6 min. czytania 27 mar 2024
zielone umowy najmu

Czy Polska zostaje w tyle? - status implementacji dyrektywy NIS2 w Polsce i Europie

Justyna Wilczyńska-Baraniak
Autor Justyna Wilczyńska-Baraniak

EY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat

Lider Zespołu Prawa Własności Intelektualnej, Technologii, Danych Osobowych w Kancelarii EY Law. Doradza na rzecz korporacji w zakresie ochrony własności intelektualnej i wdrażania nowych technologii.

6 min. czytania 27 mar 2024
Powiązane tematy Doradztwo prawne Cybersecurity
Polub

Pokaż załączniki

Dyrektywa NIS2 [1] weszła w życie 16 stycznia 2023, a więc już ponad rok temu. Stanowi ona rewizję poprzednio obowiązującej dyrektywy NIS [2], która w Polsce transponowana została za pomocą ustawy o krajowym systemie cyberbezpieczeństwa [3]. Pierwszy projekt NIS2 pojawił się w 2020 roku.

Wnioski z analizy zarówno obecnego stanu transpozycji NIS2 w Polsce, jak i analizy projektów w innych państwach członkowskich wskazują, że sytuacja Polski nie odbiega od europejskiego tempa implementacji. Do wprowadzania NIS2 w Polsce należy podejść z uwzględnieniem różnic pomiędzy obowiązującym stanem prawnym, a zmianami przewidzianymi w NIS2. Transpozycja niepoprzedzona odpowiednio procesem konsultacji może mieć negatywne skutki szczególnie dla SME („small and medium enterprises”) i tych sektorów, które nie były objęte dyrektywą NIS.

Termin transpozycji NIS2 do krajowego porządku prawnego upływa 18 października 2024 r. Pozostało więc niewiele czasu na dokonanie tak istotnych zmian. Warto zastanowić się czy w tak krótkim czasie ustawodawca jest w stanie skutecznie zaprojektować ustawę uwzględniającą wszystkie konieczne wymogi NIS2 i odpowiedzieć na potrzeby rynku.

Statystyki UE dotyczące średniego opóźnienia Polski w transpozycji dyrektyw pokazują, że Polska opóźnia się średnio 19 miesięcy w transpozycji [4]. Średnia unijna wynosi 18 miesięcy. W mojej ocenie bazując na tych statystykach w sytuacji, w której trudnym okaże się dopełnienie terminu na implementację NIS2, warto aby ustawodawca skupił się na jakości regulacji.

Portal Prawny NIS2

Dowiedz się więcej

Transpozycja NIS2 w Polsce

Zgodnie z obecnymi, wczesnymi szacunkami NIS2 obejmie zakresem kilkanaście tysięcy podmiotów w Polsce (18 sektorów). Skala implementacji będzie zatem znacząca. Dostępne modele wdrożenia dyrektywy uwarunkowane są sposobem transpozycji poprzednio obowiązującej dyrektywy NIS. Funkcjonowanie w obrocie prawnym polskiej ustawy o krajowym systemie cyberbezpieczeństwa z 13 sierpnia 2018 r. sprawia, że akt prawny transponujący NIS2 będzie musiał ustawę tę zmienić, lub uchylić zastępując ją całkowicie nową regulacją. Obecne cele w ramach Krajowego Planu Odbudowy (KPO) nie uwzględniają wdrożenia dyrektywy NIS2, które powinno być traktowane priorytetowo. Przykładowo przygotowana rewizja KPO w reformie C3.1. wskazuje na wdrożenie dyrektywy NIS1, jednak pomija kwestię NIS2.

Ze względu na skalę zmian wynikających z NIS2 jedynym racjonalnym rozwiązaniem jest przyjęcie nowej ustawy transponującej przepisy europejskie. Proces legislacyjny będzie bez wątpienia czasochłonny, mając na uwadze, że NIS2 istotnie rozszerza liczbę sektorów objętych wymogami w zakresie cyberbezpieczeństwa. Koszty wdrożenia nowych przepisów, dla podmiotów nie objętych wcześniej dyrektywą NIS będą znacznie wyższe niż dla tych podmiotów, które miały czas wdrożyć poprzednio obowiązujące wymogi. W tym kontekście, konieczne są szerokie konsultacje sektorowe. Ryzyka dotyczące bezpieczeństwa różnią się diametralnie w zależności od tego, czy mówimy o sektorze energetycznym, finansowym, czy np. wytwórczym. Ustawodawca zdecydowanie powinien uwzględniać te różnice w procesie legislacyjnym. Na takie rozróżnienie wskazuje sama dyrektywa NIS2.

