Cyberbezpieczeństwo. Prawniczka: nadregulacja uderzy w biznes

Rozumiem wagę kwestii cyberbezpieczeństwa. Jednak przedsiębiorstwa powinny wiedzieć, dlaczego mają przestrzegać bardziej surowych wymogów niż te, które obowiązują w pozostałych 26 krajach Unii Europejskiej. Tego polski ustawodawca nie uzasadnił – mówi Justyna Wilczyńska-Baraniak, partnerka EY Law.

Publikacja: 04.10.2024 04:13

Cyberbezpieczeństwo. Prawniczka: nadregulacja uderzy w biznes

Foto: Adobe Stock

Piotr Szymaniak

17 października mija termin implementacji dyrektywy NIS2, której celem jest zwiększenie bezpieczeństwa infrastruktury cyfrowej w kluczowych sektorach państwa i gospodarki. Tymczasem projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, który m.in. wdraża postanowienia tej dyrektywy, znajduje się obecnie na etapie prac w ramach Rady Ministrów.

Warto przypomnieć, że w początkowym okresie prac nad nowelizacją ustawy o KSC, a więc w 2020 r., założeniem Ministerstwa Cyfryzacji było wdrożenie unijnego pakietu przepisów 5G Toolbox. Prace przerwano z powodu pandemii Covid-19. Na niedawnej konferencji Cyber24Day Krzysztof Gawkowski, minister cyfryzacji, potwierdził, że w najbliższych dniach możemy spodziewać się ogłoszenia nowej ustawy o KSC, prawdopodobnie w zmodyfikowanej w stosunku do oryginalnego projektu wersji.

16 stycznia 2023 r. przyjęto dyrektywę NIS2. Od tego momentu rozpoczął się okres na transpozycję dyrektywy do porządków prawnych poszczególnych państw członkowskich. Termin ten upływa 17 października 2024 r. Rada Ministrów ogłosiła w kwietniu 2024 r. projekt nowelizacji ustawy o KSC, który w założeniach ma stanowić polską transpozycję dyrektywy NIS2. Projekt zawiera również pewne odesłania do założeń poprzednich projektów nowelizacji ustawy o KSC, które śledziliśmy przez ostatnie cztery lata. Szczególnie istotnym obszarem jest próba rozbudowania przepisów dotyczących dostawców wysokiego ryzyka (DWR). Procedura uznania dostawcy za DWR pozwala ministrowi cyfryzacji wykluczyć określonego dostawcę z rynku ze względu na kryteria techniczne i nietechniczne, takie jak np. bezpieczeństwo sprzętu, ale również państwo pochodzenia dostawcy.

Czytaj więcej

Polska przyjmie jedno z bardziej rygorystycznych stanowisk przy implementacji dyrektywy NIS2 – wynik

Prawo dla Ciebie

Te przepisy budzą kontrowersje. "Polska nadreguluje" - twierdzą jedni. Inni: to uzasadnione

Polska przyjmie jedno z bardziej rygorystycznych stanowisk przy implementacji dyrektywy NIS2 – wynika z raportu EY. Inni eksperci są zdania, że to uzasadnione.

Projekt rozszerza obowiązki związane z cyberbezpieczeństwem na nowe sektory, nieobjęte poprzednio obowiązującą dyrektywą NIS i krajowym prawodawstwem w zakresie cyberbezpieczeństwa.

Transpozycja NIS2 zastępuje dotychczasowe kategorie dostawców usług kluczowych i dostawców usług cyfrowych, kategoriami podmiotów kluczowych i ważnych. Znacznie rozszerzono również zakres sektorów objętych dyrektywą, wiele biznesów będzie musiało zmierzyć się zatem z nowymi obowiązkami w zakresie bezpieczeństwa informacji. Obejmują one zarówno wdrożenie środków w zakresie cyberbezpieczeństwa (takich jak konieczność ustanowienia polityki zarządzania ryzykiem czy zapewnienia bezpieczeństwa łańcucha dostaw), jak i ustanowienie odpowiednich procedur w zakresie szybkiego zgłaszania incydentów bezpieczeństwa do właściwych organów. Za naruszenie obowiązków przewidziano surowe kary finansowe oraz odpowiedzialność osobistą osób na stanowiskach kierowniczych. W maju zakończyły się konsultacje, w ramach których do Ministerstwa Cyfryzacji spłynęło wiele uwag krytycznych, również ze strony administracji publicznej.

EY w ostatnich miesiącach sporządził dwa raporty dotyczące NIS2. Jakie dostrzegają państwo najistotniejsze problemy?

