Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wprowadza nowe obowiązki dla wielu podmiotów korzystających z rozwiązań cyfrowych, które muszą samodzielnie sprawdzić, czy są podmiotami kluczowymi lub ważnymi. W razie pozytywnej kwalifikacji konieczne jest złożenie wniosku o wpis do wykazu – piszą Alicja Szyrner i Michał Majnusz, radcowie prawni z kancelarii Rödl.
Pod koniec stycznia parlament przyjął ustawę o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Ustawa została przekazana prezydentowi do podpisu. Jeśli wejdzie w życie, wprowadzi daleko idące zmiany do krajowego systemu cyberbezpieczeństwa.
W ramach nowych przepisów każdy podmiot korzystający z szeroko rozumianych rozwiązań cyfrowych (np. poprzez świadczenie usług cyfrowych) będzie zobligowany do zbadania, czy spełnia przesłanki do uznania go za tzw. podmiot kluczowy lub podmiot ważny w rozumieniu przepisów o cyberbezpieczeństwie. Przez podmioty kluczowe i ważne rozumie się jednostki, których bezpieczeństwo cybernetyczne ma szczególne znaczenie dla funkcjonowania państwa, społeczeństwa i gospodarki (np. dostawcy chmur obliczeniowych) i przez to uznawane są za współodpowiedzialne za przeciwdziałanie oraz zwalczanie cyberzagrożeń. Ustawa jedynie sporadycznie wprost wymienia podmioty, które są objęte nowymi obowiązkami. Wszyscy inni są zobowiązani do dokonania we własnym zakresie analizy podlegania wskazanym w ustawie obowiązkom.
Do prawidłowego zweryfikowania konieczne będzie przygotowanie kilku dokumentów.
Pierwszym jest sam tekst ustawy, w szczególności art. 5, zawierający definicję podmiotu kluczowego oraz ważnego. Przepis ten opisuje podmioty kluczowe lub ważne za pomocą definicji zakresowej, tj. takiej, która nie podaje jednej pełnej i zamkniętej definicji, lecz opisuje znaczenie pojęcia poprzez dokonanie licznych odwołań lub wyliczeń, czy to poprzez wskazanie wprost działalności objętej nowymi obowiązkami i to niezależnie od wielkości podmiotu prowadzącego tę działalność (np. dostawca usług DNS, rejestr nazw domen najwyższego poziomu), czy poprzez łączenie wielkości podmiotu z rodzajem prowadzonej działalności lub w jeszcze inny sposób, także poprzez odwołanie się do załączników lub innych aktów prawnych.
W pierwszym kroku każdy podmiot powinien zatem sprawdzić, czy nie wpada do kategorii jednostek zobowiązanych do przestrzegania ustawy wprost z tytułu prowadzonej działalności wymienionej w tym przepisie. W drugim kroku niezbędne jest sięgnięcie do treści załączników nr 1 i 2 do ustawy o krajowym systemie cyberbezpieczeństwa. Załączniki te zawierają wykazy sektorów, rodzajów działalności lub podmioty, które uznaje się szczególnie istotne, a tym samym za wrażliwe i podatne na zagrożenia cybernetyczne (np. energia, transport, infrastruktura cyfrowa, Urząd Dozoru Technicznego, Narodowy Bank Polski, Urząd Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych). Każda jednostka powinna zatem sprawdzić, czy zakres jej działalności nie został wymieniony w załącznikach. Jeżeli weryfikacja będzie pozytywna, podmiot następnie powinien zbadać swoją wielkość.
W kolejnym kroku podmiot musi ustalić swoją wielkość w oparciu o treść załącznika I do rozporządzenia 651/2014/UE oraz wielkości podane w sprawozdaniu finansowym. Załącznik do rozporządzenia unijnego dzieli przedsiębiorstwa na cztery kategorie: mikroprzedsiębiorstwa, małe przedsiębiorstwa, średnie przedsiębiorstwa i duże przedsiębiorstwa. Kategoria danego podmiotu jest ustalana w oparciu o wielkość zatrudnienia oraz wartości finansowe (roczny obrót i roczna suma bilansowa).
