{"id":6696,"date":"2024-10-16T00:00:00","date_gmt":"2024-10-16T00:00:00","guid":{"rendered":"https:\/\/lynx.legal\/news\/dyrektywa-nis2-w-polsce-zalozenia-i-stan-prac-nad-jej-implementacja\/"},"modified":"2024-10-16T00:00:00","modified_gmt":"2024-10-16T00:00:00","slug":"dyrektywa-nis2-w-polsce-zalozenia-i-stan-prac-nad-jej-implementacja","status":"publish","type":"post","link":"https:\/\/lynx.legal\/pl\/dyrektywa-nis2-w-polsce-zalozenia-i-stan-prac-nad-jej-implementacja\/","title":{"rendered":"Dyrektywa NIS2 w Polsce: za\u0142o\u017cenia i stan prac nad jej implementacj\u0105"},"content":{"rendered":"\n

W obliczu\n rosn\u0105cych zagro\u017ce\u0144 w cyberprzestrzeni oraz dynamicznego rozwoju\n technologicznego, Unia Europejska zdecydowa\u0142a si\u0119 na nowelizacj\u0119 przepis\u00f3w\n dotycz\u0105cych bezpiecze\u0144stwa sieci i system\u00f3w informatycznych. Dyrektywa NIS2[1]\n zast\u0119puje dotychczas obowi\u0105zuj\u0105c\u0105 dyrektyw\u0119 NIS1[2],\n a tak\u017ce znacz\u0105co j\u0105 rozszerza, w szczeg\u00f3lno\u015bci w zakresie zarz\u0105dzania ryzykiem\n wprowadzaj\u0105c szereg istotnych zmian i nowych wymog\u00f3w dla pa\u0144stw cz\u0142onkowskich\n oraz podmiot\u00f3w dzia\u0142aj\u0105cych w kluczowych i wa\u017cnych sektorach gospodarki. Niniejszy\n artyku\u0142 ma na celu przybli\u017cenie za\u0142o\u017ce\u0144 tej regulacji i prac nad jej\n implementacj\u0105 do polskiego porz\u0105dku prawnego.<\/p>

<\/p>\n

Kluczowe za\u0142o\u017cenia\n Dyrektywy NIS2<\/p>\n

G\u0142\u00f3wnym celem\n Dyrektywy NIS2 jest ujednolicenie poziomu cyberbezpiecze\u0144stwa w ca\u0142ej UE oraz\n wzmocnienie ochrony infrastruktury krytycznej i us\u0142ug kluczowych dla\n spo\u0142ecze\u0144stwa i gospodarki. Nowa dyrektywa wprowadza szereg istotnych zmian w\n por\u00f3wnaniu z poprzedni\u0105 regulacj\u0105. Do najwa\u017cniejszych zmian wprowadzonych w\n Dyrektywie NIS2 w por\u00f3wnaniu z Dyrektyw\u0105 NIS 1 nale\u017c\u0105:<\/p>\n

