Dyrektywa NIS 2 w sektorze spożywczym – aktualizacja projektu

1 dzień temu

Dyrektywa NIS 2 w sektorze spożywczym – aktualizacja projektu ustawy

Dyrektywa NIS 2 w sektorze spożywczym była tematem pierwszej części naszego opracowania: „NIS2 w sektorze spożywczym (część 1)”, w którym omawiamy ogólne zasady dyrektywy oraz obowiązki firm z branży rolno-spożywczej. Niniejszy wpis stanowi jego aktualizację – koncentrujemy się na zmianach wynikających z najnowszego projektu ustawy oraz ich praktycznym znaczeniu dla przedsiębiorstw.

Obecnie w Sejmie realizowane są prace legislacyjne nad zmodyfikowanym rządowym projektem ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (druk 1955), który ma na celu pełne wdrożenie wymogów, jakie wprowadza dyrektywa NIS 2, do polskiego porządku prawnego. Po I czytaniu na posiedzeniu Sejmu projekt został skierowany do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii.

Nowe zasady kwalifikacji podmiotów w ramach dyrektywy NIS 2

Dostępny na stronie Sejmu projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa wprowadza nowe krajowe zasady kwalifikacji podmiotów jako kluczowych i ważnych:

Podmiot najważniejszy

Podstawowe kategorie podmiotów kluczowych, które wprowadza dyrektywa NIS 2

Podmiot najważniejszy – osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 1 do ustawy, która przewyższa wymogi dla średniego przedsiębiorstwa określone w art. 2 ust. 1 załącznika I do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. Urz. UE L 187 z 26.06.2014, str. 1, z późn. zm. )), zwanego dalej „rozporządzeniem 651/2014/UE”;

2)przedsiębiorca komunikacji elektronicznej, który co najmniej spełnia wymogi dla średniego przedsiębiorcy określone w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE albo je przewyższa;

3)dostawca usług zarządzanych w zakresie cyberbezpieczeństwa, który co najmniej spełnia wymogi dla małego albo średniego przedsiębiorcy określone w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE albo je przewyższa;

Podmioty uznawane za najważniejsze niezależnie od wielkości w świetle wymogów, jakie stawia dyrektywa NIS 2

4) niezależnie od wielkości podmiotu:

a) dostawca usług DNS,

b) kwalifikowany dostawca usług zaufania w rozumieniu art. 3 pkt 20 rozporządzenia 910/2014,

c) podmiot krytyczny,

d)podmiot publiczny wskazany w załączniku nr 1 do ustawy w sektorze podmioty publiczne,

e) podmiot zidentyfikowany jako podmiot najważniejszy na podstawie art. 7l ust. 2 pkt 1,

f) państwowa osoba prawna zidentyfikowana jako podmiot najważniejszy na podstawie art. 7m,

g) podmiot, który nie jest przedsiębiorcą, a jest wskazany w załączniku nr 1 do ustawy z nazwy albo przez określenie jego rodzaju,

h) podmiot będący operatorem obiektu energetyki jądrowej, o którym mowa w art. 2 pkt 2 ustawy z dnia 29 czerwca 2011 r. o przygotowaniu i realizacji inwestycji w zakresie obiektów energetyki jądrowej oraz inwestycji towarzyszących (Dz. U. z 2025 r. poz. 1156),

i) rejestr nazw domen najwyższego poziomu (TLD),

j) podmiot świadczący usługi rejestracji nazw domen. Osoba fizyczna, prawna lub jednostki organizacyjne przekraczające wymogi średniego przedsiębiorstwa, przedsiębiorcy komunikacji elektronicznej spełniający wymogi średniego przedsiębiorstwa oraz niezależności od wielkości: dostawcy usług DNS, dostawcy usług zarządzania w zakresie cyberbezpieczeństwa, kwalifikowani dostawcy usług zaufania, podmioty krytyczne, podmioty publiczne i rejestry nazw domen najwyższego poziomu.

