Pojawienie się nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa to oczywiście wypadkowa dyrektywy NIS 2 i próba jej implementacji w krajowym porządku prawnym. Na Kapitanie Hacku podejmujemy temat. W pierwszym z artykułów z cyklu straszyliśmy karami. Dzisiaj, w drugim z artykułów, pokusimy się o uściślenie, kogo te potencjale kary mogą dotyczyć, czyli kogo obejmą nowe przepisy.
A przepisy rozszerzają katalog branż, których ustawa dotyczy. Obok sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę czy infrastruktury cyfrowej znalazły się także sektory: ścieków, zarządzania ICT, przestrzeni kosmicznej, poczty, produkcji, produkcji i dystrybucji chemikaliów oraz produkcji i dystrybucji żywności.
Jakie warunki podmiot musi spełnić, by być objęty obowiązkami wynikającymi z ustawy? Jaka jest procedura umieszczenia podmiotu w wykazie podmiotów kluczowych lub ważnych?
Co do zasady podmiotem kluczowym lub ważnym jest osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej:
- wskazana w załączniku nr 1 lub nr 2 do ustawy,
- przewyższająca wymogi dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE.
Zachowana została zatem wynikająca z dyrektywy NIS 2 zasada size-cap, wprowadzająca kryterium wielkości jako ogólną zasadę identyfikowania podmiotów kluczowych i ważnych. Ponadto do podmiotów kluczowych zalicza się:
- przedsiębiorcę komunikacji elektronicznej, który spełnia wymogi dla średniego przedsiębiorcy określone w rozporządzeniu 651/2014/UE;
- niezależnie od wielkości podmiotu:
- dostawcę usług DNS,
- dostawcę usług zarządzanych w zakresie cyberbezpieczeństwa,
- kwalifikowanego dostawcę usług zaufania w rozumieniu art. 3 pkt 20 rozporządzenia nr 910/2014 (eIDAS),
- podmiot krytyczny zidentyfikowany zgodnie z art. 6 dyrektywy 2022/2557 (CER),
- podmiot publiczny,
- podmiot zidentyfikowany jako podmiot najważniejszy przez organ adekwatny do spraw cyberbezpieczeństwa,
- rejestr nazw domen najwyższego poziomu.
W odróżnieniu od przepisów dyrektywy NIS 2, w projekcie nowelizacji przewidziano, iż dostawca usług zarządzanych w zakresie cyberbezpieczeństwa (podmiot typu Security Operations Center, Computer Emerge Response Team itp.) jest podmiotem kluczowym niezależenie od wielkości. Zmianą w stosunku do postanowień dyrektywy jest również objęcie przepisami ustawy wszystkich podmiotów publicznych, niezależnie od wielkości.
Oprócz tego za podmioty ważne uznaje się:
- mikro, małego lub średniego przedsiębiorcę w rozumieniu rozporządzenia 651/2014/UE, który jest:
- niekwalifikowanym dostawcą usług zaufania lub
- przedsiębiorcą komunikacji elektronicznej;
- podmiot zidentyfikowany jako podmiot istotny przez organ adekwatny do spraw cyberbezpieczeństwa.
Projekt nowelizacji ustawy, podobnie jak dyrektywa NIS 2, zakłada samoidentyfikację podmiotów, które zobowiązane są złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych. Nowe przepisy umożliwiają jednak wpisanie określonego podmiotu do wykazu, o ile nie złożył on wniosku o wpis, a spełnia przesłanki uznania go za najważniejszy lub ważny.
Projekt nowelizacji dopuszcza również jeszcze inną formę uznania osoby fizycznej lub prawnej za podmiot najważniejszy lub ważny, o ile jest ona mikro lub małym przedsiębiorcą, prowadzi działalność określoną w załączniku nr 1 lub nr 2 do ustawy oraz spełnia chociaż jedną z poniższych przesłanek:
- jako jedyna świadczy usługę, która ma najważniejsze znaczenie dla krytycznej działalności społecznej lub gospodarczej,
- zakłócenie świadczenia przez nią usługi spowoduje poważne zagrożenie dla bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub obronności,
- zakłócenie świadczenia przez nią usługi spowoduje ryzyko systemowe zaprzestania świadczenia usług przez podmioty najważniejsze lub podmioty ważne,
Wykaz podmiotów kluczowych i ważnych – jakie są zmiany?
Do tej pory operatorzy usług kluczowych byli wyznaczani w drodze decyzji administracyjnej organu adekwatnego do spraw cyberbezpieczeństwa. Nowelizacja odchodzi jednak od tej zasady i wprowadza samoidentyfikację podmiotów kluczowych i ważnych, nakładając na nie obowiązek samodzielnej rejestracji w wykazie prowadzonym przez ministra adekwatnego do spraw informatyzacji.
Podmioty zobowiązane będą do złożenia wniosku o wpis do rejestru w terminie 2 miesięcy od spełnienia przesłanek uznania za podmiot najważniejszy lub ważny.
Wykaz będzie zawierał wszystkie informacje niezbędne do skutecznego nadzoru nad tymi podmiotami oraz do wykonywania ustawowych zadań nałożonych na zespoły CSIRT poziomu krajowego oraz CSIRT sektorowe. Oprócz danych identyfikujących podmiot w wykazie znajdzie się m.in. informacja o ewentualnych zawartych porozumieniach w sprawie wymiany informacji o zdarzeniach z zakresu cyberbezpieczeństwa (m.in. porozumienie w sprawie inicjatyw typu ISAC) oraz informacja, czy podmiot jest podmiotem krytycznym w rozumieniu dyrektywy CER. Ponadto podmiot będzie musiał zadeklarować, czy wykonuje działalność w innych państwach członkowskich UE, co pozwoli określić m.in. wpływ transgraniczny potencjalnych incydentów.
Wpis do wykazu będzie równoznaczny z uznaniem podmiotu za najważniejszy lub istotny i będzie dokonywał się automatycznie, z chwilą złożenia poprawnego wniosku. Organ adekwatny do spraw cyberbezpieczeństwa będzie mógł weryfikować dane zawarte w wykazie i w razie potrzeby wzywać podmiot do ich zmiany pod rygorem nałożenia administracyjnej kary pieniężnej.