KE wszczęła postępowanie wobec Polski za opieszałe wprowadzanie NIS2

Dużo w Polsce mówimy o cyberbezpieczeństwie, polscy specjaliści w tej dziedzinie są powszechnie cenieni, a cyfryzacja wielu elementów funkcjonowania państwa stoi u nas na wysokim poziomie. Niestety, jeśli chodzi o legislację w obszarze cyberbezpieczeństwa – nie znajdujemy się w czołówce. 

Komisja Europejska ogłosiła rozpoczęcie postępowania przeciwko Polsce z powodu niepełnego wdrożenia dyrektywy 2022/2555, znanej jako NIS2, która ma na celu podniesienie poziomu cyberbezpieczeństwa w Unii Europejskiej. Polska nie jest odosobnionym przypadkiem – podobne zawiadomienia otrzymały aż 22 inne państwa członkowskie.

Czym jest NIS2 i od kiedy wiemy, jakie regulacje powinniśmy wprowadzić?

O NIS2 wiadomo nie od dziś. Dyrektywa NIS2 (2022/2555) została formalnie przyjęta przez Parlament Europejski i Radę Unii Europejskiej 14 grudnia 2022 roku. Następnie opublikowano ją w Dzienniku Urzędowym Unii Europejskiej 27 grudnia 2022 roku, co oznaczało oficjalne wejście w życie. Państwa członkowskie miały czas do 17 października 2024 roku na transpozycję jej przepisów do prawa krajowego. Oznacza to, że mieliśmy niemal 2 lata na wprowadzenie stosownej legislacji. Niestety, po drodze znalazł się rok wyborczy, a i nastawienie poprzedniej ekipy rządzącej do unijnych regulacji nie sprzyjała szybkiego ich wprowadzania.

Dyrektywa NIS2 (Network and Information Systems Directive 2) została przyjęta w celu zwiększenia ochrony krytycznych sektorów gospodarki i administracji publicznej przed zagrożeniami cybernetycznymi. Zastępuje ona wcześniejszą dyrektywę NIS z 2016 roku, wprowadzając bardziej rygorystyczne wymogi dla państw członkowskich oraz podmiotów działających w kluczowych branżach.

Nowe regulacje obejmują sektory o szczególnym znaczeniu dla funkcjonowania państw i gospodarek, takie jak:
– usługi cyfrowe i komunikacja elektroniczna,
– zarządzanie infrastrukturą ICT,
– energetyka, transport i przestrzeń kosmiczna,
– gospodarka odpadami i ściekami,
– ochrona zdrowia, produkcja krytycznych dóbr, administracja publiczna, a także usługi pocztowe i kurierskie.

Dyrektywa nakłada na podmioty z tych sektorów obowiązek wdrażania mechanizmów zarządzania ryzykiem, monitorowania incydentów oraz informowania o naruszeniach bezpieczeństwa. Państwa członkowskie miały czas do października 2024 roku na pełne transponowanie przepisów do prawa krajowego.

Polska pod lupą Komisji

Formalne zawiadomienie przesłane Polsce jest pierwszym krokiem w procedurze naruszeniowej. Polska, podobnie jak inne państwa członkowskie, ma teraz dwa miesiące na udzielenie odpowiedzi i zakończenie transpozycji. W przypadku braku odpowiednich działań, Komisja może wydać uzasadnioną opinię, co otworzyłoby drogę do skierowania sprawy do Trybunału Sprawiedliwości Unii Europejskiej.

Komisja podkreśla, że pełne wdrożenie NIS2 jest kluczowe dla zwiększenia odporności i gotowości do reagowania na cyberincydenty. W szczególności chodzi o zagwarantowanie spójnego poziomu ochrony w całej Unii, który będzie odpowiadał na rosnące wyzwania związane z atakami cybernetycznymi i coraz bardziej zaawansowanymi zagrożeniami cyfrowymi.

W dobie globalizacji i rosnącej liczby ataków na infrastrukturę krytyczną dyrektywa NIS2 odgrywa kluczową rolę w budowaniu europejskiej odporności na cyberzagrożenia. Wdrażanie jej przepisów to nie tylko kwestia dostosowania do wymogów unijnych, ale przede wszystkim zapewnienie bezpieczeństwa obywatelom i przedsiębiorstwom.

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa już wkrótce?

Polskim podejściem do wdrażania NIS2 jest zmiana w KSC. Krajowy System Cyberbezpieczeństwa to swoiste oczko w głowie kolejnego już Ministra Cyfryzacji. Wicepremier Krzysztof Gawkowski, podobnie jak jego poprzednicy w gabinecie zdominowanym jeszcze przez prawicę, wyraźnie stara się zainteresować tą tematyką szersze grupy obywateli i, mam wrażenie, że jemu akurat się to udaje. Ministerstwo Cyfryzacji pod wodzą polityka Lewicy dość szybko przystąpiło do działań w celu wprowadzenia nowelizacji KSC. Co ważne, aktualny projekt jest w niektórych obszarach idący dalej niż zapisy dyrektywy.

Pozostaje jednak kwestia realnych kosztów wprowadzonych przez nowelizację zapisów. To właśnie one stanowią dziś największą kontrowersję wokół KSC. Niemniej jednak bezpieczeństwo nigdy nie jest za darmo, a nasze położenie strategiczne wymusza niestety większą dbałość o bezpieczeństwo, także to cybernetyczne.