Komisja Europejska (KE) rozpoczęła dwa postępowania przeciwko Polsce za opóźnienia we wdrażaniu dyrektyw UE dotyczących cyberbezpieczeństwa oraz odporności podmiotów krytycznych. Problem dotyczy także większości krajów Unii Europejskiej, jednak jego skutki dla Polski mogą być poważne.
NIS2: Dlaczego to kluczowa dyrektywa?
Dyrektywa NIS2, której termin implementacji upłynął 17 października 2024 roku, została stworzona, aby podnieść poziom cyberbezpieczeństwa w całej UE. Jej zapisy dotyczą szerokiego wachlarza sektorów krytycznych, takich jak:
- publiczne usługi komunikacji elektronicznej,
- zarządzanie usługami ICT,
- gospodarka odpadami i ściekami,
- przestrzeń kosmiczna,
- ochrona zdrowia,
- energetyka, transport oraz administracja publiczna.
Główne cele dyrektywy to zwiększenie odporności na cyberataki i usprawnienie współpracy międzynarodowej w dziedzinie cyberbezpieczeństwa. Polska, jako jeden z 24 krajów członkowskich, nie zdążyła wdrożyć tych przepisów, co rodzi ryzyko kar finansowych i osłabienia ochrony infrastruktury krytycznej.
CER: Od ochrony do odporności
Podobny problem dotyczy dyrektywy CER, której celem jest wzmocnienie odporności podmiotów obsługujących infrastrukturę krytyczną. W odróżnieniu od wcześniejszych przepisów, skupia się ona nie tylko na ochronie fizycznej infrastruktury, ale także na jej zdolności do funkcjonowania w obliczu zagrożeń, takich jak ataki terrorystyczne, klęski żywiołowe czy sabotaż.
Dyrektywa CER rozszerzyła również zakres sektorów objętych ochroną z dwóch do jedenastu, w tym:
- bankowość,
- infrastruktura cyfrowa,
- transport,
- sektor wodny.
Brak wdrożenia tych przepisów do polskiego prawa oznacza opóźnienie w zapewnieniu większej odporności krytycznych systemów.
Działania Komisji Europejskiej
W związku z niewdrożeniem obu dyrektyw KE skierowała formalne zawiadomienia do 24 państw członkowskich, w tym Polski. Rządy mają dwa miesiące na odpowiedź. W przypadku braku satysfakcjonującego wyjaśnienia Komisja może wystosować uzasadnioną opinię, co otworzy drogę do skierowania sprawy do Trybunału Sprawiedliwości UE.
Konsekwencje dla Polski
Polska może stanąć w obliczu nie tylko postępowań sądowych i potencjalnych kar finansowych, ale także utraty wiarygodności na arenie międzynarodowej. Brak implementacji przepisów może również zwiększyć podatność na cyberataki i inne zagrożenia, szczególnie w kluczowych sektorach gospodarki.
Co dalej?
Rząd w Warszawie musi jak najszybciej podjąć kroki w celu implementacji obu dyrektyw. W przeciwnym razie Polska nie tylko naraża się na kary ze strony UE, ale również osłabia swoją zdolność do reagowania na współczesne zagrożenia. Działania te są kluczowe nie tylko dla zgodności z prawem UE, ale przede wszystkim dla bezpieczeństwa infrastruktury i obywateli.