Warto pamiętać, że NIS2 nie stanowi tylko aktualizacji dyrektywy NIS. Wraz z transpozycją dyrektywy do porządku krajowego nastąpią bardzo duże zmiany w zakresie obowiązków przewidzianych przez prawo. W szczególności zmiany dotyczą podejścia do zarzadzania ryzykiem, gdzie w NIS nie było ono szeroko omówione, zaś w NIS2 przedstawiono rozbudowany katalog wymogów w tym zakresie w art. 21 NIS2.

Również wielkość podmiotu, w zakresie wyznaczonych przez NIS2 obowiązków będzie miała szczególne znaczenie w praktyce krajowej. Pomiędzy dużymi firmami, a SME występują ogromne różnice w dojrzałości w zakresie cyberbezpieczeństwa. Konieczne jest więc takie zaprojektowanie krajowych przepisów, które pozwolą tym średnim podmiotom zrealizować wymogi stawiane przez nadchodzące zmiany w prawie. SME różnią się od dużych podmiotów nie tylko dojrzałością, ale przede wszystkim dostępnymi zasobami. Niektóre wymogi, szczególnie w nowych sektorach, mogą być niemożliwe do zrealizowania jeszcze przez jakiś czas. Dojrzałość w zakresie cyberbezpieczeństwa wymaga czasu.

Warto zatem wykorzystać szansę, na stworzenie krajowej regulacji, która realnie podniesie ogólny poziom cyberbezpieczeństwa, a nie stworzy wymogi, których część podmiotów nie będzie w stanie zrealizować. Podobne wnioski nasuwają się po analizie projektów transpozycji NIS2 w innych państwach członkowskich.

Transpozycja NIS2 w innych państwach UE

Zgodnie z publicznie dostępnymi informacjami, wyłącznie na Węgrzech przyjęto akt prawny bezpośrednio nawiązujący do NIS2 [1]. Nie jest to jednak pełna implementacja dyrektywy. Pozostałe kraje pozostają na razie w fazie projektów, na różnych szczeblach administracji państwowej. Oficjalnego tekstu transpozycji NIS2 nie przedstawiły także takie państwa jak m.in. Francja, Szwecja, Bułgaria, Irlandia, Estonia, czy Słowenia. W pozostałych państwach sprawa również nie jest prosta. Fakt złożenia projektu aktu, który w założeniach stanowić ma transpozycję dyrektywy, nie oznacza jeszcze, że w momencie przyjęcia go, transpozycja NIS2 zostanie zakończona. Konieczna w tym celu jest szczegółowa analiza postanowień danego aktu prawnego. Przykładowo Łotwa, pomimo zgłoszenia projektu nowelizującego szereg ustaw dotyczących bezpieczeństwa ICT i telekomunikacji, dokona w ten sposób tylko częściowej transpozycji NIS2 [2]. Dobrym przykładem jest również Portugalia, która na ten moment przedstawiła jedynie projekt zmian obowiązujących jedynie sektor administracji publicznej [3].

Widać zatem, że Polska pomimo braku oficjalnego projektu nie pozostaje wcale w tyle za pozostałymi państwami UE, jeśli chodzi o transpozycję NIS2. Jednak we wszystkich analizowanych krajach prowadzone są, lub będą szerokie konsultacje społeczne, co powinno stanowić wyznacznik standardu również dla polskiego ustawodawcy. Niektóre kraje zaś proponują podejście sektorowe, co również może stanowić dla Polski inspirację w nadchodzącym procesie transpozycji.

Newsletter Prawny

Subskrybuj newsletter i otrzymuj aktualne informacje o zmianach w prawie dotyczących polskiego biznesu.

Zapisz się

Podsumowanie

NIS2 przyniesie ogromne zmiany dla gospodarki. Wbrew powszechnemu przekonaniu zmiany nie będą dotyczyły jedynie branży telekomunikacyjnej, ale obejmą 18 sektorów, zamiast dotychczasowych 9. Oznacza, to, że w miejsce 397 operatorów usług kluczowych regulacją zostanie objęte kilkanaście tysięcy podmiotów. Nowe obowiązki dotkną przede wszystkim małe i średnie przedsiębiorstwa działające w każdej z poszczególnych branż – energetycznej, transportowej, produkcji żywności, R&D, a także jednostki administracji publicznej.

