[WYWIAD] Nieznajomość prawa szkodzi
Czekając na ustawę dotyczącą przeniesienia dyrektywy NIS2 na grunt prawa polskiego, postanowiliśmy porozmawiać z kimś, kto na wylot zna unijne przepisy dotyczące bezpieczeństwa i potrafi się w nich poruszać. Ekspertką w tej kwestii jest radczyni prawna Agnieszka Wachowska, specjalizująca się w problematyce prawnej nowych technologii, prawa autorskiego i cyberbezpieczeństwa. Rozmawiają Jan T. Grusznic i Monika Żuber-Mamakis.
Rozmawiamy na kilka dni przed wejściem w życie unijnej dyrektyw NIS2. To właśnie ona spowodowała, że wiele firm zainteresowało się cyberbezpieczeństwem. Mamy już jednak ustawę o krajowym systemie cyberbezpieczeństwa, będącą implementacją dyrektywy NIS1. I już teraz widać, że są pewne rozbieżności między nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa a NIS2. Zacznijmy zatem od wyjaśnienia tej kwestii.
Faktycznie, mamy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa datowany na 23 kwietnia 2024 r. Warto zaznaczyć, że to dopiero pierwsza wersja projektu, co podkreśla Ministerstwo Cyfryzacji. W ramach przeprowadzonych konsultacji społecznych zgłoszonych zostało dużo poprawek. Ministerstwo Cyfryzacji zadeklarowało, że z początkiem czwartego kwartału tego roku opublikuje materiał odnoszący się do tych uwag (podobno jest to prawie tysiącstronicowy dokument). W IV kwartale ma również ukazać się druga wersja projektu, choć wydaje się, że nie należy się raczej spodziewać rewolucji. W pierwszej wersji projektu ustawy, w toku konsultacji publicznych zidentyfikowano trochę drobnych nieścisłości, które mają zostać zmienione w drugiej wersji projektu.
Niezależnie od tego warto podkreślić, że dyrektywa NIS2 stanowi harmonizację minimalną. To znaczy, że państwa członkowskie, w tym Polska, muszą wdrożyć obowiązki wynikające z dyrektywy w podstawowym zakresie opisanym w dyrektywie. Natomiast w przepisach krajowych mogą rozszerzyć katalog tych obowiązków albo rozszerzyć zakres regulacji. I teraz odpowiadając na pytanie: rozbieżności, które pojawiają się w projekcie ustawy albo w projektach innych państw członkowskich, mogą wynikać właśnie z różnego sposobu implementacji.
Czy w takim razie pojawiły się w polskim projekcie przepisy, które są wyraźnie sprzeczne z dyrektywą NIS2?
Takich, które faktycznie byłyby sprzeczne z dyrektywą, czyli ogólnie mówiąc, zawężające przepisy dyrektywy, ja nie dostrzegam, przy czym jest przepis, który według mnie można różnie interpretować. Dotyczy on jednego z obowiązków, który jest nałożony na podmioty ważne i kluczowe, a dokładnie zapewnienia bezpieczeństwa łańcucha dostaw. W dyrektywie NIS2 jest dosyć ogólnie napisane, że podmioty ważne i kluczowe powinny oceniać i uwzględniać ogólną jakość i odporność produktów i usług oraz środków zarządzania ryzykiem w cyberbezpieczeństwie stanowiący ich część, a także praktyki dotyczące cyberbezpieczeństwa stosowane przez dostawców produktów i usług, w tym ich procedury bezpiecznego opracowywania
W NIS2 te wymagania dla łańcucha dostaw są wprost ograniczone do rynku ICT, tak jak to zrobił polski ustawodawca. Polski ustawodawca, wprowadzając regulację, ograniczył się do bezpieczeństwa łańcucha dostaw produktów, usług i procesów w branży ICT. To zawężenie nie wynika wprost z NIS2. Spotkałam się jednak z takim twierdzeniem, że jeśli chodzi o nabywanie produktów i usług, to w rozumieniu dyrektywy NIS2 – jako że dotyczy ona cyberbezpieczeństwa, termin łańcucha dostaw należy wykładać jako dotyczący wyłącznie usług ICT. Niektórzy jednak mają odmienne zdanie i uważają, że nie należy tego terminu traktować w sposób zawężający, bo w zasadzie każdy dostawca we współczesnym świecie korzysta z usług cyfrowych, choćby wysyłając e-maile. Jeśli infrastruktura IT jakiegoś dostawcy zostanie zhakowana, to może być przecież źródłem zagrożenia dla swojego klienta. Tym samym pomioty ważne i kluczowe w ramach dobrych praktyk powinny weryfikować troskę o cyberbezpieczeństwo wszystkich swoich dostawców, nie tylko dostawców ICT.