Pułapy finansowe potrzebne do ustalenia wielkości jednostki należy przy tym ustalać według stanu na dzień sporządzenia sprawozdania finansowego. Należy w tym miejscu wyraźnie podkreślić, że ustawa odwołuje się do stanu na dzień sporządzenia sprawozdania finansowego, a nie na dzień jego zatwierdzenia. Co ważne, przy ocenie wielkości przedsiębiorstwa na tej podstawie bierze się pod uwagę dane z całej grupy kapitałowej danego podmiotu.
Ustalenie wielkości podmiotu może wpłynąć na możliwość zakwalifikowania danej jednostki jako podmiotu kluczowego lub ważnego w oparciu o wykaz sektorów kluczowych i ważnych zawartych w załącznikach 1 i 2 do ustawy (o którym mowa była powyżej).
Na samym końcu należy jeszcze zweryfikować poczynione ustalenia z regułami kolizyjnymi zawartymi w szczególności w art. 5 ustawy, które ostatecznie mogą zadecydować o zakwalifikowaniu jednostki jako podmiotu kluczowego lub ważnego lub wykluczeniu jej z tych kategorii.
W przypadku ustalenia, że jest się podmiotem kluczowym lub ważnym należy złożyć wniosek o wpis do „Wykazu podmiotów kluczowych lub ważnych”. Dokonuje się tego w terminie sześciu miesięcy od dnia spełnienia przesłanek uznania się za podmiot kluczowy lub ważny.
Zwracamy jednak uwagę, że ustawa przewiduje przepisy przejściowe, które stanowią, że podmioty, które z dniem wejścia w życie ustawy będą spełniały przesłanki uznania ich za podmiot kluczowy albo ważny, są obowiązane złożyć wniosek o wpis do wykazu zgodnie z harmonogramem ogłoszonym przez ministra właściwego do spraw informatyzacji w swoim dzienniku urzędowym.
W odniesieniu do niektórych podmiotów ich wpis do rejestru może nastąpić także z urzędu przez właściwy organ ds. cyberbezpieczeństwa. Jednak ta możliwość nie będzie dalej poruszana w tym artykule.
Wniosek o wpis, zmianę wpisu albo o wykreślenie z wykazu sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym, podpisem zaufanym, podpisem osobistym kierownika podmiotu kluczowego lub podmiotu ważnego lub osoby przez niego upoważnionej albo kwalifikowaną pieczęcią elektroniczną ze wskazaniem w treści pisma osoby opatrującej pismo pieczęcią. Wniosek składa się w dedykowanym systemie teleinformatycznym.
W przypadku działania przez pełnomocnika do wniosku o wpis, zmianę wpisu albo o wykreślenie z wykazu dołącza się pełnomocnictwo w postaci elektronicznej, podpisane kwalifikowanym podpisem elektronicznym, podpisem zaufanym, podpisem osobistym albo kwalifikowaną pieczęcią elektroniczną. W przypadku pełnomocnika podmiotu ujawnionego w Centralnej Ewidencji i Informacji o Działalności Gospodarczej lub prokurenta ujawnionego w Krajowym Rejestrze Sądowym nie dołącza się pełnomocnictwa.
Wniosek o wpis składa się pod rygorem odpowiedzialności karnej za złożenie fałszywego oświadczenia wynikającego z kodeksu karnego.
Wpis podmiotu do wykazu dokonuje się z chwilą złożenia wniosku w systemie teleinformatycznym. Gdy wniosek zawiera błędy, wpisu się nie dokonuje.
Podmiot wpisany do wykazu ma prawo wnioskować do ministra właściwego do spraw informatyzacji o wydanie zaświadczenia o wpisie do wykazu albo o zmianie tego wpisu wraz ze wskazaniem aktualnych danych zawartych w wykazie.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wprowadza nowe obowiązki dla wielu podmiotów korzystających z rozwiązań cyfrowych, które muszą samodzielnie sprawdzić, czy są podmiotami kluczowymi lub ważnymi. W razie pozytywnej kwalifikacji konieczne jest złożenie wniosku o wpis do wykazu. Biorąc pod uwagę to, że ustawa ma bardzo krótki, tj. jednomiesięczny okres vacatio legis, podmioty gospodarcze powinny jak najszybciej przeprowadzić weryfikację, czy podlegają nowym obowiązkom.
Alicja Szyrner, radca prawny, Rödl
Michał Majnusz, radca prawny, Rödl
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
