Przedstawiony w grudniu ub.r. do konsultacji projekt Dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (tzw. Dyrektywa NIS 2) zakłada m.in. rozszerzenie listy sektorów objętych regulacją. Obecnie obowiązująca Dyrektywa NIS z 2016 roku dotyczy transportu, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji oraz finansów. W nowym projekcie lista ta została poszerzona o nowe obszary: administracja publiczna, ścieki - przedsiębiorstwa zbierające, odprowadzające lub oczyszczające ścieki komunalne, bytowe i przemysłowe oraz gospodarowanie odpadami, z wyłączeniem przedsiębiorstw, dla których nie stanowi ono głównej działalności gospodarczej.

Kolejną proponowaną w projekcie dyrektywy NIS2 zmianą, na której konsekwencje dla samorządów zwraca uwagę UMP, jest odejście od obecnego modelu regulacji z przedmiotowego, zogniskowanego na operatorach usług kluczowych - na podmiotowe, określające kryterium obowiązku stosowania ustawy w odpowiednim załączniku do Dyrektywy NIS 2. Zmiana ta będzie miała odzwierciedlenie również w treści Dyrektywy NIS 2, zawierającej definicje. Obecnie występujące pojęcie „operator usługi kluczowej”, zostanie zastąpione pojęciem „podmiot niezbędny”.

W związku z tym UMP zwraca uwagę, że „wprowadzenie sektora +Administracja publiczna+ do grupy podmiotów niezbędnych, zmieni obecny status administracji publicznej w obowiązującej ustawie z 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. 2018 poz. 1560). Konsekwencją będzie konieczność realizacji przez administrację publiczną nowych obowiązków, których zakres jest znaczący i szeroki: od konieczności opracowania procedur, po stosowanie konkretnych technik zabezpieczeń np. szyfrowania”.

Zgodnie z przedstawioną przez KE propozycją sektor administracja ma obejmować: podmioty administracji publicznej w ramach instytucji rządowych na szczeblu centralnym, podmioty administracji publicznej dla regionów na poziomie NUTS 1 wymienione w załączniku do rozporządzenia, podmioty administracji publicznej dla regionów na poziomie NUTS 2 wymienione w załączniku do rozporządzenia.

Unii Metropolii Polskich ocenia, że „określenie w Załączniku nr 21 podmiotów z zakresu administracji publicznej, w oparciu o klasyfikacje NUTS - należy uznać za nietrafione. Zwłaszcza, gdy wyznaczanie ww. podmiotów ma następować na mocy wyłącznie załącznika Dyrektywy NIS a nie na indywidualnych decyzjach administracyjnych. Podział statystyczny ma na celu objęcie swoim zakresem jak największej liczby podmiotów, jednak w przypadku definiowania zakresów dla potrzeb załącznika należy stosować definicje zawężające. Dodatkowo stosowanie NUTS jest niewłaściwe z uwagi na to, iż nomenklatura ta odnosi się do obszarów a nie organów lub podmiotów publicznych. W przypadku gdy Dyrektywa NIS 2 zawiera definicję podmiotu publicznego - podobną jak w PZP - trudno znaleźć uzasadnienie dla ww. podziału na NUTS w samym załączniku. W związku z powyższym rekomendujemy zrezygnowanie z podziału NUTS, jako mechanizmu wyznaczania podmiotów administracji publicznej – podmiotów niezbędnych. W zamian należy pozostawić dział Administracja – w oparciu o definicję podmiotu administracji publicznej w rozumieniu art. 4 pkt 23”.

UMP postuluje również wyłączenie spod działania dyrektywy: podmiotów publicznych świadczących usługi kulturalne (biblioteki, muzea, teatry itp.) oraz podmiotów administracji świadczącej: nie udzielających opieki medycznej, nie posiadających dostępu do rejestrów publicznych, nie realizujących zadań z zakresu władztwa administracyjnego. W opinii UMP „cele dyrektywy nie wskazują wprost na konieczność obejmowania tych podmiotów obowiązkami dyrektywy. Zadania świadczone przez te podmioty nie powodują ryzyka braku ciągłości działania, a jeżeli taki brak nastąpi, to nie będzie bezpośrednio zagrażał bezpieczeństwu ludzi”.

Unia Metropolii Polskich proponuje też wprowadzenie regulacji umożliwiającej jednostko samorządu terytorialnego zapewnienie swoim jednostkom organizacyjnym obsługi i realizacji obowiązków wynikających z Dyrektywy NIS 2. „W takim przypadku powstanie możliwość wsparcia mniejszych jednostek w realizacji zadań przez np. samorządowe centra usług wspólnych lub wyspecjalizowane wydziały informatyzacji bądź cyberbezpieczeństwa w strukturach urzędów gmin i miast. Do rozważania pozostaje możliwość wzajemnego wspierania się w tym zakresie jednostek samorządu terytorialnego na podstawie porozumień lub przez powołane przez nie struktury (związki międzygminne, związki powiatowo-gminne itp )” – czytamy w opinii.