Skoro mówimy o bezpieczeństwie ICT i łańcucha dostaw, to pojawia się nam od razu kwestia high risk vendor, czyli dostawców wysokiego ryzyka. Pytamy o to, bo dla naszych czytelników to ważny temat.
Dostawca wysokiego ryzyka to z kolei instytucja wprowadzona do projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która nie wynika wprost z NIS2. Należy pamiętać, że projekt nowelizacji ustawy o krajowym cyberbezpieczeństwie nie tylko implementuje dyrektywę NIS2, ale także wprowadza inne, dodatkowe regulacje. Można więc rzec, że high risk vendor to inicjatywa własna polskich projektodawców. I ona nie wynika wprost z NIS2. Prawodawstwo unijne nie narzuca powołania takiej instytucji do życia.
W tym momencie warto wyjaśnić, na czym w ogóle polega instytucja dostawcy wysokiego ryzyka. Na podstawie decyzji administracyjnej, w tym przypadku Ministra Cyfryzacji, poprzedzonej specjalną procedurą opisaną w ustawie, będzie można uznać dany produkt, usługę lub proces za pochodzący od dostawcy wysokiego ryzyka. Ta decyzja wg projektu nowelizacji ustawy ma mieć wpływ na wszelkie podmioty ważne i kluczowe, z uwzględnieniem pewnych wyłączeń dla rynku telekomunikacyjnego. W konsekwencji decyzja ta oznacza konieczność wycofania produktu takiego dostawcy lub rezygnacji z jego usług w określonym czasie. Decyzja ta będzie też mieć wpływ na procesy zakupowe, bo produkty w niej wskazane nie będą mogły być nabywane, a w przypadku zamówień publicznych, jeśli w ramach złożonej oferty znalazłyby się produkty, usługi lub procesy pochodzące od dostawcy wysokiego ryzyka, to oferta taka ulega odrzuceniu.
Czy rzeczywiście NIS2 będzie ostatecznie dotyczyć każdego podmiotu? A druga rzecz, CER, czyli dyrektywa służąca zwiększeniu odporności podmiotów krytycznych państw członkowskich UE, o której myśli się trochę jako o zawężeniu NIS2. Czy w tym przypadku uważa pani, że finalnie będzie ona dotyczyć każdego podmiotu w łańcuchu dostaw?
Różnice są na poziomie kategorii podmiotów, których dotyczy NIS2 i CER, ale też zakresu tego, czego każda z tych regulacji dotyczy. NIS2 dotyczy cyberbezpieczeństwa, czyli bezpieczeństwa informatycznego i obejmuje szereg podmiotów, rozszerzając znacząco obowiązującą jeszcze NIS1. Zakres podmiotowy jest bardzo szeroki, przy czym dyrektywa NIS2 wyłącza spod swojego zakresu mikro- i małe przedsiębiorstwa. Jednym z elementów jest bezpieczeństwo łańcucha dostaw. Te podmioty powinny sprawdzić bezpieczeństwo swojego dostawcy. Każda firma, która obsługuje podmioty będące podmiotami kluczowymi lub ważnymi, może być odpytana o to, jak dba o bezpieczeństwo, nawet jeśli sama nie podlega regulacjom, bo np. jest mikro- lub małym przedsiębiorcą. Natomiast CER jest regulacją, która obejmuje węższą grupy w tym sensie, że dotyka podmiotów krytycznych mogących działać w tych samych obszarach, co podmioty objęte dyrektywą NIS2, ale to państwo polskie decyduje o tym, jakie podmioty zostaną za takie uznane.