Podmiot ważny

Podstawowe kategorie podmiotów ważnych, jakie określa dyrektywa NIS 2

Podmiot ważny – osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 1 do ustawy, która spełnia wymogi dla średniego przedsiębiorcy określone w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE oraz która nie jest podmiotem kluczowym;

2) osoba fizyczna, osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej wskazana w załączniku nr 2 do ustawy, która spełnia wymogi dla średniego przedsiębiorcy określone w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE lub przewyższa te wymogi oraz która nie jest podmiotem kluczowym;

Dodatkowe kategorie podmiotów ważnych, jakie wprowadza dyrektywa NIS 2

3) niekwalifikowany dostawca usług zaufania będący mikro-, małym lub średnim przedsiębiorcą, o którym mowa w art. 2 ust. 1 załącznika I do rozporządzenia 651/2014/UE;

4) przedsiębiorca komunikacji elektronicznej będący mikro- lub małym przedsiębiorcą, o którym mowa w art. 2 ust. 2 i 3 załącznika I do rozporządzenia 651/2014/UE;

5) podmiot będący inwestorem obiektu energetyki jądrowej. O tym obiekcie mowa w art. 2 pkt 2 ustawy z dnia 29 czerwca 2011 r. Ustawa dotyczy przygotowania i realizacji inwestycji w zakresie obiektów energetyki jądrowej oraz inwestycji towarzyszących. Podmiot uzyskał decyzję zasadniczą, o której mowa w art. 3a ust. 1 tej ustawy. Jest objęty przepisami niezależnie od jego wielkości;

6) podmiot zidentyfikowany jako podmiot istotny na podstawie art. 7l ust. 2 pkt 2.;

7) podmiot, który nie jest przedsiębiorcą. Jest wskazany w załączniku nr 2 do ustawy z nazwy albo przez określenie jego rodzaju;

8) podmiot publiczny, który nie jest podmiotem kluczowym. Jest samorządową jednostką budżetową, samorządowym zakładem budżetowym albo samorządową instytucją kultury. Może też być spółką wykonującą zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy. Chodzi o ustawę z dnia 20 grudnia 1996 r. o gospodarce komunalnej (Dz. U. z 2021 r. poz. 679). Podmiot ten realizuje zadanie publiczne z wykorzystaniem systemów informacyjnych. Chodzi też o osobę fizyczną, osobę prawną lub jednostki organizacyjne spełniające wymogi średniego przedsiębiorstwa. Takie podmioty nie są podmiotami kluczowymi. Dotyczy to również niekwalifikowanych dostawców usług zaufania będących mikro-, małymi lub średnimi przedsiębiorstwami.

Jak dyrektywa NIS 2 wpływa na sektor spożywczy

Sektor spożywczy jako „sektor ważny”

Zgodnie z załącznikiem nr 2 do projektu ustawy jako sektor istotny wskazano sektor związany z produkcją, przetwarzaniem i dystrybucją żywności, do którego zaliczono Przedsiębiorstwa spożywcze w rozumieniu art. 3 pkt 2 rozporządzenia (WE) nr 178/2002 Parlamentu Europejskiego i Rady z dnia 28 stycznia 2002 r

Produkcja, przetwarzanie i dystrybucja żywności Przedsiębiorstwa spożywcze w rozumieniu art. 3 pkt 2 rozporządzenia (WE) nr 178/2002 Parlamentu Europejskiego i Rady z dnia 28 stycznia 2002 r. ustanawiające ogólne zasady i wymagania prawa żywnościowego, powołujące Europejski Urząd ds. Bezpieczeństwa Żywności oraz ustanawiające procedury w zakresie bezpieczeństwa żywności, zajmujące się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem (Dz. Urz. UE L 31 z 01.02.2002, str. 1, z późn. zm.[1]))

W uzasadnieniu do projektu ustawy wskazano, że:

Incydent związany z produkcją i dystrybucją żywności może doprowadzić do zaburzenia łańcuchów dostaw żywności, stąd też to właśnie dyrektywa NIS 2 obejmuje ten sektor zakresem swoich regulacji.

W ramach tego sektora wyróżniono:

• Przedsiębiorstwa spożywcze w rozumieniu art. 3 pkt 2 rozporządzenia (WE) nr 178/2002 Parlamentu Europejskiego i Rady z dnia 28 stycznia 2002 r. ustanawiające ogólne zasady i wymagania prawa żywnościowego, powołujące Europejski Urząd ds. Bezpieczeństwa Żywności oraz ustanawiające procedury w zakresie bezpieczeństwa żywności, zajmujące się dystrybucją hurtową oraz przemysłowymi produkcją i przetwarzaniem (Dz. Urz. UE L 31 z 01.02.2002, str. 1, z późn. zm.).

