Implementacja NIS2 – gdzie jesteśmy?

W październiku 2024 r. Ministerstwo Cyfryzacji opublikowało kolejną wersję projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która ma implementować do polskiego porządku prawnego dyrektywę NIS-2. Sporo mówiliśmy o wcześniejszej wersji tego projektu, więc pora przyjrzeć się temu, co się zmieniło.


Po pierwsze, nastąpiły pewne zmiany jeśli chodzi o klasyfikację podmiotów kluczowych / ważnych. Poprzednio zakładano, że jeśli dany podmiot ma status dużego przedsiębiorcy (wg. kryterium zatrudnienia lub kryterium przychodowego/bilansowego), to będzie podmiotem kluczowym niezależnie od tego czy jego działalność mieści się w ramach sektora kluczowego (załącznik nr 1 do projektu ustawy) czy sektora ważnego (załącznik nr 2). Było to odstępstwo od podejścia dyrektywy NIS-2. Obecnie, kluczowym będzie podmiot duży z sektora kluczowego (załącznik nr 1), natomiast podmiot duży z sektora ważnego (załącznik nr 2) będzie podmiotem ważnym. Chociaż podmioty kluczowe i ważne mają podobne obowiązki, to jednak ich sytuacja nie jest identyczna. Podmioty ważne nie są bowiem objęte nadzorem prewencyjnym (ex ante) i nie muszą robić niektórych kosztownych rzeczy, takich jak cykliczne audyty systemów informacyjnych.


Po drugie, skorygowano podejście w zakresie sytuacji podmiotów funkcjonujących w ramach grup kapitałowych. Określając status podmiotu wchodzącego w skład takiej grupy (duży/średni/mały/mikro), bierze się pod uwagę informacje dotyczące innych spółek z grupy. Tym samym, polska spółka, która sama w sobie jest jednostką mikro lub małą, po uwzględnieniu zagranicznych podmiotów z grupy kapitałowej, może okazać się średnim lub dużym przedsiębiorcą, a co za tym idzie zostać poddana obowiązkom wynikającym z NIS-2. Z uwagi na to, dodano postanowienie, które wyłącza z zakresu regulacji o KSC podmioty znajdujące się w takiej właśnie sytuacji, o ile ich system informacyjny jest niezależny od systemów wykorzystywanych w pozostałych podmiotach z grupy kapitałowej. Jeśli systemy są wspólne bądź powiązane, wyłączenie to nie znajdzie zastosowania.


Po trzecie, dodano rozwiązania wychodzące naprzeciw obawom podmiotów publicznych, które będą objęte nowymi regulacjami niezależnie od progów wielkościowych, o ile do realizacji zadań publicznych wykorzystują systemy informacyjne. Obecnie, organ nadrzędny (w administracji rządowej czy JST) będzie mógł wyznaczyć dedykowaną jednostkę, która przejmie obowiązki w zakresie zapewnienia zgodności z KSC od jednostek podległych lub nadzorowanych przez ten organ nadrzędny. Takie rozwiązanie z pewnością ułatwi życie wielu podmiotom z sektora publicznego.


Po czwarte, usunięto domniemanie zgodności systemów zarządzania bezpieczeństwem informacji (SZBI) wdrażanych w oparciu o właściwe normy ISO (27001, 22301) z obowiązkami przewidzianymi w regulacjach nowego KSC. Oczywiście, takie normy nadal będą bardzo pomocne przy tworzeniu i rozwoju SZBI, ale nie będą już automatycznie gwarantować zgodności.


Po piąte, zrezygnowano z obowiązku cyklicznej realizacji audytów bezpieczeństwa systemów informacyjnych przez podmioty ważne (obowiązek ten pozostaje nadal w stosunku do podmiotów kluczowych).


Poprzednie nasze artykuły na temat NIS2 znajdziesz TUTAJ i TUTAJ.


Materiał prasowy: radca prawny Piotr Grzelczak.

fot. Piotr Grzelczak, Kancelaria Prawna GFP_Legal Wrocław



#Cyberbezpieczeństwo #NIS2 #NoweKSC #BezpieczeństwoInformacji #ZarządzanieRyzykiem #PodmiotyKluczowe #PodmiotyWażne #TransformacjaCyfrowa #RegulacjePrawne #SektorPubliczny #TechnologieICT #Compliance #AudytBezpieczeństwa #PrawnikITWrocław #RadcaPrawnyWrocław #KancelariaPrawnaWrocław #ITLawyerPoland #LawfirmPoland #PolecanyPrawnikWrocław #Polishlawfirm #Polishlawoffice #PolishLawyer #IT #GFPLegal #KancelariaPrawnaGFPLegal