Czy można uznać, że CER jest niczym innym tylko rozszerzeniem w zasadzie tego, co już obecnie funkcjonuje w kraju?
Tak, bo mamy projekt ustawy, która dotyczy implementacji CER, i jest to projekt nowelizacji ustawy o zarządzaniu kryzysowym, więc mamy procedurę dotyczącą wydawania decyzji o uznaniu danego podmiotu za krytyczny, a teraz te przepisy zyskają rangę przepisów unijnych. Rozszerzają jednocześnie zakres podmiotów, w stosunku do których te decyzje mogą być wydane. Obie regulacje się przenikają. NIS2 nie dotyczy małych i mikroprzedsiębiorców, ale jeżeli firma zostanie uznana za podmiot krytyczny na gruncie ustawy o zarządzaniu kryzysowym, to automatycznie będzie zmuszona do stosowania regulacji dyrektywy NIS2, czyli w tym przypadku ustawy o krajowym systemie cyberbezpieczeństwa. Państwo polskie ma możliwość wskazania konkretnego podmiotu, nawet małego, gdy uznaje w jakiś sposób jego działalność za strategiczną.
Czy powstanie jakiś katalog podmiotów zobowiązanych do przestrzegania NIS2?
W przypadku NIS1 i implementującej tę dyrektywę ustawy o krajowym systemie cyberbezpieczeństwa wyglądało to tak, że aby podmiot został uznany za operatora usług kluczowych, to musiała zostać wydana decyzja administracyjna. Dyrektywa NIS2 zmienia tę filozofię, wprowadzając system samooceny. Każdy podmiot musi sam ocenić, czy podlega regulacji. Ustawa o krajowym systemie cyberbezpieczeństwa może trochę ten katalog rozszerzać. Każda organizacja musi zatem dokonać samooceny, czy spełnia wszystkie warunki, które czynią z niej podmiot ważny lub kluczowy. Zgodnie z projektem nowelizacji na taką deklarację będzie miała dwa miesiące od momentu wejścia w życie ustawy. Wniosek o uznanie za taki podmiot będzie zgłaszany przez specjalny system informatyczny. Złożenie oświadczenia będzie obłożone rygorem odpowiedzialności karnej za składanie nieprawdziwych informacji, a wpis ma mieć charakter deklaratywny. Nie kreuje on zatem rzeczywistości. Jest potrzebny tylko do stworzenia ewidencji takich podmiotów, by państwo mogło zidentyfikować podmioty kluczowe i ważne. Rejestr będzie niejawny z oczywistych względów i będzie mógł być udostępniony odpowiednim służbom wymienionym w ustawie, m.in. innymi organom ścigania czy wymiaru sprawiedliwości.
Czy te oświadczenia będą w jakikolwiek sposób weryfikowane? Możemy przecież spotkać się z sytuacją, gdy firma nie złoży takiego oświadczenia, choć powinna, przewidując, że znalezienie się na liście podmiotów kluczowych i ważnych wywoła konkretne obowiązki.
Przepisy są skonstruowane w taki sposób, że każdy podmiot, który spełni ustawowe kryteria, ma obowiązek wdrożenia odpowiednich środków cyberbezpieczeństwa. I jednocześnie każdy może być skontrolowany przez organ nadzorczy. Takich instytucji nadzorczych może być kilkanaście, bo są one powiązane z sektorami.
Jeżeli się okaże, że firma nie jest odpowiednio chroniona, może stanowić wrażliwy element łańcucha dostaw i musi się wyposażyć w odpowiednie środki ochrony, to kto za nie zapłaci?
No cóż, odpowiednie środki cyberbezpieczeństwa będą musiały być wdrożone przez podmioty zobowiązane do stosowania tej ustawy na koszt własny. Na pocieszenie mogę dodać, że są specjalne fundusze unijne, z których może być finansowane wdrożenie odpowiednich środków bezpieczeństwa.
