Cybersec Update #6: Przedsiębiorco uważaj na gold-plating w cyberbezpieczeństwie
Temat istotny dla podmiotów znajdujących się w obszarze oddziaływania nowelizacji ustawy
o krajowym systemie cyberbezpieczeństwa (UKSC) w związku z Dyrektywną NIS2. Istotny z tego względu, że sprowadza na przedsiębiorców dodatkowe obowiązki, które… niekoniecznie wynikają z NIS2.
„Pozłacanie” przepisów widoczne coraz częściej
Gold-plating czyli nadregulacja, która występuje przy okazji wdrażania przepisów UE do krajowych porządków prawnych nie jest zjawiskiem dotykającym wyłącznie obszar związany z wdrożeniem NIS2.
Zjawisko może przybierać różne formy, np. uchwalania bardziej rygorystycznych przepisów niż wymaga tego akt prawny UE, ustanowienia przy okazji wdrożenia aktu UE innych obowiązków, które nie są przewidziane w akcie prawnym UE, czy też utrzymywania w dalszym ciągu rozwiązań, które uchwalane były przy okazji wdrażania nieobowiązujących już aktów UE.
NIS2 w siedzibach 40 tysięcy polskich przedsiębiorców
W przypadku wdrażania przepisów Dyrektywy NIS2 problem ten jest podnoszony szczególnie
z tego względu, że nowelizacja UKSC dotknąć ma blisko 40 tysięcy podmiotów, co stanowić będzie największą liczbę spośród wszystkich państw członkowskich UE. Dla porównania
w Niemczech jest to ok 35 tysięcy podmiotów, w Hiszpanii 25 tysięcy, z kolei we Francji 15 tysięcy.
W projekcie zmiany UKSC znajdziemy co najmniej kilka przypadków, które potwierdzają, że gold-plating nie oszczędził też polskiego procesu transpozycji dyrektywy NIS2.
Organ cyberbezpieczeństwa zdecyduje o dalszym prowadzeniu działalności przez podmiot kluczowy
Według projektu zmieniającego UKSC, organ cyberbezpieczeństwa ma uzyskać uprawnienia do wstrzymania koncesji lub prowadzenia działalności przez podmiot kluczowy w celu egzekucji przepisów ustawy KSC. NIS2 przyznaje swobodę w kształtowaniu uprawnień właściwych organów w zakresie stosowania środków nadzoru i jedną z możliwości jest rzeczywiście przyznanie kompetencji do zawieszenia zezwolenia na prowadzenia działalności przez podmiot kluczowy. Innymi rozwiązaniami, z których polski projektodawca nie skorzystał, jest zwrócenie się do organu, który przyznał zezwolenie lub do sadu, o tymczasowe zawieszenie zezwolenia na prowadzenie działalności przez podmiot kluczowy.
HRV we wszystkich sektorach
W projekcie nowelizacji UKSC zdecydowano, że kwestia uznania dostawców niektórych komponentów ICT za dostawców wysokiego ryzyka i związana z tym konieczność wycofania sprzętu powinna dotyczyć nie tylko sektora telekomunikacji, ale wszystkich innych sektorów, z których mogą zostać wyłonione podmioty kluczowe i ważne. To tylko część z kwestii, która w obszarze HRV (high risk vendors) uznana jest za nadregulację.
Dodatkowe kary pieniężne
Projekt przewiduje możliwość nałożenia przez organ cyberbezpieczeństwa kar pieniężnych
w przypadkach i w wysokości, które nie wynikają z dyrektywy NIS2. Naruszenie przepisów ustawy które powodują m.in. bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi podlegać może karze
w wysokości do 100 000 000 PLN.
Tymczasem przepisy NIS2 przewidują – w zależności od rodzaju naruszenia – administracyjne kary pieniężne w maksymalnej wysokości co najmniej 10 mln EUR lub 7 mln EUR.