Najważniejszym wyzwaniem jest bardzo szeroki zakres sektorów, które będą musiały dostosować się do nowych przepisów wynikających z dyrektywy NIS2. Projekt ustawy przewiduje rozległy wpływ na różne branże, rozszerzając katalog tzw. podmiotów kluczowych i ważnych. Oznacza to, że więcej firm z różnych sektorów, takich jak zarządzanie usługami ICT, przestrzeń kosmiczna, poczta czy produkcja chemikaliów, będzie zobowiązanych do spełniania wymagań w zakresie cyberbezpieczeństwa.

Dyrektywa NIS 2 klasyfikuje sektory jako kluczowe i ważne, nakładając na nie określone wymogi bezpieczeństwa. Klasyfikacja danego sektora jako kluczowego wiąże się z bardziej rygorystycznym nadzorem oraz surowszymi regulacjami, co może mieć istotny wpływ na funkcjonowanie firm w tych branżach. W polskim projekcie ustawy trzy sektory, które w dyrektywie NIS2 są uznawane za ważne, zostały sklasyfikowane jako kluczowe, co dodatkowo zwiększa wymogi wobec nich.

Chodzi o branże: chemiczną, żywnościową i medyczną.

Tak, ale to nie wszystko. Do katalogu podmiotów kluczowych zostały również włączone m.in. jednostki budżetowe oraz jednostki organizacyjne podległe ministrowi odpowiedzialnemu za energię czy gospodarkę. Widzimy zatem, że zakres sektorów uznanych za kluczowe został rozszerzony w porównaniu z wymogami Unii Europejskiej.

Jednak warto doprecyzować: niektóre sektory, na gruncie dyrektywy NIS2 uznane za „ważne”, w polskiej ustawie o KSC zostały sklasyfikowane jako „kluczowe”. To zaostrza wymagania wobec tych sektorów, nakładając na nie bardziej rygorystyczne regulacje.

Jednak przepisy unijne określają pewien minimalny standard, a jeśli państwo chce wdrożyć większe wymogi w stosunku do podmiotów z kręgu administracji publicznej, to chyba należałoby tylko przyklasnąć?

Unijne przepisy wyznaczają pewne minimalne standardy, a jeśli państwo członkowskie decyduje się wprowadzić surowsze wymogi dla podmiotów, zwłaszcza z sektora administracji publicznej, można to teoretycznie uznać za krok w stronę większego bezpieczeństwa. Jednak warto zapytać o uzasadnienie takich działań. Dlaczego wprowadzane są wyższe wymogi wobec określonych podmiotów? Zgodnie z zasadą proporcjonalności i modelu minimalnej harmonizacji państwa członkowskie powinny implementować przepisy w sposób adekwatny do zagrożeń, nie wykraczając poza to, co jest konieczne.

Dlatego chciałabym poznać stanowisko projektodawców – co uzasadnia wprowadzenie surowszych wymagań? Czy to podejście jest uzasadnione w kontekście porównania z innymi krajami Unii Europejskiej, które mogą wdrażać przepisy w sposób bardziej zgodny z minimalnymi wytycznymi?

Podniesienie wymogów powyżej unijnych standardów nie tylko wiąże się z wyższymi kosztami dla podmiotów, ale także z dodatkowymi ryzykami. Na przykład w przypadku dostawców wysokiego ryzyka (DWR) wprowadzenie bardziej rygorystycznych przepisów może oznaczać, że firmy współpracujące z takim dostawcą będą musiały ponieść znaczne koszty w razie konieczności wycofania go z rynku. Wyobraźmy sobie firmę, która korzysta ze sprzętu dostawcy uznanego za DWR przez ministra cyfryzacji – w takim przypadku konieczna będzie wymiana sprzętu, co może być bardzo kosztowne i stanowić duże wyzwanie dla przedsiębiorstwa.

To prawda. Zgodnie z projektem podmiot podlegający pod ustawę o KSC, który korzysta z produktów lub usług firmy uznanej za DWR, będzie musiał wycofać te produkty w ciągu siedmiu lat od wydania decyzji. Czy to nie jest okres, po którym i tak nastąpiłaby amortyzacja tego sprzętu?

To pytanie bardziej do ekspertów finansowych. Wydaje mi się jednak, że w procesie konsultacji zabrakło pełnej transparentności i możliwości wypowiedzenia się przez wszystkie zainteresowane strony. Ważne jest również, jak przebiega procedura wykluczenia DWR – czy opiera się wyłącznie na kryterium kraju pochodzenia, czy uwzględnia też aspekty techniczne, takie jak podatność na zagrożenia?

