Akt o cyberodporności zweryfikuje projektowane przepisy o Krajowym Systemie Cyberbezpieczeństwa

Unia Unia Europejska wprowadza zmiany w obszarze cyberbezpieczeństwa poprzez uchwalenie rozporządzenia 2024/2489, znanego jako akt o cyberodporności (CRA), który wejdzie w życie 11 grudnia 2027 r. W Polsce trwają prace nad projektem 20. już wersji nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), implementującej dyrektywę NIS2.

Wprowadzi ona zmiany, które muszą zostać zharmonizowane z CRA. Czy polski ustawodawca wziął pod uwagę spójność obu aktów prawnych, ryzyko przeregulowania oraz kwestię prymatu prawa unijnego przed prawem krajowym?

Przedsiębiorstwa działające na terenie UE już teraz muszą się przygotować na istotne zmiany w zakresie zarządzania bezpieczeństwem produktów z elementami cyfrowymi i uwzględniać cyberbezpieczeństwo w cyklu produkcyjnym.

Rozporządzenie 2024/2489 (CRA) nakłada na producentów (a także odpowiednio importerów i dystrybutorów) wiele obowiązków mających na celu zapewnienie zgodności produktów z wymogami cyberbezpieczeństwa: ocenę ryzyka, sporządzenie dokumentacji technicznej, zgłaszanie podatności i incydentów, posługiwanie się deklaracjami zgodności (CE).

Nieprzestrzeganie wymogów rozporządzenia wiąże się z wysokimi karami administracyjnymi. Za niezgodność z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa grozi grzywna sięgająca do 15 mln euro lub 2,5 proc. rocznego globalnego obrotu przedsiębiorstwa, w zależności od tego, która z tych kwot jest wyższa. Dodatkowe naruszenia mogą skutkować karami do 10 mln euro lub 2 proc. rocznego obrotu, co ma na celu skuteczne zniechęcenie firm do ignorowania nowych standardów.

Produktowe podejście do cyberodporności

Nowe rozporządzenie wprowadza szczególne wymogi dla określonych kategorii produktów, takich jak: mikroprocesory i mikrokontrolery (głównie produkowane w Stanach Zjednoczonych, Korei Południowej, Japonii, Tajwanie i Chinach), ale także zabawki podłączane do internetu, urządzenia wearables, routery. Wprowadzając produkt z elementami cyfrowymi do obrotu, należy zapewnić, aby został on zaprojektowany, opracowany i wyprodukowany zgodnie z zasadniczymi wymaganiami w zakresie cyberbezpieczeństwa przewidzianymi w CRA.

Kluczowym aspektem nowego rozporządzenia jest przyjęcie podejścia produktowego, które koncentruje się bezpośrednio na samych produktach z elementami cyfrowymi zamiast na dostawcach tych produktów. Oznacza to, że każdy produkt wprowadzony na rynek UE będzie musiał spełniać określone standardy cyberbezpieczeństwa, niezależnie od tego, kto jest jego producentem. Takie podejście ma na celu standaryzację wymagań bezpieczeństwa na poziomie całego rynku unijnego, eliminując różnice w standardach między poszczególnymi państwami członkowskimi. Jest to zupełnie inne podejście niż rozwiązania proponowane w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, gdzie proponuje się jednak ujęcie podmiotowe.

Unijny akt prawny ma pierwszeństwo

Wprowadzenie procedury zgodności dla produktów z elementami cyfrowymi, o której mowa w art. 32 aktu o cyberodporności, rodzi wątpliwości dotyczące potwierdzenia zgodności z wymogami w przypadku zastosowania procedury dla dostawców wysokiego ryzyka lub poleceń zabezpieczających. Pojawia się pytanie, czy produkt, np. router, uznany za zgodny na podstawie rozporządzenia może zostać zakwestionowany jako niezgodny w ramach mechanizmów proponowanych w nowelizacji przepisów ustawy o krajowym systemie cyberbezpieczeństwa. Kwestia ta wymaga rozstrzygnięcia przez polskiego ustawodawcę, zwłaszcza w kontekście jednolitego rynku cyfrowego.

