Dyrektywa NIS2, stanowiąca nowelizację dyrektywy 2016/1148, nakłada na państwa członkowskie Unii Europejskiej obowiązek ustanowienia spójnych ram prawnych dotyczących cyberbezpieczeństwa. Jako akt prawa unijnego, wymagający transpozycji do prawa krajowego, powinna zostać wdrożona przez państwa członkowskie do dnia 18 października 2024 r.

 

Spóźniona ustawa o cyberbezpieczeństwie

Pomimo szeroko zapowiadanej nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która ma na celu dostosowanie przepisów krajowych do postanowień dyrektywy NIS2, w Polsce wciąż nie przyjęto ostatecznego aktu implementacyjnego. Publikacja kolejnej wersji „tekstu ostatecznego” projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (UC32) w dniu 7 lutego 2025 r. nie zwalnia podmiotów krajowego systemu cyberbezpieczeństwa od stosowania aktualnie obowiązujących przepisów, w tym aktów wykonawczych. Opóźnienie we wdrożeniu dyrektywy w wyznaczonym terminie doprowadziło do rozbieżności pojęciowych i potencjalnych problemów interpretacyjnych.

Zgodnie z art. 2 pkt 8 ustawy o krajowym systemie cyberbezpieczeństwa "incydent istotny" to „incydent, który ma istotny wpływ na świadczenie usługi cyfrowej w rozumieniu art. 4 rozporządzenia wykonawczego Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r.” w którym określono „parametry, jakie należy wziąć pod uwagę w celu określenia, czy wpływ incydentu jest istotny”. Natomiast obowiązki dostawców usług cyfrowych wynikają z art. 17 ust. 2 (ustawy o krajowym systemie cyberbezpieczeństwa „KSC”), który stanowi, że „dostawca usługi cyfrowej podejmuje właściwe i proporcjonalne środki techniczne i organizacyjne określone w rozporządzeniu wykonawczym 2018/151 w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej”. Jednakże rozporządzenie to utraciło moc z dniem 7 listopada 2024 r., a jego miejsce zajęło rozporządzenie 2024/2690 „ustanawiające zasady stosowania dyrektywy (UE) 2022/2555 (NIS2) w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie oraz doprecyzowujące przypadki, w których incydent uznaje się za poważny w odniesieniu do dostawców usług DNS, rejestrów nazw TLD, dostawców usług chmurowych, dostawców usług ośrodka przetwarzania danych, dostawców sieci dostarczania treści, dostawców usług zarządzanych, dostawców usług zarządzanych w zakresie bezpieczeństwa, dostawców internetowych platform handlowych, wyszukiwarek internetowych i platform usług sieci społecznościowych oraz dostawców usług zaufania”. Nowe rozporządzenie z 17 października 2024 roku nie tylko zmienia zasady stosowania, ale także redefiniuje pojęcia oraz kryteria oceny incydentu, w tym wymogi dotyczące prowadzenia wymaganej prawnie dokumentacji.

Czytaj w LEX: Nowe środki w zakresie cyberbezpieczeństwa (dyrektywa NIS 2) > >

 

Nowość
Naruszenie praw autorskich i praw pokrewnych w związku z funkcjonowaniem wyszukiwarek internetowych
-10%
Nowość
Naruszenie praw autorskich i praw pokrewnych w związku z funkcjonowaniem wyszukiwarek internetowych

Andrzej Hańderek

Sprawdź  

Cena promocyjna: 179.1 zł

|

Cena regularna: 199 zł

|

Najniższa cena w ostatnich 30 dniach: 149.25 zł


Rozporządzenie 2024/2690

Rozporządzenie 2024/2690 zastępuje termin "incydent istotny" nowym określeniem "incydent poważny", które obejmuje incydenty zarówno obecnych dostawców usług cyfrowych (podmioty ważne zgodnie z NIS2), jak i operatorów usług kluczowych (podmioty kluczowe zgodnie z NIS2), a które do momentu wejścia w życie tego rozporządzenia, zgodnie z obowiązującą ustawą o krajowym systemie cyberbezpieczeństwa, było „zarezerwowane” dla Operatorów Usług Kluczowych.

Podobnie jak w przypadku rozporządzenia Digital Operational Resilience Act (DORA), rozporządzenie 2024/2690 stanowi akt prawny, który jako część krajowego porządku prawnego państw członkowskich obowiązuje bezpośrednio od momentu jego wejścia w życie. Powinno być stosowane zgodnie z terminami w nim określonymi i nie wymaga implementacji do krajowych porządków prawnych. Jednakże bezpośrednie stosowanie rozporządzenia 2024/2690 może być utrudnione ze względu na rozbieżności definicji skutkującej niejasnością co do wykładni i zakresu stosowania. W tym kontekście kluczowe jest stosowanie zasady pierwszeństwa prawa unijnego, zgodnie z którą przepisy krajowe mogą znajdować zastosowanie tylko w zakresie, w jakim nie pozostają w sprzeczności z bezpośrednio skutecznymi regulacjami unijnymi. W przypadku sprzeczności przepisy krajowe powinny być interpretowane w sposób zapewniający ich zgodność z celami i zasadami prawa unijnego.

Podmioty krajowego systemu cyberbezpieczeństwa powinny stosować przepisy rozporządzenia 2024/2690 nie tylko w zakresie klasyfikacji incydentów, ale także w odniesieniu do wymogów technicznych i metod zarządzania ryzykiem określonych w załączniku do rozporządzenia. Kluczowe znaczenie ma cel dyrektywy NIS2 w tym rozporządzenia 2024/2690, a wykładnia przepisów krajowych powinna być dokonywana przez ich pryzmat, z uwzględnieniem zasady pierwszeństwa prawa unijnego. W przypadkach, w których przepisy krajowe pozostają w sprzeczności z rozporządzeniem, pierwszeństwo mają normy unijne, które wiążą bezpośrednio wszystkie państwa członkowskie.

Przemysław Świeboda, wykładowca z zakresu cyberbezpieczeństwa na Wydziale Prawa i Administracji Uniwersytetu WSB Merito w Gdańsku

Zobacz w LEX: Obowiązki przedsiębiorcy w zakresie cyberbezpieczeństwa (NIS2) > >