Czy mogłaby pani powiedzieć, ilu w sumie różnego rodzaju regulacjom z zakresu bezpieczeństwa informacji obecnie podlega polskie przedsiębiorstwo średniej wielkości?
Jest ich kilka, to prawda. Dla przedsiębiorców ważna jest ustawa o krajowym systemie cyberbezpieczeństwa. To ona nakłada na nich obowiązki, podobnie jak ustawa o zarządzaniu kryzysowym czy ustawa o informatyzacji podmiotów publicznych dotycząca sektora publicznego. Kwestie bezpieczeństwa reguluje również RODO, ale w zakresie przetwarzania danych osobowych. Jeżeli więc mówimy o przetwarzaniu danych osobowych, to widać, że ustawa o krajowym systemie cyberbezpieczeństwa i RODO mogą się zazębiać. To oczywiste, że może istnieć podmiot, który jest podmiotem ważnym lub kluczowym na gruncie ustawy o krajowym systemie cyberbezpieczeństwa, a jednocześnie przetwarza dane osobowe. Taki podmiot musi zwracać uwagę i na regulacje rodowskie, i na regulacje ustawy o krajowym systemie cyberbezpieczeństwa. Gdy zatem dojdzie do incydentu, który będzie incydentem w systemie informatycznym podmiotu kluczowego bądź ważnego i który w jakiś sposób wpłynie na integralność oraz poufność danych osobowych, to wówczas będzie on zobowiązany do zaraportowania takiego incydentu podwójnie, tj. do Prezesa Urzędu Ochrony Danych Osobowych i niezależnie od tego do właściwego podmiotu wyznaczonego przepisami ustawy o krajowym systemie cyberbezpieczeństwa. Przy okazji, to bardzo ciekawe zagadnienie, bo tak naprawdę procedury w tych instytucjach powinny być w miarę możliwości ujednolicone, inaczej może to powodować pewien chaos. Na pocieszenie mogę powiedzieć, że europejski ustawodawca przewidział, że może dojść do takiego zbiegu, i wprost uregulował tę kwestię w NIS2. Jeżeli zatem organizacja winna naruszenia w rozumieniu RODO zostanie ukarana przez prezesa UODO, to zgodnie z NIS2 nie można nałożyć na nią drugiej kary na podstawie implementacji NIS2 – jeśli naruszenie obu regulacji było spowodowane tym samym działaniem.
Chcielibyśmy na chwilę wrócić do dostawców wysokiego ryzyka. Nie znaleźliśmy procesu odwołania od decyzji ministra o uznaniu firmy za takiego dostawcę.
To prawda. Ta decyzja będzie wydawana z rygorem natychmiastowej wykonalności i nie będzie od niej przysługiwało odwołanie ani wniosek o ponowne rozpatrzenie sprawy. Podmioty, w stosunku do których taka decyzja zostanie wydane, będą jednak mogły wnieść skargę do sądu administracyjnego.
Poza wymienionymi już regulacjami mamy jeszcze CRA, o którym niektórzy mówią, że jest aktualizacją CE. Czym jest dokładnie CRA i jak łączy się z NIS2 i CER?
Zanim przejdę do CRA, to przypomnę, że mamy jeszcze jedną regulację unijną w zakresie cyberbezpieczeństwa, a mianowicie DORA. Jeżeli chodzi o zakres przedmiotowy DORA, jest on bardzo podobny do NIS2, natomiast dotyczy tylko i wyłącznie szeroko pojętego sektora finansowego: banków, firm ubezpieczeniowych, biur maklerskich itp. DORA jest, powiedziałabym, taką bardziej specjalistyczną wersją NIS2. NIS2 jest regulacją bardzo ogólną przez to, że obejmuje bardzo różne podmioty. Natomiast DORA precyzuje, co podmioty sektora finansowego powinny wdrożyć. Co do rozporządzenia CRA, to nie zostało ono jeszcze zatwierdzone przez Radę UE. Tekst został już przyjęty, ale cały proces akceptacji CRA przeciągnął się ze względu na wybory europejskie. Natomiast nie wydaje się, by był z tym jakiś problem, choć oczywiście wszystko może się wydarzyć. Regulacja CRA jest ważna. Niektórzy eksperci twierdzą, że to jest regulacja w zakresie cyberbezpieczeństwa, której Europa potrzebuje najbardziej. Spotkałam się z opinią, że jest spóźniona przynajmniej o 10 lat.
