Ustawa o Krajowym Systemie Cyberbezpieczeństwa – prawnicze Q&A

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażająca dyrektywę NIS2 do polskich przepisów, oznacza dość istotne zmiany dla wielu podmiotów z różnych sektorów gospodarki. Co szczególnie istotne znacząco zwiększy się liczba podmiotów wchodzących w skład KSC. Doprecyzowane zostają również konkretne obowiązki tych podmiotów.

Aby ułatwić zrozumienie wszystkich tych zmian, przygotowaliśmy zestaw najczęstszych pytań i odpowiedzi, które wyjaśniają, jakie firmy są objęte nowymi regulacjami oraz jakie kroki powinny podjąć. 

I. Czy każdy podmiot prowadzący działalność w danym sektorze podlega regulacji? Jak to czytać?

Nie, fakt prowadzenia działalności w jednym z sektorów to tylko jeden z elementów, które musimy wziąć pod uwagę na etapie analizy, czy dany podmiot podlega pod przepisy KSC (czy jest podmiotem kluczowym lub ważnym). Drugim jest wielkość danego podmiotu. Dyrektywa NIS2, a w ślad za nią, ustawa KSC wprowadza tutaj dodatkową regułę, tzw. „size-cup rule”. Zgodnie z nią dopiero średnio lub duże przedsiębiorstwa podlegać będą pod omawiane przepisy. W praktyce chodzi więc o podmioty, które zatrudniają co najmniej 50 pracowników i których roczny obrót lub roczna suma bilansowa przekracza 10 mln EUR.

II. Czy klasyfikacja PKD ma znaczenie dla kwalifikacji jako podmiot ważny lub kluczowy?

Pomocniczo – na pewno tak. Natomiast PKD nie jest głównym kryterium pozwalającym na stwierdzenie, że podmiot na pewno będzie podmiotem kluczowym lub ważnym w rozumieniu przepisów. Kluczowe znaczenie ma bowiem faktyczne prowadzenie działań w jednym z obszarów/sektorów wymienionych w załącznikach do KSC.

Oczywiście warto już teraz upewnić się, czy kody PKD podane w naszym rejestrze są aktualne i zgodne z rzeczywistym profilem działalności.

III. A co, jeśli tylko jedna spółka w grupie podlega regulacji? Czy to jakoś wpływa na całą grupę spółek?

Bezpośrednio nie. Nie jest bowiem tak, że fakt objęcia danej spółki regulacjami KSC powoduje, że również inne spółki z grupy muszą stosować się do tych przepisów. Natomiast oczywiście pośrednio taki wpływ wystąpi i często – będzie istotny. Musimy pamiętać, że grupy spółek nie działają w próżni, powiązane są licznymi zależnościami, w tym relacjami umownymi. Obowiązki związane z wdrożeniem wymogów KSC oczywiście wpłyną na te zależności i relacje, konieczne może okazać się uwzględnienie zasad współpracy przy określonych systemach IT, czy po prostu renegocjacja zawartych umów w grupie. Dodatkowo zbudowanie zgodności to oczywiście również koszty. Te z kolei – z biznesowego punktu widzenia – odczuć może cała grupa. 

IV. Co z firmami specjalizującymi się w cybersecurity? Czy one też podlegają regulacji?

Tak, te podmioty również mogą podlegać pod KSC. Warto na to zwrócić uwagę, bo to często pomijany element regulacji. KSC, w ślad za dyrektywą NIS2, wprowadza definicję usług zarządzanych w zakresie cyberbezpieczeństwa. Jej zakres jest dość szeroki. Chodzi tutaj o wszelkie usługi związane z zarządzaniem ryzykiem w zakresie cyberbezpieczeństwa. Jeśli zatem dana firma specjalizująca się w cybersecurity (świadcząca usługi w tym obszarze) spełnia wymogi wielkościowe, tj. jest co najmniej średnim przedsiębiorcą, to prawdopodobnie będzie miała również obowiązek wdrażania wymogów KSC.  Oczywiście, każdy przypadek wymaga tutaj odrębnej analizy, przejścia przez zakres świadczonych usług i definicje KSC.

