Unijna dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (zwana dyrektywą NIS 2), obowiązuje już od 2 lat. Polska jest mocno spóźniona z uchwaleniem polskich przepisów, które mają wdrożyć przepisy unijne – mowa oczywiście o nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (w skrócie UKSC). Wszelkie znaki na ziemi i niebie sugerują, że nowelizacja UKSC jest na ostatniej prostej – projekt trafił już do sejmu, a pierwsze czytanie zaplanowane jest na 3 grudnia. Nie wykluczone, że przepisy wejdą w życie jeszcze w tym roku i zacznie tykać zegar – na realizację obowiązków przedsiębiorcy będą mieć raptem 6 miesięcy od wejścia ustawy w życie (zakładając, że nie zawetuje jej prezydent. Takie sugestie ostatnio się pojawiały w dyskusji nt. nowelizacji UKSC).

Uchwalonych przepisów co prawda jeszcze nie ma, sam projekt procedowany był przez kilka ostatnich lat, a niektórzy przedsiębiorcy nadal się zastanawiają: wdrażać czy czekać? Odpowiedź jest prosta – wdrażać i to ASAPem. 6 miesięcy to wbrew pozorom nie jest dużo czasu, a dobre zaplanowanie bezpieczeństwa informacji i ciągłości działania oraz sporządzenie odpowiedniej dokumentacji to nie jest kwestia jednego dnia czy nawet jednego tygodnia. Oczywiście zakładając, że w danym przedsiębiorstwie regulacja ma być faktycznie wdrożona, a nie jedynie sprawiać pozory wdrożonej. No dobrze, ale co wdrażać, skoro przepisów jeszcze oficjalnie nie ma? Uchwalonej ustawy co prawda nie ma, ale jest już bardzo zaawansowany projekt, dokumenty normalizacyjne oraz rozporządzenie wykonawcze Komisji 2024/2690. W kwestiach dotyczących obowiązku wdrożenia systemu zarządzania bezpieczeństwem informacji w ostatnich wersjach projektu ustawy wiele się nie zmieniało i raczej już nie zmieni. Spokojnie można opierać się na najbardziej aktualnym projekcie. W dobrej sytuacji będą przedsiębiorcy, którzy wdrożyli u siebie np. normę ISO 27001. W połowie roku ENISA[1] opublikowała przewodnik techniczny wspierający wdrożenie regulacji NIS 2 w przedsiębiorstwie i dodatkiem do tego przewodnika, jest tabela mapowania regulacji. Mówiąc w uproszczeniu – jest to dokument podpowiadający, które wymogi NIS 2 mają swój „odpowiednik” w wymogach normy ISO 27001 lub innych dokumentach normalizacyjnych. ENISA przygotowała dla przedsiębiorstw gotowca pokazującego tabelarycznie, jak wymogi NIS 2 przekładają się na wymogi normy lub innych dokumentów standaryzacyjnych. Dlatego jeśli ktoś ma wdrożoną normę ISO 27001 to może sprawdzić w tym dokumencie, które wymogi NIS 2 „na dzień dobry” ma wdrożone.

Przewodnik wraz z tabelą mapowania są dostępne na stronie ENISA: https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance

Co ważne, za wdrożenie i prawidłowe funkcjonowanie systemu odpowiada imiennie „kierownik podmiotu kluczowego”. Kim jest ów „kierownik” zapytacie?  – Bardzo dobre pytanie, a odpowiedź będzie zależeć od tego, kim jest podmiot kluczowy lub ważny (spółką osobową, kapitałową, cywilną czy innym podmiotem). Projekt nowelizacji UKSC w zakresie definicji „kierownika podmiotu” odsyła do definicji „kierownika jednostki” zawartej w ustawie o rachunkowości, w rozumieniu której taką osobą jest:

• członek (lub członkowie) zarządu lub innego organu zarządzającego (z wyłączeniem pełnomocników ustanowionych przez jednostkę);
• wspólnik (lub wspólnicy) prowadzący sprawy spółki jawnej bądź spółki cywilnej;
• komplementariusz (lub komplementariusze) prowadzących sprawy spółki komandytowej bądź spółki komandytowo-akcyjnej;
• osoba fizyczna prowadząca działalność gospodarczą.

Nie można przy tym zapominać, że w myśl ustawy o rachunkowości, za „kierownika jednostki” uważa się również likwidatora, a także syndyka lub zarządcę ustanowionego w postępowaniu restrukturyzacyjnym oraz zarządcę sukcesyjnego przedsiębiorstwem osoby fizycznej. Są to mniej oczywiste przypadki, w których na określoną osobę „spadną” obowiązki przewidziane w UKSC.

Katalog obowiązków kierownika jest zawarty w UKSC. Otóż kierownik:

• podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru systemu zarządzania bezpieczeństwem informacji w podmiocie;
• planuje adekwatne środki finansowe na realizację obowiązków z zakresu cyberbezpieczeństwa;
• przydziela zadania z zakresu cyberbezpieczeństwa w tym podmiocie i nadzoruje ich wykonanie;
• zapewnia, że personel podmiotu jest świadomy obowiązków z zakresu cyberbezpieczeństwa i zna wewnętrzne regulacje podmiotu w tym zakresie;
• zapewnia zgodność działania tego podmiotu z przepisami prawa oraz z wewnętrznymi regulacjami podmiotu.

Odpowiedzialność kierownika za realizację obowiązków jest osobista i nie da się jej przenieść na inną osobę. Innymi słowy, jeśli zostaną stwierdzone uchybienia w realizacji obowiązków wynikających z UKSC, będzie możliwe nałożenie administracyjnej kary pieniężnej bezpośrednio na kierownika i to niezależnie od kary nakładanej na sam podmiot kluczowy lub ważny. Jaka może być wysokość takiej kary? Cóż, dolnych widełek nie ma, natomiast są określone górne – kara wymierzona kierownikowi nie może być wymierzona w kwocie większej niż 300% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

Cel takiego rozwiązania jest oczywisty: egzekwowanie obowiązków, aby bezpieczeństwo nie było wyłącznie „na papierze”, ale stanowiło dobrze zaplanowany, nadzorowany i przede wszystkim funkcjonujący system. Przedsiębiorcy nie powinni mieć złudzeń – nowe obowiązki to nie tylko „papierologia”, ale ciągłe monitorowanie i doskonalenie systemu. No chyba, że ktoś jest gotów zaryzykować karą „z własnej kieszeni”. W końcu wszystko sprowadza się do szacowania ryzyka, w tym również ryzyka otrzymania kar za zbagatelizowanie obowiązków z UKSC. Ale to zostawmy już do indywidualnej decyzji kierowników.

[1] Agencja Unii Europejskiej ds. Cyberbezpieczeństwa