Unijne przepisy wskazują jednak na wyjątki dotyczące wspólnego szacowania ryzyka dla krytycznych łańcuchów dostaw [art. 22 dyrektywy (UE) 2022/2555] oraz dodatkowych wymogów uwzględniających czynniki pozatechniczne, jak określono w zaleceniu Komisji (UE) 2019/534, unijnej ocenie ryzyka w zakresie cyberbezpieczeństwa sieci 5G oraz zestawie narzędzi dla cyberbezpieczeństwa sieci 5G (motyw 52). Uwzględniają one zarówno techniczne, jak i pozatechniczne czynniki ryzyka, w tym nadmierny wpływ państw trzecich na dostawców. Oznacza to, że albo należy opierać się na wspólnych mechanizmach wykluczenia dostawców w sytuacji, gdy mają one obejmować szeroki zakres regulacji, albo objąć nimi sieci 5G. Wydaje się zatem, że w zakresie, w jakim produkty się pokrywają, pierwszeństwo będzie jednak miał akt o cyberodporności.

Czy nowelizacja KSC będzie spójna z CRA

Akt o cyberodporności harmonizuje się z dyrektywą NIS2, która już wcześniej regulowała aspekty cyberbezpieczeństwa. Nowe rozporządzenie rozszerza te zasady na produkty zawierające elementy cyfrowe. Jednak wdrożenie rozporządzenia 2024/2489 niesie za sobą wyzwania związane z jego harmonizacją z krajowymi systemami prawnymi. W Polsce obowiązuje ustawa o krajowym systemie cyberbezpieczeństwa, która nie implementuje jeszcze dyrektywy NIS2. Od 2020 r. trwają prace nad kolejnymi wersjami nowelizacji tej ustawy na poziomie komitetów Rady Ministrów.

Analiza treści nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa rodzi pytania o ich wzajemną spójność. Dotyczy to zwłaszcza mechanizmów poleceń zabezpieczających (art. 67g ust. 8 pkt 6) oraz procedur dla dostawców wysokiego ryzyka (art. 67b i kolejne). Mechanizmy te obejmują podmioty kluczowe i ważne, co budzi wątpliwości, czy ich stosowanie będzie wymagało dostosowania do mechanizmów nadzorczych określonych w art. 54 aktu o cyberodporności. Innymi słowy powstaje pytanie, czy obecnie te dwa mechanizmy, obejmujące wszystkie podmioty ważne i kluczowe, nie stanowią w istocie nadregulacji w stosunku do aktu o cyberodporności. Wynika to z tego, że nowelizacja przyjęła szerokie podejście do regulacji, wykraczając poza sektor telekomunikacji, a w szczególności poza sieci 5G. Może to powodować nie tylko trudności w określeniu, które przepisy należy stosować w konkretnych sytuacjach, lecz także wątpliwości natury pierwszeństwa stosowania prawa.

Ważny dylemat

Podsumowując: nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa w Polsce wprowadza zmiany, które muszą zostać zharmonizowane z unijnym aktem o cyberodporności (rozporządzenie 2024/2489). Akt o cyberodporności przyjmuje produktowe podejście do regulacji bezpieczeństwa cyfrowego, nakładając rygorystyczne standardy na produkty zawierające elementy cyfrowe niezależnie od ich producentów. Z kolei nowelizacja krajowej ustawy koncentruje się na podmiotowym podejściu, obejmującym kluczowe i ważne podmioty oraz wprowadza procedury dla dostawców wysokiego ryzyka i poleceń zabezpieczających.

Takie podwójne podejście może prowadzić do nadregulowania oraz trudności w określeniu, które przepisy mają pierwszeństwo w konkretnych sytuacjach, szczególnie poza sektorem telekomunikacyjnym i sieciami 5G. Akt o cyberodporności dopuszcza możliwość stosowania podejścia podmiotowego, ale tylko w dwóch sytuacjach: gdy jest to wynikiem skoordynowanej oceny na podstawie dyrektywy NIS2 lub dotyczy 5G. Analiza treści przepisów nowelizacji wskazuje, że proponowane mechanizmy wykluczenia wykraczają poza ten zakres, co może wymagać dodatkowej analizy pod kątem spójności obydwu regulacji.

W skrajnym przypadku może dojść do sytuacji, w której produkt funkcjonujący i dopuszczony do obrotu w jednym państwie członkowskim (np. w Niemczech) stanie się zakazany w Polsce. Taki scenariusz podważałby rzeczywistą harmonizację przepisów na poziomie UE i de facto zaprzeczałby jej celom. Analiza treści przepisów nowelizacji wskazuje, że proponowane mechanizmy wykluczenia wykraczają poza ten zakres, co może wymagać dodatkowej analizy pod kątem spójności obydwu regulacji.