Warto również zwrócić uwagę, że – jak wynika z literalnego brzmienia samych przepisów – dotyczy to również spółek świadczących tego rodzaju usługi wyłącznie na rzecz innych spółek z tej samej grupy kapitałowej. Jeśli zatem w grupie wyodrębniona została spółka zajmująca się cybersecurity to ona również będzie musiała pomyśleć o wymogach KSC i to niezależnie od tego, czy którakolwiek inna spółka z grupy podlega pod KSC. 

V. Na czym polegają nowe obowiązki dot. łańcucha dostaw? Czy dotyczy to wyłącznie bezpośrednich dostawców?

KSC (bazując oczywiście na przepisach/wymogów dyrektywy NIS2) kładzie istotny nacisk właśnie na kwestie łańcucha dostaw i jego bezpieczeństwa. Podmioty kluczowe i ważne będą miały wprost obowiązki dotyczące tego obszaru. Przede wszystkim będą musiały wdrożyć system zarządzania bezpieczeństwem informacji, który to system będzie z kolei zapewniał bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT, usług ICT i procesów ICT. W praktyce chodzi o takie produkty, usługi i procesy ICT, od których zależy świadczenie usługi ważnej lub kluczowej.

Ustawa nie wskazuje tutaj konkretnych środków czy działań, które będą musiały zostać podjęte. W praktyce oznacza to, że podmioty kluczowe oraz ważne, przed podjęciem decyzji o współpracy z danym dostawcą, powinny dokonać oceny jego podejścia (praktyki) w zakresie cyberbezpeczeństwa. Na pewno istotną role odegrają tutaj standardy branżowe i certyfikacja spełnienia określonych wymogów. Kolejnym krokiem będzie oczywiście zawarcie odpowiedniej umowy, tj. takiej która zawierać będzie postanowienia gwarantujące odpowiedni poziom cyberbezpieczeństwa w ramach świadczenia usług.

Warto także zwrócić uwagę na fakt, że omawiane przepisy doprowadzić mogą do faktycznego rozszerzenia zakresu stosowania KSC na dostawców, w szczególności tych z obszaru ICT. Choć nie w każdym przypadku będą oni musieli bezpośrednio stosować się do wymogów nowego prawa, to pośrednio może to zostać im „narzucone” jak wymóg odbiorców ich usług. 

VI. Jak w praktyce może wyglądać weryfikacja dostawców?

Idąc tropem realizowanej od 2018 r. weryfikacji podmiotów przetwarzających w obszarze RODO, najpewniej przyjmie ona formę oświadczeń woli dostawcy składanych w formie wypełnienia szczegółowych ankiet weryfikacyjnych, a w kluczowych procesach nawet audytów. Ustawa nie stawia w tym zakresie żadnych wymagań przed podmiotami zobowiązanymi, ale obliguje do dołożenia należytej staranności. Stąd niewątpliwie podmioty kluczowe i ważne powinny podejść do tego zadania bardzo poważnie. Jednym z elementów składających się na to sprawdzenie będzie na pewno weryfikacja, czy wobec planowanego dostawcy nie została wydana decyzja uznająca go za dostawcę wysokiego ryzyka oraz certyfikacja.

VII. Kiedy mogę spodziewać się decyzji o uznaniu za podmiot ważny lub kluczowy?

Wcale. Obecnie operatorem usługi kluczowej jest podmiot, wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej. Podmioty z sektorów objętych regulacją KSC nie muszą zatem podejmować żadnych działań w kierunku określenia swojego statusu. Nowelizacja KSC zmienia zupełnie to podejście, przenosząc niejako ciężar z tym związany właśnie na podmioty gospodarcze, które zobowiązane będą do sprawdzenia czy spełniają wymogi ustawowe dla podmiotu kluczowego lub ważnego, a następnie wypełnienia wniosku o wpis do wykazu podmiotów kluczowych i ważnych. Bardzo ważny jest termin, w jakim podmioty te będą zobowiązane zadziałać. Jest to bowiem okres 2 miesięcy od spełnienia wymagań ustawowych dla podmiotu kluczowego lub ważnego. Ponieważ jednym w elementów decydujących o statusie podmiotu kluczowego lub ważnego jest kryterium wielkości danego podmiotu, stanu zatrudnienia i uzyskiwanych obrotów, weryfikacja taka powinna być cyklicznie powtarzana. Zwłaszcza będą musiały pamiętać o tym te podmioty, których zatrudnienie oscyluje na granicy 50 pracowników i wskazanego w przepisach kryterium obrotowego. Okres 2 miesięcy na wpisanie przedsiębiorstwa do wykazu podmiotów kluczowych lub ważnych liczony jest bowiem od momentu spełnienia przesłanek uznania za podmiot kluczowy lub ważny.

