Powrót 23.06.2025

Dotychczasowe próby implementacji NIS2 w Polsce

Pierwsza wersja projektu ustawy implementującej NIS2 w Polsce pojawiła się 24 kwietnia 2024 r. i od tamtej pory projekt przechodził szereg poprawek i konsultacji. W Polsce, w porównaniu z innymi krajami Unii Europejskiej, zaprezentowany jeden z najbardziej rygorystycznych projektów wdrożeniowych. Budzi to obawy przedsiębiorców o wysokie koszty dostosowania i nadregulację względem celów dyrektywy NIS2. Kolejne wersje projektu (obecnie w Komitecie do Spraw Europejskich jest 5. wersja z lutego 2025 r.) wskazują na trudności legislacyjne i liczne uwagi zgłaszane m.in. przez sektor prywatny.

Piąty projekt ustawy implementującej NIS2

Piąty projekt ustawy implementującej NIS2 wprowadza dość istotne zmiany w stosunku do poprzedniego projektu z grudnia 2024 r. Modyfikacje koncentrują się na dwóch obszarach:

  • zakresie podmiotowym i obowiązkach podmiotów publicznych – zmiany dotyczą m.in. nowej klasyfikacji podmiotów publicznych jako kluczowych lub ważnych oraz obowiązków tych drugich w zakresie cyberbezpieczeństwa;
  • środkach nadzoru – projektowana nowelizacja rozszerza kompetencje organów nadzoru oraz wprowadza zmiany w zakresie sankcji i mechanizmów kontrolnych.

Najważniejsze zmiany

Projektowana nowelizacja znacząco wzmacnia kompetencje organów odpowiedzialnych za nadzór nad systemem cyberbezpieczeństwa. Wśród najważniejszych zmian:

  • Możliwość nakładania obowiązków prewencyjnych przed formalnym uznaniem incydentu za poważny.
  • Uproszczenie procedur kontroli oraz większa elastyczność w podejmowaniu działań przez organy nadzoru.
  • Wprowadzenie możliwości samodzielnego cofania koncesji lub wpisu do rejestru działalności regulowanej przez organy nadzoru w przypadku poważnych naruszeń.
  • Doprecyzowanie zasad stosowania kar finansowych – maksymalne kary dla członków kierownictwa (np. zarządów) zostały obniżone względem poprzednich wersji projektu. (Maksymalny wymiar kary pieniężnej, jaką może otrzymać kierownik podmiotu kluczowego lub ważnego, został zmniejszony dwukrotnie. Zgodnie z aktualną wersją projektu ustawy wdrażającej dyrektywę NIS2, kara ta może wynieść maksymalnie 300% wynagrodzenia, wyliczanego zgodnie z zasadami stosowanymi przy obliczaniu ekwiwalentu za urlop).

Warto również pamiętać o nowych terminach zgłaszania do CSIRT wczesnych ostrzeżeń o wykrytych incydentach poważnych. 24 godziny od jego wykrycia oraz zgłaszania samych incydentów – 72 godziny od jego wykrycia. Terminy są zatem zbliżone do wysokich wymogów określonych w przepisach o ochronie danych osobowych.

Problematyczne kwestie

Choć projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) ma przybliżyć Polskę do pełnej implementacji dyrektywy NIS2, eksperci zwracają uwagę na kilka problematycznych kwestii:

  • Niektóre przepisy mogą być zbyt ogólne lub nie dość precyzyjne, co rodzi ryzyko różnych interpretacji.
  • W piątej wersji projektu ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) oraz niektórych innych ustaw kontrowersje budzą przepisy o dostawcach wysokiego ryzyka (DWR). Rzecznik MŚP Agnieszka Majewska podkreśla, że projekt nakłada na przedsiębiorców obowiązki wykraczające poza dyrektywę NIS2 i stoi w sprzeczności z deklarowaną deregulacją. W odpowiedzi zaapelowała o wprowadzenie obowiązkowych konsultacji decyzji o uznaniu dostawcy za DWR z właściwymi ministrami i organem ochrony praw przedsiębiorców, aby zwiększyć przejrzystość i ograniczyć uznaniowość takich decyzji.
  • Wątpliwości budzi zgodność części przepisów z duchem i literą dyrektywy NIS 2 – m.in. w zakresie proporcjonalności obowiązków wobec różnych kategorii podmiotów.

Projekt jest nadal na etapie konsultacji, a jego ostateczny kształt może ulec zmianie. Warto na bieżąco monitorować postęp legislacyjny, szczególnie w kontekście obowiązków, jakie zostaną nałożone na różne kategorie podmiotów objętych ustawą.