  • rozszerzenie zakresu podmiotowego, obejmuj\u0105c\n swoim dzia\u0142aniem szerszy kr\u0105g sektor\u00f3w. Opr\u00f3cz sektor\u00f3w takich jak energetyka,\n transport, bankowo\u015b\u0107, infrastruktura rynk\u00f3w finansowych, opieka zdrowotna, woda\n pitna, \u015bcieki, infrastruktura cyfrowa, zarz\u0105dzanie us\u0142ugami ICT, administracja\n publiczna, a tak\u017ce przestrze\u0144 kosmiczna (podmioty kluczowe), dyrektywa\n obejmuje r\u00f3wnie\u017c dostawc\u00f3w us\u0142ug pocztowych i kurierskich, przedsi\u0119biorstw z\n sektora gospodarowania odpadami, produkcji, wytwarzania i dystrybucji\n chemikali\u00f3w, produkcji, przetwarzania i dystrybucji \u017cywno\u015bci, produkcji (m.in.\n urz\u0105dze\u0144 elektrycznych, sprz\u0119tu transportowego), dostawc\u00f3w us\u0142ug cyfrowych, a\n tak\u017ce bada\u0144 naukowych (organizacji badawczych) (podmioty wa\u017cne) Oznacza\n to, \u017ce wiele podmiot\u00f3w, kt\u00f3re dotychczas nie podlega\u0142y szczeg\u00f3lnym regulacjom w\n zakresie cyberbezpiecze\u0144stwa, b\u0119dzie musia\u0142o dostosowa\u0107 si\u0119 do nowych wymog\u00f3w;<\/li>
  • wzmocnienie wymog\u00f3w bezpiecze\u0144stwa. Podmioty\n obj\u0119te regulacj\u0105 s\u0105 zobowi\u0105zane do wdro\u017cenia zaawansowanych \u015brodk\u00f3w\n technicznych i organizacyjnych w celu zarz\u0105dzania ryzykiem cyberbezpiecze\u0144stwa\n i zg\u0142aszania incydent\u00f3w. Obejmuje to m.in. regularne oceny ryzyka, wdro\u017cenie\n polityk bezpiecze\u0144stwa, zapewnienie ci\u0105g\u0142o\u015bci \u0142a\u0144cucha dostaw oraz szkolenia\n dla pracownik\u00f3w. Nowe przepisy k\u0142ad\u0105 nacisk na proaktywne podej\u015bcie do\n zarz\u0105dzania ryzykiem oraz ci\u0105g\u0142e doskonalenie stosowanych \u015brodk\u00f3w ochrony;<\/li>
  • harmonizacj\u0119 sankcji za nieprzestrzeganie\n wymog\u00f3w dyrektywy. Ustanowione zosta\u0142y jednolite ramy sankcji, w tym kary pieni\u0119\u017cne\n si\u0119gaj\u0105ce m.in. co najmniej do 10 mln EUR (podmioty kluczowe) oraz co\n najmniej do 7 mln EUR (podmioty wa\u017cne);<\/li>
  • rozszerzenie uprawnie\u0144 organ\u00f3w nadzorczych w\n zakresie egzekwowania przepis\u00f3w. Do uprawnie\u0144 tych nale\u017cy zaliczy\u0107 prowadzenie\n kontroli, audyt\u00f3w oraz \u017c\u0105danie od podmiot\u00f3w udokumentowania realizacji\n przyj\u0119tych polityk cyberbezpiecze\u0144stwa.<\/li><\/ul>\n

    Cho\u0107 Dyrektywa\n NIS2 wesz\u0142a w \u017cycie 16 stycznia 2023 r., pa\u0144stwa cz\u0142onkowskie Unii\n Europejskiej, w tym Polska, maj\u0105 czas do 17 pa\u017adziernika 2024 r. na jej\n implementacj\u0119 do krajowych porz\u0105dk\u00f3w prawnych. W Polsce proces ten realizowany\n jest poprzez nowelizacj\u0119 ustawy o krajowym systemie cyberbezpiecze\u0144stwa oraz\n niekt\u00f3rych innych ustaw.<\/p>

    <\/p>\n

    Status wdro\u017cenia\n Dyrektywy NIS2 w Polsce<\/p>\n

    Obserwuj\u0105c\n obecne tempo prac legislacyjnych, wida\u0107 wyra\u017anie, \u017ce Polska nie zd\u0105\u017cy z\n implementacj\u0105 dyrektywy NIS2 w wyznaczonym terminie do 17 pa\u017adziernika 2024 r.\n W trakcie prac legislacyjnych powsta\u0142y a\u017c dwa projekty nowelizacji ustawy o\n krajowym systemie cyberbezpiecze\u0144stwa. Pierwszy projekt[3]\n zosta\u0142 opublikowany i poddany szerokim konsultacjom spo\u0142ecznym, podczas kt\u00f3rych\n r\u00f3\u017cne podmioty zg\u0142osi\u0142y liczne uwagi i propozycje zmian. W odpowiedzi na\n zg\u0142oszone postulaty, Ministerstwo Cyfryzacji przygotowa\u0142o drug\u0105 wersj\u0119 projektu\n ustawy[4],\n staraj\u0105c si\u0119 uwzgl\u0119dni\u0107 kluczowe sugestie interesariuszy.<\/p>\n

    Pierwszy\n projekt nowelizacji ustawy o krajowym systemie cyberbezpiecze\u0144stwa spotka\u0142 si\u0119\n z szerok\u0105 krytyk\u0105 ze strony przedsi\u0119biorc\u00f3w i ekspert\u00f3w bran\u017cowych. Zak\u0142ada\u0142 on\n wprowadzenie bardzo restrykcyjnych regulacji, kt\u00f3re w niekt\u00f3rych aspektach by\u0142y\n surowsze ni\u017c wymogi samej Dyrektywy NIS2. Projekt przewidywa\u0142 mi\u0119dzy innymi\n obowi\u0105zek stosowania okre\u015blonych norm ISO jako podstawy domniemania zgodno\u015bci z\n przepisami. Ponadto nak\u0142ada\u0142 kr\u00f3tkie terminy na wykonanie pierwszego audytu (12\n miesi\u0119cy) oraz cz\u0119stsze jego powtarzanie (co 2 lata). Proponowane regulacje\n rozszerza\u0142y tak\u017ce katalog podmiot\u00f3w obj\u0119tych ustaw\u0105 oraz wprowadza\u0142y\n rygorystyczne wymagania w zakresie bezpiecze\u0144stwa \u0142a\u0144cucha dostaw. Te i inne postanowienia\n wzbudzi\u0142y obawy o nadmierne obci\u0105\u017cenia administracyjne i finansowe dla\n przedsi\u0119biorstw, co sk\u0142oni\u0142o Ministerstwo Cyfryzacji do opracowania drugiej,\n bardziej zr\u00f3wnowa\u017conej wersji projektu.<\/p>\n

