EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.
Zobacz wszystkie wyniki dla
'
'
Brak wyników wyszukiwania
Ogólne
Zobacz wszystkoLudzie
Zobacz wszystkoOstatnie wyszukiwania
Dyrektywa NIS 2 [1] weszła w życie 16 stycznia 2023, a więc już ponad rok temu. Stanowi ona rewizję poprzednio obowiązującej dyrektywy NIS [2], która w Polsce transponowana została za pomocą ustawy o krajowym systemie cyberbezpieczeństwa [3]. Pierwszy projekt NIS 2 pojawił się w 2020 roku.
Wnioski z analizy zarówno obecnego stanu transpozycji NIS 2 w Polsce, jak i analizy projektów w innych państwach członkowskich wskazują, że sytuacja Polski nie odbiega od europejskiego tempa implementacji. Do wprowadzania NIS 2 w Polsce należy podejść z uwzględnieniem różnic pomiędzy obowiązującym stanem prawnym, a zmianami przewidzianymi w NIS 2. Transpozycja niepoprzedzona odpowiednio procesem konsultacji może mieć negatywne skutki szczególnie dla SME („small and medium enterprises”) i tych sektorów, które nie były objęte dyrektywą NIS
Termin transpozycji NIS 2 do krajowego porządku prawnego upływa 18 października 2024 r. Pozostało więc niewiele czasu na dokonanie tak istotnych zmian. Warto zastanowić się czy w tak krótkim czasie ustawodawca jest w stanie skutecznie zaprojektować ustawę uwzględniającą wszystkie konieczne wymogi NIS 2 i odpowiedzieć na potrzeby rynku.
Statystyki UE dotyczące średniego opóźnienia Polski w transpozycji dyrektyw pokazują, że Polska opóźnia się średnio 19 miesięcy w transpozycji [4]. Średnia unijna wynosi 18 miesięcy. W mojej ocenie bazując na tych statystykach w sytuacji, w której trudnym okaże się dopełnienie terminu na implementację NIS 2, warto aby ustawodawca skupił się na jakości regulacji.
Transpozycja NIS 2 w Polsce
Zgodnie z obecnymi, wczesnymi szacunkami NIS 2 obejmie zakresem kilkanaście tysięcy podmiotów w Polsce (18 sektorów). Skala implementacji będzie zatem znacząca. Dostępne modele wdrożenia dyrektywy uwarunkowane są sposobem transpozycji poprzednio obowiązującej dyrektywy NIS. Funkcjonowanie w obrocie prawnym polskiej ustawy o krajowym systemie cyberbezpieczeństwa z 13 sierpnia 2018 r. sprawia, że akt prawny transponujący NIS 2 będzie musiał ustawę tę zmienić, lub uchylić zastępując ją całkowicie nową regulacją. Obecne cele w ramach Krajowego Planu Odbudowy (KPO) nie uwzględniają wdrożenia dyrektywy NIS 2, które powinno być traktowane priorytetowo. Przykładowo przygotowana rewizja KPO w reformie C3.1. wskazuje na wdrożenie dyrektywy NIS 1, jednak pomija kwestię NIS 2.
Ze względu na skalę zmian wynikających z NIS 2 jedynym racjonalnym rozwiązaniem jest przyjęcie nowej ustawy transponującej przepisy europejskie. Proces legislacyjny będzie bez wątpienia czasochłonny, mając na uwadze, że NIS 2 istotnie rozszerza liczbę sektorów objętych wymogami w zakresie cyberbezpieczeństwa. Koszty wdrożenia nowych przepisów, dla podmiotów nie objętych wcześniej dyrektywą NIS będą znacznie wyższe niż dla tych podmiotów, które miały czas wdrożyć poprzednio obowiązujące wymogi. W tym kontekście, konieczne są szerokie konsultacje sektorowe. Ryzyka dotyczące bezpieczeństwa różnią się diametralnie w zależności od tego, czy mówimy o sektorze energetycznym, finansowym, czy np. wytwórczym. Ustawodawca zdecydowanie powinien uwzględniać te różnice w procesie legislacyjnym. Na takie rozróżnienie wskazuje sama dyrektywa NIS 2.
Warto pamiętać, że NIS 2 nie stanowi tylko aktualizacji dyrektywy NIS. Wraz z transpozycją dyrektywy do porządku krajowego nastąpią bardzo duże zmiany w zakresie obowiązków przewidzianych przez prawo. W szczególności zmiany dotyczą podejścia do zarzadzania ryzykiem, gdzie w NIS nie było ono szeroko omówione, zaś w NIS 2 przedstawiono rozbudowany katalog wymogów w tym zakresie w art. 21 NIS 2.
Również wielkość podmiotu, w zakresie wyznaczonych przez NIS 2 obowiązków będzie miała szczególne znaczenie w praktyce krajowej. Pomiędzy dużymi firmami, a SME występują ogromne różnice w dojrzałości w zakresie cyberbezpieczeństwa. Konieczne jest więc takie zaprojektowanie krajowych przepisów, które pozwolą tym średnim podmiotom zrealizować wymogi stawiane przez nadchodzące zmiany w prawie. SME różnią się od dużych podmiotów nie tylko dojrzałością, ale przede wszystkim dostępnymi zasobami. Niektóre wymogi, szczególnie w nowych sektorach, mogą być niemożliwe do zrealizowania jeszcze przez jakiś czas. Dojrzałość w zakresie cyberbezpieczeństwa wymaga czasu.
Warto zatem wykorzystać szansę, na stworzenie krajowej regulacji, która realnie podniesie ogólny poziom cyberbezpieczeństwa, a nie stworzy wymogi, których część podmiotów nie będzie w stanie zrealizować. Podobne wnioski nasuwają się po analizie projektów transpozycji NIS 2 w innych państwach członkowskich.
