Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, przyjęta przez Sejm 23 stycznia w ramach wdrażania dyrektywy NIS2 i obecnie procedowana na dalszym etapie legislacyjnym, w istotny sposób zmienia krajobraz regulacyjny cyberbezpieczeństwa w Polsce, znacząco rozszerzając krąg podmiotów objętych nowymi obowiązkami.

KSC: podmioty prywatne i państwowe, małe i wielkie

Projekt nie ogranicza się do minimalnych standardów wynikających z dyrektywy, lecz obejmuje regulacją bardzo szeroki katalog podmiotów – aż 18 sektorów i dziesiątki tysięcy firm – w tym również wiele mikro i małych przedsiębiorstw, które dotychczas nie podlegały podobnym reżimom. Kryterium objęcia regulacją przestaje mieć wyłącznie charakter przedmiotowy i zostaje uzupełnione o skalę działalności. W połączeniu z brakiem mechanizmów kompensacyjnych ze strony państwa rodzi to realne ryzyko nadmiernego obciążenia organizacyjnego i finansowego mniejszych podmiotów, które mogą nie być w stanie sprostać nowym wymogom.

Dodatkowe wątpliwości budzi przyjęte w ustawie różnicowanie obowiązków w zależności od charakteru podmiotu. Przepisy przewidują bowiem uproszczony model realizacji obowiązków dla podmiotów publicznych uznanych za podmioty ważne, co nie znajduje bezpośredniego uzasadnienia w dyrektywie NIS2 i może prowadzić do sytuacji, w której podmiot publiczny o wysokim profilu ryzyka będzie podlegał łagodniejszemu reżimowi niż porównywalny podmiot prywatny. Rodzi to pytania o równość traktowania oraz kompletność implementacji art. 21 dyrektywy.

Surowsze sankcje administracyjne za naruszenie KSC

Istotnym elementem nowelizacji jest również zaostrzenie systemu sankcji administracyjnych, w tym wprowadzenie minimalnych progów kar pieniężnych oraz superkary sięgającej do 100 mln zł, niezależnie od skali działalności czy kondycji finansowej przedsiębiorcy. W praktyce może to oznaczać, że nawet pojedyncze naruszenie przepisów przez mikro, małe lub średnie przedsiębiorstwo będzie skutkować karą o charakterze nieproporcjonalnym, potencjalnie zagrażającą płynności finansowej. W skrajnych przypadkach – nawet dalszemu prowadzeniu działalności gospodarczej, co pozostaje w sprzeczności z zasadą proporcjonalności wyraźnie akcentowaną w NIS2.

Należy przy tym zaznaczyć, że w toku prac parlamentarnych wprowadzono poprawki łagodzące, w szczególności mechanizm odroczenia stosowania sankcji administracyjnych, zgodnie z którym kary pieniężne za naruszenie przepisów ustawy o Krajowym Systemie Cyberbezpieczeństwa będą mogły być nakładane dopiero po upływie dwóch lat od dnia wejścia ustawy w życie. Rozwiązanie to ogranicza dolegliwość regulacji w krótkiej perspektywie czasowej i daje przedsiębiorcom dodatkowy okres adaptacyjny. Jednocześnie należy podkreślić, że poprawka ta ma charakter wyłącznie czasowy i nie usuwa systemowego problemu konstrukcji sankcji. Po zakończeniu okresu przejściowego przedsiębiorcy zostaną w pełni objęci reżimem sankcyjnym opartym na sztywnych minimalnych progach kar oraz nadzwyczajnie wysokim maksymalnym wymiarze sankcji, który w dalszym ciągu może prowadzić do naruszenia zasady proporcjonalności.

Okres obowiązywania polecenia zabezpieczającego

Podobne wątpliwości budzi konstrukcja polecenia zabezpieczającego, które zgodnie z przyjętym przez Sejm brzmieniem może obowiązywać nawet do dwóch lat, niezależnie od faktycznego czasu trwania incydentu krytycznego, podczas gdy dyrektywa przewiduje stosowanie wyłącznie środków niezbędnych do usunięcia skutków incydentu. Tak długi okres obowiązywania szczególnie dotkliwych nakazów, w tym chociażby ograniczenia ruchu sieciowego, może w praktyce prowadzić do paraliżu operacyjnego przedsiębiorcy i wykraczać poza to, co konieczne dla zapewnienia cyberbezpieczeństwa.

W efekcie, choć cel nowelizacji KSC – wzmocnienie odporności państwa i gospodarki na zagrożenia cybernetyczne – zasługuje na pełne poparcie, przyjęte rozwiązania wywołują poważne wątpliwości co do ich proporcjonalności, zgodności z dyrektywą NIS2 oraz realnych skutków dla rynku, w szczególności dla mniejszych podmiotów, które poniosą największy ciężar regulacyjny. ©℗