Polska pod lupą Komisji Europejskiej. Poszło o NIS2 i CER

Komisja Europejska wszczęła dwa postępowania przeciwko Polsce z powodu opóźnień w implementacji dyrektyw dotyczących cyberbezpieczeństwa oraz odporności podmiotów krytycznych.

Przewodnicząca KE Ursula von der Leyen i premier Donald Tusk

Źródło zdjęć: © GETTY | Omar Marques

oprac. PC

28.11.2024 | aktual.: 28.11.2024 19:57

Polska znalazła się w gronie 24 państw członkowskich Unii Europejskiej, które nie wdrożyły na czas dyrektywy NIS2, mającej na celu podniesienie poziomu cyberbezpieczeństwa w UE. Termin implementacji upłynął 17 października, a dyrektywa obejmuje podmioty działające w kluczowych sektorach, takich jak usługi komunikacji elektronicznej, zarządzanie usługami ICT, energetyka, transport, zdrowie czy administracja publiczna.

Zobacz także

Nowa Komisja Europejska wybrana. Nie poparły jej prawicowe ugrupowania w Parlamencie Europejskim

Komisja Europejska, powołując się na potrzebę zwiększenia odporności na incydenty cybernetyczne w całej wspólnocie, w czwartek skierowała formalne zawiadomienia do rządów państw, które nie wywiązały się z obowiązku implementacji. Kraje te mają dwa miesiące na odpowiedź. Jeśli Komisja uzna, że działania są niewystarczające, może wystosować uzasadnioną opinię, a w dalszej kolejności skierować sprawę do Trybunału Sprawiedliwości UE.

Dalsza część artykułu pod materiałem wideo

Polska nie wdrożyła dyrektyw NIS2 i CER

Za wdrożenie dyrektywy NIS2 w Polsce odpowiada Ministerstwo Cyfryzacji, które odpowiada za przygotowanie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 2018 r. Proponowane zmiany przewidują m.in. procedurę uznawania dostawców sprzętu lub oprogramowania za tzw. dostawców wysokiego ryzyka, co ma zapobiec udostępnianiu danych innym państwom. Projekt spotkał się jednak ze sprzeciwem małych i średnich operatorów telekomunikacyjnych, obawiających się utraty dostępu do sprzętu.

Operatorzy argumentują, że nowelizacja nie opiera się na kryteriach technicznych dotyczących bezpieczeństwa urządzeń, lecz wprowadza kryterium państwa pochodzenia dostawcy. W praktyce oznacza to wykluczenie dostawców spoza UE lub NATO, w tym głównie chińskich firm.

Równocześnie KE wszczęła postępowanie w sprawie niewdrożenia przez Polskę dyrektywy CER dotyczącej odporności podmiotów krytycznych. Dyrektywa, której termin implementacji również minął 17 października, przesuwa akcent z ochrony infrastruktury krytycznej na zwiększenie odporności podmiotów obsługujących tę infrastrukturę, rozszerzając zakres sektorów objętych przepisami z dwóch do jedenastu, w tym energetykę, transport, zdrowie, wodę, bankowość i infrastrukturę cyfrową. Tak jak w przypadku dyrektywy NIS2, 24 państwa członkowskie mają dwa miesiące na udzielenie odpowiedzi Komisji Europejskiej.