Warto zauważyć, że inne kraje, które wdrożyły Toolbox 5G, ograniczyły procedurę dotyczącą DWR jedynie do sieci 5G i związanych z nimi technologii. Tymczasem nowelizacja ustawy o KSC rozszerza tę procedurę na wszystkie sektory. Widzimy tu ryzyko nadregulacji. Czy naprawdę jest konieczne, aby wykluczenie DWR obejmowało kilkanaście sektorów objętych ustawą o Krajowym Systemie Cyberbezpieczeństwa, a nie tylko dotyczyło technologii 5G, jak to jest w przypadku Toolbox 5G? Mam wrażenie, że projektodawca nie dostrzega tej istotnej różnicy.

To kluczowa rozbieżność między nowelizacją ustawy o KSC a dyrektywą NIS 2 oraz procedurą wykluczenia DWR wynikającą z Toolbox 5G?

Tak. Proszę sobie wyobrazić, że w sektorze zdrowia często nie ma dostępnych zamienników dla określonych technologii. Jeśli dostawca zostanie uznany za DWR, to nagle może się okazać, że korzystanie z tych technologii nie będzie możliwe, co stwarza ogromne wyzwania.

Rozumiem wagę kwestii cyberbezpieczeństwa. Jednak chciałabym, aby polski ustawodawca, wprowadzając bardziej rygorystyczne regulacje niż te przewidziane jako minimalne, jasno wyjaśnił ich celowość. Przedsiębiorstwa powinny wiedzieć, dlaczego mają przestrzegać bardziej surowych wymogów niż te, które obowiązują w pozostałych 26 krajach UE. Warto się zastanowić, czy istnieją uzasadnione powody, by stosować aż tak szerokie podejście.

Pamiętajmy, że trwa wojna w Ukrainie, nasza infrastruktura jest przedmiotem zainteresowania wschodnich służb, mamy dużą liczbę incydentów cyberbezpieczeństwa etc.

Z jednej strony, rzeczywiście mamy do czynienia z trudną sytuacją geopolityczną – wojna w Ukrainie, zwiększona aktywność wschodnich służb wywiadowczych, a także rosnąca liczba incydentów związanych z cyberbezpieczeństwem. To argumenty, które mogą uzasadniać bardziej rygorystyczne podejście do ochrony naszej infrastruktury krytycznej.

Natomiast mam wątpliwości co do kryterium uznawania podmiotów za dostawców wysokiego ryzyka (DWR). Zgodnie z projektem ma nim być dostawca technologii, usług ICT, sprzętu lub oprogramowania, którego działalność, źródło kapitału czy powiązania są związane z państwami spoza UE i NATO. Zastanawia mnie, dlaczego wprowadzono kryterium NATO. NATO jest sojuszem obronnym, a wielu jego członków ma już standardy cyberbezpieczeństwa, które mogą być bardziej rygorystyczne niż unijne. Dlaczego zatem kapitał pochodzący z państw spoza NATO ma automatycznie być uznawany za ryzykowny?

To kryterium wydaje się być nieco zbyt szerokie. Można zrozumieć obawy związane z kapitałem z krajów, które mogą stanowić zagrożenie, ale NATO jako całość obejmuje różnorodne państwa, niekoniecznie związane z polityką gospodarczą czy technologiczną. Wydaje się więc, że to kryterium wymaga bardziej precyzyjnego uzasadnienia.

Nie wiem, może by nie wykluczać dostawców np. z Turcji? Ale tak spekulując na gorąco.

Zgodnie z projektem artykuł 67b ustęp 11 pkt 2 wymaga, aby przy wydawaniu decyzji o uznaniu dostawcy za DWR brano pod uwagę m.in. prawdopodobieństwo, że dostawca znajduje się pod kontrolą państwa spoza Unii Europejskiej lub NATO. W tym kontekście dostawca jest weryfikowany pod kątem przepisów dotyczących ochrony danych osobowych w jego kraju, a także pod względem możliwości ingerencji państwa w jego działalność gospodarczą. Oznacza to, że dostawca może być wykluczony ze względu na kraj pochodzenia, nawet jeśli nie ma bezpośrednich dowodów na podatność na incydenty w obszarze cyberbezpieczeństwa.

