KSC: czy wdrożenie dyrektywy NIS2 musi być skomplikowane?
Ze względu na swoją obszerność i częste zmiany, projekt ustawy wdrażającej dyrektywę NIS2 jest bardzo skomplikowany– tak w interpretacji, jak i przyszłym stosowaniu. W dyskusji publicznej uwaga skupia się przede wszystkim na dostawcy wysokiego ryzyka (DWR). Z tego powodu brakuje przestrzeni na rozmowy na temat sposobu wdrożenia pozostałych przepisów NIS2. Szum informacyjny przykrywa wiele złożonych zagadnień, które budzi duży niepokój przedsiębiorców. Warto wydobyć na wierzch kilka z nich.
Niuanse i pułapki dotyczące wstrzymania działalności gospodarczej
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażający NIS2, zawiera rozbudowany pakiet tzw. środków nadzorczych. W celu egzekwowania przepisów KSC właściwy organ może wydać szereg różnych nakazów. (1) Jeżeli podmiot kluczowy (jeden z dwóch głównych typów przedsiębiorców podlegających przepisom KSC) nakazu nie wykona, wówczas pojawia się możliwość wstrzymania koncesji, zezwolenia, czy wprost działalności (2) takiego podmiotu na 14 dni. (3) Wniesienie skargi wyłącznie na wstrzymanie działalności nie blokuje tego środka. Co więcej, środek ten może być przedłużany o kolejne okresy 14-dniowe. (4) Nic dziwnego, że przyszłe podmioty kluczowe, patrząc na regulację dotyczącą wstrzymania działalności, wstrzymują też oddech.
KSC zawiera niespójność, która wprowadza w błąd. W projekcie przewidziano możliwość wniesienia skargi administracyjnej zarówno na nakazy, jak i na wstrzymanie działalności, lecz tylko wniesienie skargi na nakaz powoduje „nie stosowanie” (5) wstrzymania działalności. Wniesienie skargi na samo wstrzymanie działalności nie powoduje „nie stosowania” tego środka. Przez 14 dni (i kolejne okresy przedłużenia) podmiot kluczowy będzie zamrożony. Czy takie było zamierzenie projektu? Niekoniecznie. Ta niespójność prawdopodobnie wynika ze stopnia skomplikowania projektu. KSC zawiera odesłania kaskadowe, w których łatwo stracić orientację.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.