Dlaczego?
Przede wszystkim dlatego, że dotyczy podstawowych kwestii, a mianowicie norm bezpieczeństwa produktów z elementami cyfrowymi: laptopów, smarftonów, inteligentnych smartfonów, a nawet samobieżnych odkurzaczy, czyli tych wszystkich przedmiotów, które zawierają komponent umożliwiający im komunikowanie się. CRA jest zatem nieco spóźniona, bo Internet rzeczy (IoT) jest już naszą codziennością, a w UE ciągle nie ma żadnych norm, które regulowałaby kwestie cyberbezpieczeństwa takich urządzeń.
Wygląda zatem na to, że faktycznie jest trochę spóźniona. Jak na razie nie mamy żadnych wytycznych dotyczących bezpieczeństwa takich urządzeń, żadnej certyfikacji. Co jednak oznacza wprowadzenie CRA dla konkretnych dostawców?
Po pierwsze, wszyscy mają świadomość tego, że wejście w życie tych przepisów wymagać będzie czasu, by dostawcy mogli się do nich dostosować. Po drugie, CRA przewiduje w sumie trzy kategorie produktów: krytyczne, ważne i „zwykłe”. Wiele więc zależy, do jakiej kategorii dany sprzęt zostanie przypisany. Nie każdy będzie potrzebować certyfikatu. Urządzenia krytyczne są wymienione wprost w CRA. Są to np. rutery, urządzenia sterujące, urządzenia kontrolujące pracę innych urządzeń itp. Pozyskanie certyfikatu przed wejściem takiego urządzenia na rynek będzie po prostu niezbędne. Dlatego mówi się o tym, że CRA to nowe CE. Elementem certyfikacji będzie konieczność spełniania określonych norm, dostarczenia odpowiedniej dokumentacji dotyczącej cyberbezpieczeństwa i zapewnienia użytkownikom tzw. łat do oprogramowania. Poza tym producenci będą musieli zgłaszać poważne incydenty, jeśli zidentyfikują je w swoich urządzeniach, i będą mieli obowiązek informowania o tym użytkownika. Karą za niedotrzymanie tych warunków może być m.in. konieczność wycofania produktu z rynku.
CRA jest rozporządzeniem, a to znaczy, że będzie obowiązywać bezpośrednio w sposób jednolity w całej Unii Europejskiej i nie trzeba będzie go przenosić ustawą na grunt prawa lokalnego. Tak samo było w przypadku RODO. To jest o tyle sensowne, że ramy certyfikacyjne dotyczące bezpieczeństwa produktu w założeniu mają być identyczne dla całej Unii. Jeśli chodzi o wejście w życie przepisów CRA, to jest ono rozłożone na etapy. Najpierw zaczną obowiązywać przepisy dotyczące powołania organów uprawnionych do certyfikacji, potem te odnoszące się do procedur i obowiązków producentów. Samo rozporządzenie będzie w pełni stosowane dopiero po trzech latach od jego ogłoszenia. Jak widać, horyzont czasowy wprowadzenia tej regulacji jest dłuższy.
Czy nie ma pani jednak wrażenia takiego trochę chaosu wynikającego z tego, że nie mamy jednego spójnego aktu odnoszącego się do wszystkich problemów związanych z cyberbezpieczeństwem. Można odnieść wrażenie, że unijne działania w tej kwestii są raczej gaszeniem pożaru niż zapobieganiem mu?