    Projekt ustawy\n o krajowym systemie cyberbezpiecze\u0144stwa z 7 pa\u017adziernika 2024 r. wprowadza\n istotne modyfikacje, kt\u00f3re maj\u0105 na celu u\u0142atwienie przedsi\u0119biorcom dostosowania\n si\u0119 do nowych wymog\u00f3w oraz lepsze odzwierciedlenie za\u0142o\u017ce\u0144 Dyrektywy NIS2.\n Jedn\u0105 z kluczowych zmian jest usuni\u0119cie przepis\u00f3w dotycz\u0105cych norm ISO i\n powi\u0105zanego z nimi domniemania zgodno\u015bci. Wprowadzono natomiast obowi\u0105zek\n stosowania wytycznych opracowanych przez Komisj\u0119 Europejsk\u0105, co ma zapewni\u0107\n jednolite standardy bezpiecze\u0144stwa na terenie ca\u0142ej Unii Europejskiej. Ponadto\n ujednolicono zgodnie z Dyrektyw\u0105 NIS2, katalog sektor\u00f3w kwalifikuj\u0105cych si\u0119 do\n kategorii kluczowych i wa\u017cnych, a tak\u017ce graniczono wymogi dotycz\u0105ce\n bezpiecze\u0144stwa \u0142a\u0144cucha dostaw wy\u0142\u0105cznie do bezpo\u015brednich dostawc\u00f3w.<\/p>\n

    Szczeg\u00f3ln\u0105\n uwag\u0119 warto zwr\u00f3ci\u0107 na kluczowe terminy ustawowe zwi\u0105zane z realizacj\u0105 nowych\n obowi\u0105zk\u00f3w. Po wej\u015bciu w \u017cycie ustawy, podmioty kluczowe i wa\u017cne b\u0119d\u0105 mia\u0142y 3\n miesi\u0105ce na z\u0142o\u017cenie wniosku o wpis do odpowiedniego wykazu podmiot\u00f3w,\n licz\u0105c od tej daty lub od momentu spe\u0142nienia kryteri\u00f3w uznania za taki podmiot.\n Na wdro\u017cenie systemu zarz\u0105dzania bezpiecze\u0144stwem informacji przewidziano dla\n nich 6 miesi\u0119cy od wej\u015bcia w \u017cycie ustawy lub od spe\u0142nienia tych\n kryteri\u00f3w. Istotn\u0105 zmian\u0105 jest tak\u017ce wyd\u0142u\u017cenie terminu na przeprowadzenie\n pierwszego audytu dla podmiot\u00f3w kluczowych z 12 do 24 miesi\u0119cy, a okres\n wa\u017cno\u015bci tego audytu zosta\u0142 przed\u0142u\u017cony z 2 do 3 lat. Te modyfikacje\n daj\u0105 przedsi\u0119biorstwom wi\u0119cej czasu na dostosowanie si\u0119 do nowych wymog\u00f3w, co\n powinno u\u0142atwi\u0107 skuteczne wdro\u017cenie niezb\u0119dnych \u015brodk\u00f3w bezpiecze\u0144stwa.<\/p>\n

    Obecnie\n projekt ustawy czeka na dalsze prace rz\u0105dowe. Zgodnie z zapowiedziami Ministra\n Cyfryzacji, powinien on zosta\u0107 przyj\u0119ty przez Rad\u0119 Ministr\u00f3w do ko\u0144ca roku i\n trafi\u0107 do Sejmu na pocz\u0105tku przysz\u0142ego roku. <\/p>

    <\/p>\n

    Podsumowanie<\/p>\n

    Nowe regulacje\n wprowadzaj\u0105 szereg istotnych zmian, kt\u00f3re maj\u0105 na celu podniesienie poziomu\n ochrony infrastruktury krytycznej i us\u0142ug kluczowych dla spo\u0142ecze\u0144stwa i\n gospodarki. W zwi\u0105zku z tym z perspektywy przedsi\u0119biorcy wa\u017cne jest, aby ju\u017c\n teraz oceni\u0107, na ile organizacja spe\u0142nia minimalne wymogi okre\u015blone w\n Dyrektywie NIS2. <\/p>\n