UMP zwraca również uwagę na kwestię niewystarczającego oszacowania kosztów wdrożenia Dyrektywy NIS 2 dla administracji lokalnej. W tym kontekście UMP zauważa również, że „w dokumencie opisującym analizę wpływy przyszłej regulacji Dyrektywy NIS 2 +Impact assesment+ zrównano wszystkie szczeble i wielkości samorządu lokalnego, gdy tymczasem istnieją duże różnice w możliwościach zapewnienia sprawnej realizacji zadań z zakresu cyberbezpieczeństwa w poszczególnych jednostkach samorządu terytorialnego, wynikające m.in. z odmiennej jakości infrastruktury, kompetencji oraz struktury zatrudnienia. Zróżnicowanie ma charakter pionowy (rodzaje jednostek samorządu terytorialnego) oraz horyzontalny (regiony UE). Uważamy, że oszacowania kosztów wdrożenia dyrektywy NIS 2 należy dokonać na etapie prac nad aktem. Ocenianie kosztów dopiero na etapie prac nad ustawą wdrażającą będzie działaniem spóźnionym dla jednostek samorządu terytorialnego, które będą ponosić niewspółmiernie duże koszty dostosowania się do przepisów nowej regulacji”.

Wątpliwości UMP budzi również zawarty w projekcie dyrektywy zapis dotyczący kwestii zgłaszania naruszeń. Zgodnie z projektem w przypadku gdy podmioty powezmą wiedzę o incydencie, powinny mieć obowiązek dokonania wstępnego zgłoszenia w ciągu 24 godzin, a następnie przedłożenia – w terminie nie dłuższym niż miesiąc – sprawozdania końcowego. Unia Metropoli Polskich postuluje przedłużenie terminu do maksymalnie 72 h dla podmiotów nie świadczących usług w trybie ciągłym (non stop np. 24/7 lub podobnym).

Jak czytamy w opinii, „uspójnienie terminów zgłaszania z incydentami GPRD (po polsku RODO) pozwoli na niezwiększanie kosztów osobowych za tzw. dyżury weekendowe. Zmniejszy to obciążenia przedsiębiorstw, ułatwi i usprawni zgłaszanie informacji wymaganych zgodnie z prawem Unii. Taki tryb powinien być zgodny z unijnymi przepisami o ochronie danych w zakresie danych osobowych”.

Kolejny fragment proponowanej dyrektywy, wobec którego UMP wyraża zastrzeżenia dotyczy administracyjnych kar pieniężnych. Projekt NIS 2 zakłada prawo do nakładania administracyjnych kar pieniężnych za nieprzestrzeganie obowiązków. UMP zauważa, że „w przypadku przedsiębiorstw są one bardzo duże (do 2 procent)”. W związku z tym UMP proponuje, by w przypadku kar administracyjnych nakładanych na podmioty administracji publicznej stosować rozwiązania funkcjonujące w RODO. W opinii zawarto również postulat, by doprecyzować na gruncie dyrektywy, czy w przypadku, w którym podmiot spełnia definicje administracji publicznej i jednocześnie jest przedsiębiorcą – istnieje możliwość zwolnienia go z obowiązku zapłaty kary. Według UMP na poziomie dyrektywy należy rozwiązać kwestię zróżnicowania kar w stosunku do podmiotów z tych samych sektorów i obowiązków a o różnym statusie (prywatny - publiczny), co pozwoli na uniknięcie zarzutów niekonstytucyjności prawa, jak w przypadku RODO. Zgodnie z kolejnym postulatem administracyjne kary pieniężne powinny być nakładane na organy a nie na osoby indywidualne.

Dodatkowo UMP stwierdza, że „w naszej ocenie należy zastanowić się nad wprowadzeniem mechanizmu wspierania podmiotów objętych zakresem regulacji. Jednym z rozwiązań może być przeznaczanie wyegzekwowanych administracyjnych kar pieniężnych na fundusz pożyczkowo - wspierający dla podmiotów, których sytuacja finansowa nie pozwala na wystarczające inwestowanie w obszary regulacji. Wsparcie z takiego mechanizmu miałoby charakter preferencyjny z możliwością umorzenia, w przypadku spełnienia wymagań. Alternatywnie proponujemy, by w miejsce odstraszających kar finansowych wobec osób odpowiedzialnych w podmiotach, wprowadzić zachęty dla podmiotów do wspólnego wykorzystywania ich indywidualnej wiedzy i praktycznego doświadczenia na szczeblu strategicznym, taktycznym oraz operacyjnym, w celu wzmocnienia zdolności w zakresie odpowiedniego oceniania i monitorowania cyberzagrożeń, obrony przed nimi i reagowania na nie”.

W tym celu UMP rekomenduje wprowadzenie i stosowanie tzw. ratingu cybersecurity, czyli publicznie dostępnych informacji o stanie ochrony przed cyberzagrożeniami (oraz stosowanie weryfikacji tych kryteriów w procesach gospodarczych), uruchomienie jako nagrody, usługi EU cybersecurity support, dostępnej za abonamentem dla podmiotów pomyślnie stosujących się do zaleceń i audytów, która by dawała wsparcie 24/7 albo ochronę typu „cloud cybersecurity” dla routerów i firewalli.

Swoje postulaty UMP zgłosiło również na forum Europejskiego Komitetu Regionów, by – jak czytam w opinii – „zostały rozpatrzone na jak najwcześniejszym etapie prac nad tym ważnym i potrzebnym aktem prawnym. Jednocześnie deklarujemy gotowość współpracy z Rządem Rzeczypospolitej Polskiej nad wypracowaniem ostatecznego brzmienia przepisów przedmiotowej regulacji”.

Wejście w życie dyrektywy NIS2 jest planowane na koniec 2021 roku lub rok 2022. Na wprowadzenie zawartych w niej rozwiązań do swoich systemów prawnych państwa członkowskie będą miały prawdopodobnie 18 miesięcy od chwili wejścia NIS2 w życie.

mam/