W lipcu br. podsumowaliśmy na łamach ISB Tech pochodzący z kwietnia projekt zmian do ustawy o krajowym systemie cyberbezpieczeństwa (UKSC). Jesień przyniosła kolejne dwie wersje tego projektu (opublikowane w październiku oraz listopadzie), implementującego z opóźnieniem dyrektywę NIS 2, jako że termin na jej wdrożenie upłynął 17 października br. Jakie najważniejsze zmiany przynoszą ostatnie wersje projektu i na co warto zwrócić szczególną uwagę, komentują dr Damian Karwala, radca prawny, counsel w praktyce Własności Intelektualnej i Nowych Technologii CMS oraz Magdalena Zajęcka, radczyni prawna, associate w praktyce Własności Intelektualnej i Nowych Technologii CMS. [AKTUALIZACJA po pojawieniu się nowego projektu ustawy pod koniec listopada 2024]
Uwzględniając część uwag zgłaszanych w ramach prowadzonych konsultacji społecznych i uzgodnień międzyresortowych wprowadzono pewne zmiany, przy czym nie dotyczą one kwestii budzących szczególne zastrzeżenia. I tak, zgodnie z proponowanymi zmianami wydłużonych zostaje kilka istotnych terminów. Podmioty kluczowe i ważne będą miały 3 (a nie 2, jak poprzednio) miesiące na dokonanie oceny podlegania pod nową regulację oraz wniesienie wniosku o wpis do wykazu podmiotów zobowiązanych. Jak bowiem wskazywaliśmy poprzednio, to sam przedsiębiorca musi upewnić się, czy podlega nowym przepisom i w jakim zakresie; inicjatywa odpowiedniego organu będzie wyjątkiem, w odróżnieniu od aktualnego stanu prawnego.
Zaproponowano również zmiany dotyczące przeprowadzania audytów bezpieczeństwa systemu IT. Nie dość, że nowa wersja projektu wydłużyła czas na spełnienie tego obowiązku z 12 do 24 miesięcy, to dodatkowo każdy kolejny audyt będzie musiał być przeprowadzany co najmniej raz na 3 lata, a nie 2, jak proponowano poprzednio. Co więcej, obowiązek ten ograniczono wyłącznie do podmiotów kluczowych (czyli z takich sektorów jak np. sektor energii, bankowości czy infrastruktury cyfrowej), zwalniając z niego podmioty ważne.
Zrezygnowano również ze swoistego domniemania, jakie zapisano w poprzedniej wersji projektu, zgodnie z którym system zarządzania bezpieczeństwem informacji uznaje się za zapewniający zgodność z wymogami prawnym w sytuacji, gdy system ten oparty jest na normach ISO/IEC 27001 oraz ISO/IEC 22301. Nie oznacza to jednak, że podmioty zobowiązane nie będą mogły w ten sposób zapewnić zgodności. Doprecyzowano również wymogi znajdujące zastosowanie w stosunku do podmiotów z sektora finansowego, a to z uwagi na przepisy rozporządzenia unijnego w sprawie operacyjnej odporności cyfrowej sektora finansowego (tzw. DORA), co we wcześniejszych wersjach projektu budziło wątpliwości.
Nadal utrzymano, nawet w najnowszej wersji projektu kontrowersyjne rozwiązanie – procedurę uznania za dostawcę wysokiego ryzyka – które nie zostało uregulowane w dyrektywie NIS 2. Przy czym, procedurze tej podlegać mają producenci niezależnie od kraju ich siedziby. Tym samym nie jest wykluczone uznanie za dostawcę wysokiego ryzyka podmiotu z siedzibą w UE lub w państwie NATO, chociaż jednym z elementów analizy ryzyka przeprowadzanej w ramach postępowania jest prawdopodobieństwo podlegania przez oceniany podmiot pod kontrolę państw spoza UE i NATO.
Dlatego też warto jest uważnie obserwować prace nad reformą UKSC, zwłaszcza, że – jak należy założyć – weszły one już w finalną fazę – do końca roku projekt powinien zostać przyjęty przez Radę Ministrów. Pomimo zaś wydłużenia poszczególnych terminów, czasu na przygotowanie się do spełnienia nowych obowiązków nie będzie zbyt dużo. Ich nieprzestrzeganie wiązać się będzie zaś nie tylko z ryzykiem nałożenia wysokich kar, ale także z ryzykiem wizerunkowym.