To właśnie ten aspekt budzi moje największe wątpliwości. Jeżeli rozmawiamy o cyberbezpieczeństwie, powinniśmy koncentrować się na faktycznej podatności danej technologii na zagrożenia, a nie na kraju pochodzenia. Czy powinniśmy zakazać sprzedaży wszystkich samochodów produkowanych w Chinach tylko dlatego, że pochodzą z tego kraju, mimo że są niezawodne na naszych drogach? Dlatego uważam, że powinniśmy zastanowić się, w jakim stopniu kryteria nietechniczne, takie jak kraj pochodzenia, powinny być brane pod uwagę. Co więcej, istnieje ryzyko naruszenia traktatów UE dotyczących swobody gospodarczej. Powinniśmy przenieść punkt ciężkości na to, co faktycznie definiuje cyberbezpieczeństwo, czyli na kwestie techniczne i certyfikację technologii.

Co jeszcze w procedurze uznawania danego podmiotu za DWR budzi zastrzeżenia?

Jednym z głównych problemów jest fakt, że od decyzji ministra ds. informatyzacji przysługuje co prawda skarga do sądu administracyjnego, ale sprawy te są rozpatrywane na posiedzeniach niejawnych. Oznacza to, że skarżący otrzymuje wyrok bez dostępu do informacji niejawnych, podczas gdy pełne uzasadnienie trafia wyłącznie do ministra.

To rodzi istotny problem – w jaki sposób taki podmiot może skutecznie wnieść środek zaskarżenia, skoro nie zna pełnej argumentacji, na której opiera się decyzja? Zasadne jest przypuszczenie, że w większości przypadków taki podmiot będzie musiał domniemywać, iż przyczyną uznania go za DWR jest pochodzenie kapitału lub związek z krajem spoza UE i NATO – na co sam nie ma wpływu.

Taki stan rzeczy sprawia, że możliwości skutecznego odwołania są w zasadzie minimalne. W mojej ocenie może to prowadzić do sytuacji, w której podmioty uznane za DWR nie będą miały realnej szansy na obronę swoich interesów, co można uznać za formę dyskryminacji, zwłaszcza w odniesieniu do kapitału pochodzącego z krajów spoza UE i NATO.

Jak zatem należałoby ukształtować te przepisy?

Po pierwsze, nowelizacja powinna być ograniczona do rozwiązań przewidzianych w Toolbox 5G i odnosić się jedynie do technologii 5G, bez rozszerzania przepisów dotyczących dostawców wysokiego ryzyka (DWR) na inne sektory. Rozciąganie tych regulacji na wszystkie branże może prowadzić do nadregulacji, co jest niepotrzebne i potencjalnie szkodliwe dla wielu sektorów.

Po drugie, procedura uznawania dostawcy za DWR powinna koncentrować się na jego podatności na incydenty związane z cyberbezpieczeństwem, a nie na kraju pochodzenia. Za dostawcę DWR powinno się uznawać tych, których produkty lub usługi nie spełniają określonych wymogów technicznych niezbędnych do zapewnienia bezpieczeństwa, zamiast opierać się na kryterium geograficznym.

Warto również rozważyć, czy w przypadku sektora energetycznego, który ma swoje specyficzne wymagania i ryzyka, nie należałoby pozostawić odrębnej ustawy dotyczącej zagadnień cyberbezpieczeństwa. Przedstawiciele tego sektora wyrazili zaniepokojenie, że przepisy dotyczące dostawców wysokiego ryzyka mogą być dla nich zbyt restrykcyjne w kontekście szerokiego zakresu nowelizacji.

Justyna Wilczyńska-Baraniak, partnerka EY Law, liderka Zespołu Digital w EY Law oraz Cyber Law w EY EMEIA, adwokatka

Technologie Firmy Internet cyberbezpieczeństwo

Pozostało 94% artykułu

ABC Firmy

Wkrótce przedawnią się długi z 2022 roku. Co zrobić, żeby nie stracić pieniędzy

W Krajowym Rejestrze Długów figuruje obecnie ponad 261 tys. firm, które zalegają ze spłatą łącznie 10,26 mld zł. Część z tych należności może przepaść już w Sylwestra. Chodzi o dokumenty wystawione w 2022 r.

Materiał Promocyjny

Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!

Skutki wrześniowej powodzi w miejscowości Głuchołazy (województwo opolskie)

ABC Firmy

Resort rozwoju przekazał nowe informacje ws. firm dotkniętych skutkami powodzi

Ponad 85,3 mln zł wypłacił do tej pory ZUS przedsiębiorcom dotkniętym skutkami powodzi - podało Ministerstwo Rozwoju i Technologii. Przypomniało, że przedsiębiorcy cały czas mogą ubiegać się o pomoc finansową na odbudowę swoich firm.

ABC Firmy

System kaucyjny ruszy z opóźnieniem. Rząd tak zdecydował

Do Sejmu trafi projekt ustawy opóźniający wprowadzenie systemu kaucyjnego. To odpowiedź resortu klimatu i środowiska na apele przedstawicieli handlu.

