Ogólny kontekst 

Od 16 stycznia 2023 r. obowiązuje dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148, zwana dyrektywą NIS 2. Na mocy niniejszej dyrektywy państwa członkowskie zostały zobowiązane do uchwalenia odpowiednich przepisów w zakresie wzmocnienia ochrony obywateli oraz instytucji przed rosnącymi zagrożeniami w cyberprzestrzeni, a także wprowadzenia środków zarządzania ryzykiem w cyberbezpieczeństwie i sprawozdawczości w sektorach krytycznych, wraz z przepisami dotyczącymi współpracy, wymiany informacji, nadzoru i egzekwowania prawa. Nowe przepisy powinny być stosowane we wszystkich krajach Unii Europejskiej od 18 października 2024 r.  

Pełen tekst dyrektywy dostępny jest pod adresem:

https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2555 

Ogólne założenia projektu 

Ministerstwo Cyfryzacji opublikowało projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa, który ma na celu wdrożenie postanowień unijnej dyrektywy. Jedną z istotnych zmian jest zrezygnowanie z dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych określony w dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS I). Obecna propozycja zakłada podział na podmioty kluczowe i podmioty ważne. Dla każdej z tych kategorii podmiotów przewidziano obowiązki, wśród których na szczególną uwagę zasługuje prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem oraz wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka. 

Rozszerzenie katalogu podmiotów 

Bardzo istotną zmianą jest rozszerzenie katalogu podmiotów kluczowych, która obecnie obejmie również podmioty działające w branży spożywczej. W załączniku I do projektowanej ustawy ustanowiono wykaz podmiotów kluczowych, zgodnie z którym do podmiotów kluczowy zaliczono sektor o nazwie "Produkcja, przetwarzanie i dystrybucja żywności”. W myśl objaśnienia dotyczącego rodzaju podmiotu, pod tym pojęciem należy rozumieć przedsiębiorstwa spożywcze w rozumieniu art. 3 pkt 2 rozporządzenia (WE) nr 178/2002 Parlamentu Europejskiego i Rady, zajmujące się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem. Jak wskazano w przywołanym przepisie, "przedsiębiorstwo spożywcze" oznacza przedsiębiorstwo publiczne lub prywatne, typu non-profit lub nie, prowadzące jakąkolwiek działalność związaną z jakimkolwiek etapem produkcji, przetwarzania i dystrybucji żywności. 

Oprócz tego, za kluczowe uznano „Zaopatrzenie w wodę pitną i jej dystrybucję”. Pod tym pojęciem należy rozumieć takie rodzaje podmiotów jak „podmiot dostarczający wodę przeznaczoną do spożycia przez ludzi, w tym przedsiębiorstwo wodociągowo-kanalizacyjne oraz podmiot prowadzący hurtową sprzedaż wody, z wyłączeniem podmiotów, dla których dostarczanie wody przeznaczonej do spożycia przez ludzi jest inną niż istotną częścią ich ogólnej działalności”.

Ustawa miałaby wejść w życie po upływie miesiąca od dnia ogłoszenia.

Przebieg prac legislacyjnych nad projektem możesz śledzić pod adresem:

https://legislacja.gov.pl/projekt/12384504/katalog/13055195#13055195