W związku z trwającym Europejskim Miesiącem Cyberbezpieczeństwa postanowiliśmy przygotować krótki artykuł przedstawiający historię regulacji związanych z cyberbezpieczeństwem i ich najbliższą przyszłość, czyli zbliżającą się wielkimi krokami implementację dyrektywy NIS2 do polskiego porządku prawnego. Od powołania ENISY (agencji UE ds. cyberbezpieczeństwa) w 2004 roku, do uchwalenia najnowszych regulacji w tym zakresie, polskie i europejskie przepisy dotyczące cyberbezpieczeństwa przeszły długą drogę, której następnym krokiem ma być dostosowanie polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa do przepisów NIS2. Jak wyglądała ta droga?
ENISA
Jedną z pierwszych unijnych inicjatyw związanych z cyberbezpieczeństwem było powołanie ENISY. Agencję tę utworzono w marcu 2004 roku, jeszcze przed przystąpieniem Polski do UE. Pierwotnie pełniła ona rolę doradczą i informacyjną. Dopiero uchwalenie późniejszych aktów regulujących kwestie cyberbezpieczeństwa w UE doprowadziło do przyznania agencji określonych kompetencji związanych ze stosowaniem tych przepisów.
NIS
Pierwszym unijnym aktem prawnym regulującym kwestie cyberbezpieczeństwa była uchwalona w 2016 roku dyrektywa NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii). Dyrektywę tę implementowano do polskiego porządku prawnego w 2018 roku, za pośrednictwem przepisów ustawy o Krajowym Systemie Bezpieczeństwa i rozporządzeń wydanych na podstawie tej ustawy. W 2019 roku, Rada Ministrów przyjęła uchwałę w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej, czym ostatecznie zakończyła proces implementacji dyrektywy NIS w Polsce.
Dyrektywa ta położyła podwaliny pod podejście prezentowane w NIS2, aczkolwiek jej zakres był znacznie węższy. Przepisy NIS obejmowały swoim zastosowaniem przede wszystkim operatorów usług kluczowych i dostawców usług cyfrowych, a wprowadzone przez nią obowiązki były sformułowane – w porównaniu z nową dyrektywą – w sposób ogólny i mało restrykcyjny.
NIS2
NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148), nie wprowadza rewolucji, jeśli chodzi o założenia systemu, ale zdecydowanie ten system rozszerza i wzmacnia. NIS2 została przyjęta w 2022 roku, jako reakcja na cyberzagrożenia powstające m.in. w związku z wojną na Ukrainie. Nowe przepisy w założeniu zmierzają do rozwinięcia systemu cyberbezpieczeństwa w taki sposób, żeby de facto chronić całą gospodarkę państw członkowskich.
NIS2 tworzy szeroki pejzaż regulacyjny, obejmujący dodatkowe kategorii podmiotów. Objęte jej zastosowaniem będą nie tylko podmioty kluczowe, ale też podmioty ważne (np. producenci żywności). NIS2 nakłada również obowiązki związane z weryfikacją bezpieczeństwa łańcuchów dostaw i rozbudowuje obowiązki związane ze zgłaszaniem incydentów i zarządzaniem ryzykiem. Cały szereg sektorów dotychczas nieobjętych regulacjami dotyczącymi cyberbezpieczeństwa, znajdzie się pod reżimem dyrektywy NIS2. Oznacza to duże wyzwania dla wielu przedsiębiorstw, które zobowiązane są dostosować się do nowej rzeczywistości regulacyjnej.
Implementacja NIS2
Mimo że termin na implementację dyrektywy minął w październiku 2024 roku, Polska nadal nie zakończyła działań legislacyjnych związanych z jej implementacją. Wciąż na nowelizację czeka ustawa o Krajowym Systemie Cyberbezpieczeństwa. Nowelizacja tej ustawy jest kluczowa z punktu widzenia implementacji NIS2, gdyż to właśnie ona ma realizować w Polsce najważniejsze założenia nowej dyrektywy. Mimo że pierwszy projekt ustawy przedstawiono już na początku 2024 roku, nadal nie opuścił on Rady Ministrów.Warto jednak zauważyć, że w ciągu ostatniego miesiąca, prace nad projektem zdecydowanie się zintensyfikowały – w październiku swoje uwagi złożył szereg resortów, niektóre, już doczekały się odpowiedzi od wnioskodawcy. Jako planowany czas uchwalenia nowych przepisów, wskazano końcówkę 2025 roku. Warto więc już teraz zacząć przygotowywać się do stosowania nowych przepisów. Wymogów w tym zakresie jest dużo, a czasu po wejściu w życie nowych przepisów może być zbyt mało.
