NIS2 – brak wdrożenia może skończyć się karą

Wypełnij ankietę i sprawdź, czy Twoja organizacja podlega pod NIS2!

17 października zeszłego roku upłynął termin na wdrożenie do krajowych porządków prawnych dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (tzw. NIS2). W Polsce dyrektywa ta miała zostać wdrożona za pośrednictwem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Ustawa ta wciąż nie została jednak znowelizowana, a co za tym idzie NIS2 nie został implementowany do polskiego porządku prawnego. Brak wdrożenia NIS2 może skończyć się dla Polski karami finansowymi.

NIS2 czyli następca NIS

NIS2 zastępuje dotychczas obowiązującą dyrektywę NIS (uchwaloną w 2016 r.), czyli pierwszego europejskiego aktu prawnego formułującego standardy cyberbezpieczeństwa. W obliczu wojny w Ukrainie i szeroko pojętej destabilizacji sytuacji międzynarodowej, europejski ustawodawca zdecydował, że konieczne jest zaktualizowanie standardów cyberbezpieczeństwa. W 2022 roku uchwalona została więc nowa dyrektywa (NIS2). Termin implementacji dyrektywy do krajowych porządków prawnych został wyznaczony na październik 2024 roku. Oznacza to, że do tego czasu państwa członkowskie miały obowiązek przyjąć rozwiązania ustawodawcze wdrażające przepisy dyrektywy. W przeciwieństwie bowiem do rozporządzeń unijnych, przepisy dyrektyw nie mają co do zasady skutku bezpośredniego i wymagają implementacji.

Ustawa o krajowym systemie cyberbezpieczeństwa

Dyrektywa NIS została implementowana do polskiego prawa za pośrednictwem ustawy o krajowym systemie cyberbezpieczeństwa. Wszystko wskazuje na to, że wdrożenie NIS2 również będzie odbywać się poprzez nowelizację tej ustawy. Prace nad nowelizacją przepisów trwają od dawna. Już 24 kwietnia zeszłego roku opublikowany został pierwszy projekt zmian przepisów. Nie dość jednak, że projekt nie został uchwalony, to nawet nie trafił do Sejmu. Do końca 2024 roku opublikowano łącznie cztery projekty nowelizacji. Według wykazu prac legislacyjnych Rady Ministrów, obecnie procedowany projekt powinien zostać przyjęty przez Radę Ministrów w II kwartale tego roku. Bardzo prawdopodobne jest zatem, że trafi on do Sejmu dopiero po wakacjach.

Czy będą kary?

W zeszłym tygodniu Komisja Europejska (KE) pozwała Polskę do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w związku z nieprawidłowym wdrożeniem DSA (Akt o usługach cyfrowych). W tym samym komunikacie KE upomniała Polskę i aż 18 innych państw członkowskich za brak implementacji NIS2. Choć nie została jeszcze wdrożona procedura naruszeniowa związana z NIS2, można zakładać, że – jeśli obecny stan będzie się utrzymywać – Polska zostanie pozwana do TSUE w tym zakresie. Wdrożenie nowych rozwiązań z zakresu cyberbezpieczeństwa  w krytycznych branżach gospodarki powinno być dla nas szczególnie istotne, gdyż według badań Eurostatu, aż 32% polskich firm doświadczyło incydentów cyberbezpieczeństwa. Plasuje nas to na drugim miejscu w Europie. Dodatkowo, według wypowiedzi przedstawicieli rządu, Polska najczęściej jest celem działalności obcych służb spośród wszystkich krajów UE.

Co wprowadza NIS2?

NIS2 wprowadza szereg wymagań dotyczących zarządzania ryzykiem w zakresie cyberbezpieczeństwa. Nowe wymagania będą skierowane głównie do podmiotów działających w dziedzinach gospodarki określonych jako kluczowe (np. dostarczanie wody pitnej) lub ważne (np. produkcja i dystrybucja żywności), a także spełniające określone wymagania na temat wielkości i zatrudnienia. Za niedostosowanie się do wymogów dyrektywy grozić mogą surowe kary finansowe.

SPRAWDŹ, CZY TWOJA ORGANIZACJA PODLEGA POD NIS2!

Źródła:

https://www.fakt.pl/polityka/ke-pozew-przeciwko-polsce-za-niewdrozenie-przepisow-unijnych/s6w26hq

https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32022L2555