Oczywiście, można sobie zadać pytanie, czy podejście Unii nie powinno być bardziej wizjonerskie, a mniej reaktywne. Ono faktycznie może się takie wydawać, ale wbrew pozorom regulacje unijne i tak są bardziej wizjonerskie niż te krajowe. Teraz np. Unia już przygotowała się na wszechobecność sztucznej inteligencji, wdrażając AI Act. Przy czym spotkałam się zarzutem, że regulacje te były tworzone za wcześnie. Są też tacy, którzy mówią – za późno. AI już jest, a my nie mamy prawa, które chroniłoby nas przed niepożądanymi jej zrachowaniami. Trudno jednak regulować coś, czego jeszcze tak do końca nie ma. Generatywna sztuczna inteligencja pojawiła się przecież już w trakcie zaawansowanych prac nad AI Act i okazało się, że pewne problemy, jakie wraz z nią się wiążą, w ogóle nie zostały przewidziane przez twórców AI Act. To pokazuje, że takie wizjonerskie podejście do regulacji też nie jest dobrym pomysłem.
Wyjaśnię przy okazji, że CRA też traktuje produkty z elementami cyfrowymi wyposażone w algorytmy AI jako produkty wysokiego ryzyka. Będą więc musiały spełniać wymagania zarówno CER, jak i AI Act. AI Act skupia się jednak na tych podmiotach, które będą korzystać i tworzyć takie systemy sztucznej inteligencji. Jej twórcy będą zobowiązani nie tylko do prowadzenia odpowiedniej dokumentacji, ale też do nadzoru nad nią i zadbanie o cyberbezpieczeństwo AI oraz skrupulatną kontrolę danych, na której algorytmy AI są trenowane. Przewidywane są także systemy AI wprost zakazane. Wracając do pytania. W przypadku NIS2 to wprost w preambule wskazano, że to pandemia spowodowała pilną potrzebę regulacji. Tutaj trzeba było działać ad hoc. Nagła digitalizacja, wzrost pracy zdalnej spowodowały wzrost potencjalnych ryzyk i cyberataków. Im więcej osób korzysta, tym większe ryzyko. Udało się nam, ludziom, błyskawicznie przejść do świata online, ale nie było już czasu, by zadbać o bezpieczeństwo. NIS2 próbuje naprawić to niedopatrzenie.
Nasze ostatnie pytanie. Ministerstwo Cyfryzacji zrezygnowało ze wskazania ISO 27001 jako wyznacznika spełnienia warunków NIS 2. To dobrze czy źle?
Taka informacja ze strony Ministerstwa Cyfryzacji pojawiła się w sierpniu tego roku. Jednocześnie, dopóki nie dojdzie do publikacji drugiej wersji projektu nowelizacji ustawy o krajowym systemie bezpieczeństwa, nie będziemy mieć pewności, czy tak faktycznie jest. Na pewno odwołanie do norm ISO bardzo ułatwiłoby życie przedsiębiorcom. Ale pojawiły się głosy krytykujące wybór ISO. Wiele firm już wdrożyło własne normy, korzystając z amerykańskiego NIST-u. Krytycy tego zapisu podnosili argument, że rolę kontrolera oddaje się w ten sposób podmiotom prywatnym, a te z kolei trudno nadzorować i nie ponoszą one takiej odpowiedzialności jak ewentualny organ nadzorczy czy kontrolujący. A to może być pole do nadużyć. Poczekajmy jednak na drugą wersję projektu.
Pożyjemy, zobaczymy?
Zdecydowanie.
Agnieszka Wachowska, radczyni prawna z kilkunastoletnim doświadczeniem w obsłudze projektów IT. W kancelarii Traple Konarski Podrecki i Wspólnicy uczestniczy w pracach praktyki TMT, kierując zespołem prawa IT, Nowych Technologii i Zamówień Publicznych. Specjalizuje się w problematyce prawnej branży IT i nowych technologii. Od początku kariery prawniczej doradza podmiotom z sektora IT, w tym również podmiotom publicznym, w zakresie zagadnień związanych z prawem IT.