VIII. Ile jest czasu na wdrożenie wymogów ustawy KSC?

Zgodnie z obecnym brzmieniem projektu nowelizacji ustawy o KSC, podmiot kluczowy i podmiot ważny zobowiązany będzie wdrożyć regulacje w zakresie umożliwiającym mu spełnianie wymogów ustawy w terminie 6 miesięcy od spełnienia przesłanek uznania za podmiot kluczowy lub ważny. Wyjątek od tego terminu dotyczy natomiast przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Tutaj ustawodawca wydłużył ten okres do 12 miesięcy od spełnienia przesłanek uznania za podmiot kluczowy lub ważny. W tym czasie podmiot kluczowy lub ważny musi przeprowadzić pierwszy audyt bezpieczeństwa. Termin wejścia w życie ustawy planowany jest po upływie 14 dni od dnia jej ogłoszenia.

IX. Czy zmiany w KSC przewidują rozporządzenia wykonawcze zawierające wymagania dla systemu zarządzania bezpieczeństwem informacji? Gdzie szukać wskazówek?

Tak, ale nie dla wszystkich rodzajów działalności wykonywanej przez podmioty kluczowe lub ważne i nie ma gwarancji, że faktycznie takie rozporządzenia zostaną wydane. Zasadą jest, że podmiot kluczowy lub ważny zobowiązany będzie wdrożyć system bezpieczeństwa spełniający wymagania wskazane w ustawie, przy czym co należy podkreślić są one dosyć ogólne. Ustawodawca przewidział jednak możliwość wydania przez Rade Ministrów rozporządzeń określających odrębnie dla danego rodzaju działalności wykonywanej przez podmioty kluczowe lub ważne, szczegółowych wymagań dla systemu zarządzania bezpieczeństwem biorąc pod uwagę rekomendacje międzynarodowe o charakterze specjalistycznym. Obecnie w projekcie uwzględniono wskazówkę, którą można się kierować ustalając wymogi dla systemu bezpieczeństwa, a mianowicie wskazano w nim, że wymagania stawiane przez ustawę systemowi bezpieczeństwa, uznane będą za spełnione, jeżeli podmiot zobowiązany zapewnia system zarządzania bezpieczeństwem informacji, z uwzględnieniem wymagań określonych w Polskiej Normie PN-EN ISO/IEC 27001 oraz PN – EN ISO/IEC 22301. Jednak ten konkretny zapis najprawdopodobniej zostanie jeszcze zmieniony.

X. Czy podmioty, które już stosują regulację KSC, powinny podjąć działania w związku z nowelizacją tych przepisów?

Tak. Operatorzy usług kluczowych, którzy już dziś stosują regulację KSC zostaną z mocy prawa zakwalifikowani jako podmioty kluczowe lub ważne i wpisani do wykazu podmiotów kluczowych lub ważnych. W tym aspekcie przedsiębiorstwa te nie muszą podejmować żadnych aktywności. Niemniej nowelizacja KSC wprowadza szereg innych zmian w sposobie realizacji dotychczasowych obowiązków jak i wprowadza nowe zobowiązania. Wobec tego dzisiejsi operatorzy usług kluczowych powinni zinwentaryzować różnice wynikające z obecnej i projektowanej zmiany ustawy KSC, następnie dokonać swoistego audytu w celu ustalenia zakresu w jakim powinni wdrożyć nową regulację.