    Przeprowadzenie\n takiej analizy pozwoli zidentyfikowa\u0107 ewentualne luki lub obszary wymagaj\u0105ce\n poprawy w politykach i procedurach dotycz\u0105cych cyberbezpiecze\u0144stwa. Wczesne\n przygotowanie i proaktywne podej\u015bcie do nowych regulacji umo\u017cliwi nie tylko\n unikni\u0119cie potencjalnych sankcji, ale tak\u017ce zwi\u0119kszy odporno\u015b\u0107 organizacji na\n cyberzagro\u017cenia.<\/p>

    <\/p>\n

    Zesp\u00f3\u0142 kancelarii BSJP bnt we wsp\u00f3\u0142pracy ze\n specjalistami z zakresu cyberbezpiecze\u0144stwa zapewnia kompleksowe doradztwo w\n zakresie spe\u0142nienia wymog\u00f3w okre\u015blonych w Dyrektywie NIS2.  W razie jakichkolwiek pyta\u0144 zwi\u0105zanych\n ze zmianami zach\u0119camy do kontaktu z naszym ekspertem: Marcinem\n Krollem (marcin.kroll@bsjp.pl).<\/p>\n \n \n \n

    [1]\n Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022\/2555 z dnia 14 grudnia 2022\n r. w sprawie \u015brodk\u00f3w na rzecz wysokiego wsp\u00f3lnego poziomu cyberbezpiecze\u0144stwa\n na terytorium Unii, zmieniaj\u0105ca rozporz\u0105dzenie (UE) nr 910\/2014 i dyrektyw\u0119\n (UE) 2018\/1972 oraz uchylaj\u0105ca dyrektyw\u0119 (UE) 2016\/1148<\/p>\n \n \n

    [2]\n Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016\/1148 z dnia 6 lipca 2016 r.\n w sprawie \u015brodk\u00f3w na rzecz wysokiego wsp\u00f3lnego poziomu bezpiecze\u0144stwa sieci i\n system\u00f3w informatycznych na terytorium Unii<\/p>\n \n \n

    [3] Projekt\n ustawy z dnia 24 kwietnia 2024 r. o zmianie ustawy o krajowym systemie\n cyberbezpiecze\u0144stwa oraz niekt\u00f3rych innych ustaw https:\/\/legislacja.gov.pl\/projekt\/12384504\/katalog\/13055207\n <\/p>\n \n \n

    [4] Projekt\n ustawy z dnia 3 pa\u017adziernika 2024 r. o zmianie ustawy o krajowym systemie\n cyberbezpiecze\u0144stwa oraz niekt\u00f3rych innych ustaw https:\/\/mc.bip.gov.pl\/projekty-aktow-prawnych-mc\/902927_projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-niektorych-innych-ustaw.html\n <\/p>

    <\/p>\n","protected":false},"excerpt":{"rendered":"

    W obliczu rosn\u0105cych zagro\u017ce\u0144 w cyberprzestrzeni oraz dynamicznego rozwoju technologicznego, Unia Europejska zdecydowa\u0142a si\u0119 na nowelizacj\u0119 przepis\u00f3w dotycz\u0105cych bezpiecze\u0144stwa sieci i system\u00f3w informatycznych. Dyrektywa NIS2[1] zast\u0119puje dotychczas obowi\u0105zuj\u0105c\u0105 dyrektyw\u0119 NIS1[2], a tak\u017ce znacz\u0105co j\u0105 rozszerza, w szczeg\u00f3lno\u015bci w zakresie zarz\u0105dzania ryzykiem wprowadzaj\u0105c szereg istotnych zmian i nowych wymog\u00f3w dla pa\u0144stw cz\u0142onkowskich oraz podmiot\u00f3w dzia\u0142aj\u0105cych w […]<\/p>\n","protected":false},"author":1,"featured_media":5464,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[62],"tags":[64],"class_list":["post-6696","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bsjp","tag-poland"],"acf":[],"_links":{"self":[{"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/posts\/6696","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/comments?post=6696"}],"version-history":[{"count":0,"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/posts\/6696\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/media\/5464"}],"wp:attachment":[{"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/media?parent=6696"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/categories?post=6696"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/lynx.legal\/pl\/wp-json\/wp\/v2\/tags?post=6696"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}