Transpozycja NIS 2 w innych państwach UE
Zgodnie z publicznie dostępnymi informacjami, wyłącznie na Węgrzech przyjęto akt prawny bezpośrednio nawiązujący do NIS 2 [1]. Nie jest to jednak pełna implementacja dyrektywy. Pozostałe kraje pozostają na razie w fazie projektów, na różnych szczeblach administracji państwowej. Oficjalnego tekstu transpozycji NIS 2 nie przedstawiły także takie państwa jak m.in. Francja, Szwecja, Bułgaria, Irlandia, Estonia, czy Słowenia. W pozostałych państwach sprawa również nie jest prosta. Fakt złożenia projektu aktu, który w założeniach stanowić ma transpozycję dyrektywy, nie oznacza jeszcze, że w momencie przyjęcia go, transpozycja NIS 2 zostanie zakończona. Konieczna w tym celu jest szczegółowa analiza postanowień danego aktu prawnego. Przykładowo Łotwa, pomimo zgłoszenia projektu nowelizującego szereg ustaw dotyczących bezpieczeństwa ICT i telekomunikacji, dokona w ten sposób tylko częściowej transpozycji NIS 2 [2]. Dobrym przykładem jest również Portugalia, która na ten moment przedstawiła jedynie projekt zmian obowiązujących jedynie sektor administracji publicznej [3].
Widać zatem, że Polska pomimo braku oficjalnego projektu nie pozostaje wcale w tyle za pozostałymi państwami UE, jeśli chodzi o transpozycję NIS 2. Jednak we wszystkich analizowanych krajach prowadzone są, lub będą szerokie konsultacje społeczne, co powinno stanowić wyznacznik standardu również dla polskiego ustawodawcy. Niektóre kraje zaś proponują podejście sektorowe, co również może stanowić dla Polski inspirację w nadchodzącym procesie transpozycji.
Newsletter Prawny
Subskrybuj newsletter i otrzymuj aktualne informacje o zmianach w prawie dotyczących polskiego biznesu.
Podsumowanie
NIS 2 przyniesie ogromne zmiany dla gospodarki. Wbrew powszechnemu przekonaniu zmiany nie będą dotyczyły jedynie branży telekomunikacyjnej, ale obejmą 18 sektorów, zamiast dotychczasowych 9. Oznacza, to, że w miejsce 397 operatorów usług kluczowych regulacją zostanie objęte kilkanaście tysięcy podmiotów. Nowe obowiązki dotkną przede wszystkim małe i średnie przedsiębiorstwa działające w każdej z poszczególnych branż – energetycznej, transportowej, produkcji żywności, R&D, a także jednostki administracji publicznej.
NIS 2 wprowadzi więc całkowicie nowe podejście do cyberbezpieczeństwa w takich obszarach jak zarządzanie ryzykiem, zarządzanie łańcuchem dostaw i codzienną praktykę firm w zakresie cyberbezpieczeństwa będzie znaczący. Uchwalenie ustawy powinny poprzedzić szczegółowe konsultacjami z każdą z branż, w celu wypracowania rozwiązań , które podniosą ogólny poziom cyberbezpieczeństwa w Polsce. Konieczne jest także dokonanie oceny skutków regulacji dla każdej z branż, tak by nowe obowiązki zostały wdrożone w sposób proporcjonalny w kontekście zarówno bezpieczeństwa jak i kosztów dla przedsiębiorców. Mając na uwadze skomplikowany charakter regulacji oraz upływający termin transpozycji, uzasadnione jest więc rozważenie przyjęcia minimalnego modelu harmonizacji umożliwiającej wypracowanie odpowiednich standardów i praktyk przez sektor prywatny.
Artykuł ukazał się w Dzienniku Gazecie Prawnej w dniu 22 marca 2024 r.
Jak EY może pomóc
Prawo nowych technologii: Zespół EY Law pomaga Klientom w skomplikowanym świecie prawa dotyczącego technologii, oferując jasne i praktyczne porady. Skorzystaj z naszego wsparcia one-stop-shop!
Przeczytaj więcejLider
-
Justyna Wilczyńska-BaraniakEY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat
-
Mateusz DominikEY Polska, Kancelaria EY Law, Manager / Managing Associate, Radca prawny
-
Kancelaria EY Law oferuje kompleksowe doradztwo w zakresie ochrony danych osobowych, w tym audyty, wsparcie w umowach oraz wdrożenia RODO. Dowiedz się więcej!
Przeczytaj więcej -
Własność intelektualna to fundament strategii biznesowej organizacji. DLatego tak ważna jest ochrona własności intelektualnej. Jak EY wspiera w obszarze, jakim jest prawo własności intelektualnej?
Przeczytaj więcej -
EY Law: Kompleksowe usługi z zakresu prawa spółek, prawa korporacyjnego, fuzji i przejęć (M&A) oraz reorganizacji. Odkryj nasze profesjonalne doradztwo. Dowiedz się więcej!
Przeczytaj więcej
Polecane artykuły
Jak NIS 2 wpłynie na podejście do bezpieczeństwa łańcucha dostaw?
Jednym z najważniejszych elementów Dyrektywy NIS 2 są normy dotyczące oceny bezpieczeństwa łańcucha dostaw (supply chain security). Czy ich praktyczna implementacja okaże się problematyczna?
NIS 2: wyzwania i szanse dla przedsiębiorców w Polsce
Dyrektywa NIS 2” weszła w życie na początku 2023 r. Państwa członkowskie UE są zobowiązane do implementacji jej postanowień do krajowego porządku prawnego do 18 października 2024 r.