwo w zakresie własności intelektualnej. Prawo autorskie - Znaki towarowe – Patenty. Dowiedz się więcej.
Przeczytaj więcej -
EY Law świadczy kompleksowe usługi w zakresie prawa spółek. Doradzamy z zakresu prawa korporacyjnego, fuzji i przejęć (M&A) oraz reorganizacji.
Przeczytaj więcej
Polecane artykuły
Jak NIS2 wpłynie na podejście do bezpieczeństwa łańcucha dostaw?
Jednym z najważniejszych elementów Dyrektywy NIS2 są normy dotyczące oceny bezpieczeństwa łańcucha dostaw (supply chain security). Czy ich praktyczna implementacja okaże się problematyczna?
Do kogo należy „dzieło” stworzone przez sztuczną inteligencję?
Dyrektywa NIS2” weszła w życie na początku 2023 r. Państwa członkowskie UE są zobowiązane do implementacji jej postanowień do krajowego porządku prawnego do 18 października 2024 r. Ustanawia ona szereg wymogów w zakresie środków cyberbezpieczeństwa i raportowania incydentów. Jakie? Zapraszamy do lektury!