ABC Firmy

Sąd Najwyzszy usuwa lukę w prawie w sposób korzystny dla wierzycieli. Co orzekł?

Termin upadku zabezpieczenia hipotecznego na nieruchomości restrukturyzowanego dłużnika nie biegnie, gdy na podstawie prawa restrukturyzacyjnego niedopuszczalne jest skierowanie egzekucji do jego majątku.

Materiał Promocyjny

Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?

Europejczycy są coraz bardziej przekonani, że mogą wpłynąć na ochronę klimatu poprzez zmianę codziennych nawyków

ABC Firmy

Istotna zmiana na rynku zamówień publicznych. Chodzi o wykonawców spoza UE

Trybunał Sprawiedliwości Unii Europejskiej uznał, że prawo unijne nie gwarantuje wykonawcom z państw spoza Unii Europejskiej lub państw, z którymi UE nie zawarła stosownych umów, dostępu do rynku zamówień publicznych.

Materiał Promocyjny

Opel Movano w leasingu 105% – sprawdź teraz!

Banki

Bank Pekao SA z ofertą EKO kredytu mieszkaniowego

Z roku na rok przybywa na rynku zarówno domów, jak i mieszkań, które są zbudowane z materiałów przyjaznych środowisku oraz posiadają rozwiązania oszczędzające zarówno energię, jak i wodę. Patrząc na obecne trendy oraz wymogi narzucane przez UE, budownictwo stawiające na rozwiązania ekologiczne będzie się rozwijać. Bank Pekao, który od wielu lat wspiera rozwiązania proekologiczne, przygotował dla klientów ofertę EKO kredytu mieszkaniowego.

Biznes

Chcemy być liderem zrównoważonego rozwoju

Jeżeli marki nie zmienią podejścia do zrównoważonego rozwoju dzisiaj to nie wygramy i nie zmniejszymy wpływu na środowisko, a wręcz przeciwnie – mówi Małgorzata Rybak-Dowżyk z T-Mobile Polska. Opowiada, co robi telekom aby być neutralnym dla środowiska i zdradza jakie ma efekty.

Materiał Partnera

Skuteczna obronność wymaga integracji danych

Kluczem do osiągnięcia przewagi stała się zdolność do pozyskiwania danych z lądu, powietrza, wody, kosmosu i cyberprzestrzeni, a następnie ich szybkiego przetwarzania i dostarczania do dowódców oraz żołnierzy – mówi generał Mary A. Legere, dyrektorka zarządzająca w Accenture Global Defense.

Materiał Partnera

Europejczycy chcą ochrony klimatu, ale mają obawy o koszty

Mieszkańcy Europy z jednej strony nadal wierzą, że transformacja energetyczna zabezpieczy dobrobyt następnych pokoleń. Z drugiej jednak strony obawiają się, że koszty ochrony klimatu dotkną ich finansowo. Z badania klimatycznego zleconego przez Fundację E.ON wynika, że Europejczycy popierają transformację, ale oczekują od rządów swoich państw konkretnego planu i większego zdecydowania w działaniu.

Biznes

Infrastruktura energetyczna potrzebuje ochrony

Polska nie wypracowała standardów dotyczących cyberbezpieczeństwa w energetyce, a realizuje olbrzymie inwestycje w sektorze. Powszechność niesprawdzonych technologii w infrastrukturze krytycznej może przynieść zgubne skutki – ocenia prezes Apatora Maciej Wyczesany.

dr Anna Bernaziuk, Edyta Kalińska, Tomasz Reiter

Materiał Partnera

Naszym priorytetem jest audyt i działanie w interesie publicznym

Liczba audytorów badających spółki giełdowe się zmniejsza. W grze pozostają tylko firmy, które mogą skutecznie odpowiedzieć na wyzwania – podkreślają członkowie zarządu BDO dr Anna Bernaziuk, Edyta Kalińska i Tomasz Reiter.

Biznes

Potrzebny jest broker łączący naukę i biznes

W Polsce główną barierą ciągle hamującą rozwój innowacji jest brak współpracy i przepływu informacji między światami nauki i biznesu – mówi Witold M. Orłowski, główny doradca ekonomiczny PwC w Polsce, Akademia Finansów i Biznesu Vistula, Politechnika Warszawska.

Materiał Partnera

Dyrektywa CSRD zmieni warunki także dla mniejszych firm

Chociaż nowe, bardziej wymagające zasady raportowania niefinansowego obejmą na razie tylko duże spółki, to unijne regulacje muszą już uwzględniać również ich dostawcy z sektora MŚP.