Polska jest jednym z 24 krajów członkowskich, które do tej pory nie implementowały do prawa krajowego tzw. dyrektywy NIS2, mającej na celu podniesienie poziomu cyberbezpieczeństwa w UE. Termin na jej wdrożenie minął 17 października. Obejmuje podmioty działające w sektorach o znaczeniu krytycznym, takich jak publiczne usługi komunikacji elektronicznej, zarządzanie usługami ICT, usługi cyfrowe, gospodarka ściekami i odpadami, przestrzeń kosmiczna, ochrona zdrowia, energetyka, transport, wytwarzanie produktów o znaczeniu krytycznym, usługi pocztowe i kurierskie oraz administracja publiczna.
KE wszczęła dwa postępowania przeciw Polsce
W czwartek KE wszczęła postępowanie, wysyłając formalne zawiadomienia do rządów 24 państw, które mają dwa miesiące na odpowiedź. Jeśli KE nie będzie usatysfakcjonowana, może wystosować tzw. uzasadnioną opinię, a w następnym kroku skierować sprawę do Trybunału Sprawiedliwości UE.
Za wdrożenie tych przepisów odpowiedzialne jest Ministerstwo Cyfryzacji, które odpowiada za przygotowanie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 2018 r. Zaproponowany przez resort projekt przewiduje procedurę uznania dostawcy sprzętu lub oprogramowania jako tzw. dostawcy wysokiego ryzyka. Ma to zapobiec udostępnianiu danych innym państwom. Projekt ten wywołał jednak sprzeciw małych i średnich operatorów telekomunikacyjnych, którzy obawiają się, że zostaną pozbawieni dostępu do sprzętu.
W ich ocenie projektowana przez resort nowela nie opiera się na kryteriach technicznych, według których określone urządzenia można uznać za niespełniające standardów bezpieczeństwa. Wprowadza za to kryterium państwa pochodzenia dostawcy, bo mowa jest o państwach spoza UE lub NATO, co praktyce ma oznaczać dostawców chińskich.
Kluczowe dla poprawy odporności
Tymczasem KE uważa, że pełne wdrożenie przepisów dyrektywy NIS2 jest kluczowe dla dalszej poprawy odporności i zdolności reagowania na incydenty z udziałem podmiotów publicznych i prywatnych działających w tych kluczowych sektorach, a także w całej UE.
Polska nie wdrożyła też na czas dyrektywy CER w sprawie odporności podmiotów krytycznych. Termin minął również 17 października. Dyrektywa przesuwa środek ciężkości z ochrony infrastruktury krytycznej na zwiększenie odporności podmiotów obsługujących tę infrastrukturę. Rozszerza też zakres obszarów objętych przepisami z dwóch do 11 (są to: energetyka, transport, zdrowie, woda, bankowość i infrastruktura cyfrowa, poprzez wzmocnienie odporności infrastruktury krytycznej i podmiotów krytycznych na zagrożenia takie jak zagrożenia naturalne, ataki terrorystyczne lub sabotaż.)
Tej dyrektywy nie wdrożyły 24 kraje. Także mają na odpowiedź dwa miesiące
