Od czasu wejścia w życie RODO w ramach Unii Europejskiej przyspieszyły procesy regulacyjne odnoszące się do całego wspólnego rynku, które często dodatkowo formułowane są w formie rozporządzeń mających bezpośrednie zastosowanie. Jeden z takich procesów obejmuje szeroko pojęte cyberbezpieczeństwo gdzie w ostatnich latach mamy swoiste „tsunami legislacyjne” obejmujące takie akty jak DORA czy NIS oraz umacniające takie agencje jak ENISA. Celem tej legislacji jest uzyskanie skutku w postaci jednolitej zmiany na terenie całej UE. Wobec stwierdzonych nowych wyzwań i konieczności nowego ujęcia kwestii cyberbezpieczeństwa 14 grudnia 2022 r. Parlament Europejski uchwalił dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).
Czego dotyczy NIS 2 i którzy przedsiębiorcy powinni już zacząć przygotowania do jej wdrożenia?
NIS 2 ma utworzyć nowy, spójny standard cyberbezpieczeństwa we wszystkich krajach UE.
Ze względu na to, że NIS 2 jest dyrektywą, wymaga implementacji do krajowego porządku prawnego. Oznacza to, że aby mogła być stosowana, parlament musi przyjąć ustawę, która wdroży jej zapisy i prace te są w toku jednak terminem na ich zakończenie był 24 października 2024 r. W chwili obecnej trwają prace nad nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) lecz już z treści zarówno NIS2 jak i samego projektu nowelizacji wynika, że transport wodny w tym podmiot będący podmiotem zarządzającym portem morskim, o którym mowa w art. 3 ust. 1 pkt 2 ustawy z dnia 4 września 2008 r. o ochronie żeglugi i portów morskich (Dz. U. z 2024 r. poz. 597),podmiotem zarządzającym obiektem portowym, o którym mowa w art. 2 pkt 11 rozporządzenia (WE) 725/2004 Parlamentu Europejskiego i Rady z dnia 31 marca 2004 r. w sprawie podniesienia ochrony statków i obiektów portowych a także podmioty prowadzące na terenie portu działalność wspomagającą transport morski będą podlegać wymogom nowych regulacji
Powyższe oznacza:
1) Obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji
2) Prowadzenie dokumentacji bezpieczeństwa systemów informatycznych
3) Zapewnienie odpowiedniego poziomu wiedzy personelu
4) Uzyskanie wpisu do rejestru
5) Przeprowadzanie audytu bezpieczeństwa
6) Obowiązkowe zgłaszanie incydentów
7) Obowiązkową komunikację zagrożeń – wymianę informacji
Niewypełnianie wybranych obowiązków (m.in. rejestracyjnych, dokumentacyjnych, dot. zgłoszeń) może skutkować wymierzeniem kary:
- do 10 mln euro lub 2% rocznych przychodów, nie mniej niż 20 000 zł – wobec przedsiębiorcy.
- do 600% wynagrodzenia, obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop (przy czym przepisy obecnie nie precyzują okresu, za jaki wynagrodzenie ma być podstawą wymiaru) – wobec zarządu firmy.
Jeśli powyższe spowodowało m.in. bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa max. kara dla firmy może wynieść nawet 100 mln zł.
Autor:
r. pr. Michał Lutnicki // m.lutnicki@kancelariajbw.com.pl