NIS2 wprowadzi więc całkowicie nowe podejście do cyberbezpieczeństwa w takich obszarach jak zarządzanie ryzykiem, zarządzanie łańcuchem dostaw i codzienną praktykę firm w zakresie cyberbezpieczeństwa będzie znaczący. Uchwalenie ustawy powinny poprzedzić szczegółowe konsultacjami z każdą z branż, w celu wypracowania rozwiązań , które podniosą ogólny poziom cyberbezpieczeństwa w Polsce. Konieczne jest także dokonanie oceny skutków regulacji dla każdej z branż, tak by nowe obowiązki zostały wdrożone w sposób proporcjonalny w kontekście zarówno bezpieczeństwa jak i kosztów dla przedsiębiorców. Mając na uwadze skomplikowany charakter regulacji oraz upływający termin transpozycji, uzasadnione jest więc rozważenie przyjęcia minimalnego modelu harmonizacji umożliwiającej wypracowanie odpowiednich standardów i praktyk przez sektor prywatny. 

Artykuł ukazał się w Dzienniku Gazecie Prawnej w dniu 22 marca 2024 r.

  • Pokaż przypisy#Ukryj przypisy

    1. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148, Dz.U. L 333 z 27.12.2022, str. 80—15.
    2. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, Dz.U. L 194 z 19.7.2016, str. 1—30.
    3. Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, Dz. U. 2018 poz. 1560.
    4. Komisja Europejska, Single Market Scoreboard, https://single-market-scoreboard.ec.europa.eu/countries/poland_en, dostęp: 20.03.2024. 
    5. Act XXIII of 2023 a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről, https://njt.hu/jogszabaly/2023-23-00-00.6, dostep: 14.03.2024.
    6. Valsts Kanceleja, Nacionālās kiberdrošības likums, https://tapportals.mk.gov.lv/legal_acts/2122ae13-f711-4b31-a767-daf155b28102#, dostęp 14.03.2024.
    7. Aviso n.º 1517/2024 Projeto de regulamento relativo à implementação do Regime Jurídico da Segurança do Ciberespaço nas entidades da Administração Pública, https://diariodarepublica.pt/dr/detalhe/aviso/1517-2024-838307456, dostęp: 14.03.2024. 

     

     

     

     

Jak EY może pomóc

Prawo nowych technologii

Kancelaria EY Law świadczy kompleksowe doradztwo w zakresie prawa nowych technologii. AI - cloud computing – cyberbezpieczeństwo – 5G. Dowiedz się więcej.

Czytaj więcej

Lider

Justyna Wilczyńska-Baraniak
Justyna Wilczyńska-Baraniak

EY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat

Joanna Ostrowska
Joanna Ostrowska

EY Polska, Kancelaria EY Law, Senior Manager, Counsel

Maciej Bisch
Maciej Bisch

EY Polska, Kancelaria EY Law, Manager, Adwokat

Ochrona danych osobowych

Kancelaria EY Law świadczy kompleksowe usługi prawne z zakresu ochrony danych osobowych.

Czytaj więcej
Prawo własności intelektualnej

Kancelaria EY Law oferuje kompleksowe doradztwo w zakresie własności intelektualnej. Prawo autorskie - Znaki towarowe – Patenty. Dowiedz się więcej.

Czytaj więcej
Prawo korporacyjne, fuzje i przejęcia

EY Law świadczy kompleksowe usługi w zakresie prawa spółek.

Czytaj więcej

Kontakt

Chcesz dowiedzieć się więcej? Skontaktuj się z nami.

LinkedIn Twitter

Informacje

Justyna Wilczyńska-Baraniak
Autor Justyna Wilczyńska-Baraniak

EY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat

Lider Zespołu Prawa Własności Intelektualnej, Technologii, Danych Osobowych w Kancelarii EY Law. Doradza na rzecz korporacji w zakresie ochrony własności intelektualnej i wdrażania nowych technologii.

Powiązane tematy Doradztwo prawne Cybersecurity
  • Facebook
  • LinkedIn
  • X (formerly Twitter)
  • Link został skopiowany
Polub