6 grudnia weszła w życie ustawa wdrażająca dyrektywę NIS2 do niemieckiego porządku prawnego. Nasi zachodni sąsiedzi dołączyli więc do grona siedemnastu państw Unii Europejskiej, które dostosowały już swój system prawny do nowych, unijnych standardów cyberbezpieczeństwa. Wśród dziesięciu państw, które nie przyjęły jeszcze odpowiednich przepisów krajowych należą m.in. Francja, Szwecja i niestety wciąż Polska.
Jak idzie wdrażanie NIS2 w Europie?
Przyjęta w 2022 roku dyrektywa NIS2 ustanawia ramy prawne w UE w zakresie cyberbezpieczeństwa. Dyrektywa ta, uchwalona m.in. w związku z postępującą destabilizacją sytuacji geopolitycznej, zastąpiła dotychczas obowiązującą dyrektywę NIS i znacznie poszerzyła zakres obowiązków w zakresie cyberbezpieczeństwa. Jako że akt ten jest dyrektywą unijną, co do zasady, nie ma on skutku bezpośredniego i musi zostać on implementowany do ustawodawstw państw członkowskich poprzez odpowiednie przepisy krajowe.
Mimo że termin transpozycji dyrektywy minął w październiku 2024 roku, do tej pory odpowiednie przepisy przyjęło tylko siedemnaście państw członkowskich Unii Europejskiej. W grudniu do tego grona dołączyły dwa kolejne. 4 grudnia ustawę poświęconą cyberbezpieczeństwu opublikowała Portugalia, a 6 grudnia przepisy w tym zakresie zaczęły obowiązywać w Niemczech.
BSIG – ustawa niemiecka
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), to ustawa wdrażająca NIS2 w Niemczech. Według niektórych analiz, nowe przepisy aż sześciokrotnie zwiększą ilość podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Jest to wynikiem zdecydowanie rozszerzonego zakresu podmiotowego nowych przepisów. Przepisy znajdują bowiem zastosowanie nie tylko do podmiotów ważnych i kluczowych (określanych według wielkości podmiotu i rodzaju prowadzonej działalności), ale też, za pośrednictwem regulacji dotyczących bezpieczeństwa łańcuchów dostaw, do kontrahentów tych podmiotów. Rozszerzenie zakresu zastosowania przepisów wystąpi nawet mimo faktu, że niemiecki ustawodawca zdecydował się wprowadzić wyjątek oparty o kategorię pomijalnej aktywności gospodarczej.
BSIG przewiduje m.in. wymóg zgłaszania incydentów cyberbezpieczeństwa, odpowiedzialność organów zarządzających podmiotami objętymi nowymi przepisami i możliwość nakładania administracyjnych kar pieniężnych. Niemieckie rozwiązania przewidują wzmocnione kompetencje Ministra Spraw Wewnętrznych w zakresie zabezpieczenia łańcuchów dostaw. Federalny Minister będzie uprawniony do zakazania stosowania komponentów o wysokim ryzyku w przypadku podmiotów o kluczowym znaczeniu.
Jak wdrożenie NIS2 idzie w Polsce?
W Polsce NIS2 ma zostać implementowana za pośrednictwem nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Projekt nowelizacji przez długi czas znajdował się w fazie prac rządowych, które ostatecznie zakończyły się 7 listopada. Wówczas projekt został skierowany do Sejmu. 5 grudnia, podczas I czytania, projekt został skierowany do prac w Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. Wydaje się więc, że również w Polsce niedługo możemy spodziewać się przyjęcia przepisów w tym zakresie.
Czy podlegasz pod NIS2? Wypełnij ankietę i sprawdź!