Analogicznie jak w sektorze produkcji, wytwarzania i dystrybucji chemikaliów, do niniejszego sektora zaliczają się rozłącznie zarówno przedsiębiorstwa zajmujące się dystrybucją, produkcją jak i przetwarzaniem. Aby podlegać pod przepisy niniejszej ustawy nie zachodzi konieczność zajmowania się powyższą działalnością łącznie.

Terminy wejścia w życie i obowiązki przejściowe

Projekt ustawy wskazuje, iż ustawa wejdzie w życie po upływie miesiąca od dnia ogłoszenia. Podmioty, które z dniem wejścia w życie niniejszej ustawy będą spełniały przesłanki uznania ich za podmiot kluczowy. Albo będą spełniały przesłanki uznania ich za podmiot ważny, realizują obowiązki określone w rozdziale 3 ustawy. Realizują te obowiązki w terminie 6 miesięcy od dnia wejścia w życie niniejszej ustawy.

W związku z tym podmioty, które z dniem wejścia w życie niniejszej ustawy będą spełniały przesłanki uznania ich za podmiot kluczowy. Albo będą spełniały przesłanki uznania ich za podmiot ważny, będą obowiązane zarejestrować się w wykazie. Chodzi o wykaz podmiotów kluczowych i podmiotów ważnych, prowadzony zgodnie z harmonogramem. Harmonogram zostanie określony przez Ministra adekwatnego do spraw informatyzacji. Jest to najważniejszy etap praktycznego wdrażania tego, co wymaga dyrektywa NIS 2 w Polsce.


Podstawowe obowiązki podmiotów przewidziane w projekcie ustawy (druk 1955):

– wdrożenie systemu zarządzania bezpieczeństwem informacji w systemie informacyjnym wykorzystywanym w procesach wpływających na świadczenie usługi przez ten podmiot, zapewniającego:

System zarządzania bezpieczeństwem informacji (ISMS)

1)prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;

2)wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka, skutki społeczne i gospodarcze, w szczególności:

a) polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityki tematyczne,

b) bezpieczeństwo w procesie nabywania, rozwoju, utrzymania i eksploatacji systemu informacyjnego, w tym testowanie systemu informacyjnego,

c) bezpieczeństwo fizyczne i środowiskowe uwzględniające kontrole dostępu,

d) bezpieczeństwo zasobów ludzkich,

e) bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT, usług ICT i procesów ICT, od których zależy świadczenie usługi.
Z uwzględnieniem związków pomiędzy bezpośrednim dostawcą sprzętu lub systemu a podmiotem kluczowym lub podmiotem ważnym.

f) wdrażanie, dokumentowanie, testowanie i utrzymywanie planów ciągłości działania umożliwiających ciągłe i niezakłócone świadczenie usługi.
Oraz zapewniających poufność, integralność, dostępność i autentyczność informacji, planów awaryjnych oraz planów odtworzenia działalności.
Umożliwiających odtworzenie systemu informacyjnego po zdarzeniu, które spowodowało straty przekraczające zdolności podmiotu do odbudowy.
Za pomocą własnych środków.

g) objęcie systemu informacyjnego wykorzystywanego do świadczenia usług systemem monitorowania w trybie ciągłym,

h) polityki i procedury oceny skuteczności środków technicznych i organizacyjnych,

i) edukację z zakresu cyberbezpieczeństwa dla personelu podmiotu,

j) podstawowe zasady cyberhigieny,

k) polityki i procedury stosowania kryptografii, w tym w stosownych przypadkach szyfrowania,

l) stosowanie bezpiecznych środków komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa oraz wewnątrz podmiotu, uwzględniających uwierzytelnianie wieloskładnikowe w stosownych przypadkach,

m) zarządzanie aktywami,

n) polityki kontroli dostępu;

Monitorowanie zagrożeń i zarządzanie incydentami – co wymaga dyrektywa NIS 2

3) zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi;

4) zarządzanie incydentami;

5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi, w tym:

a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,

b) regularne przeprowadzanie aktualizacji oprogramowania, stosownie do zaleceń producenta. Z uwzględnieniem analizy wpływu aktualizacji na bezpieczeństwo świadczonej usługi oraz poziomu krytyczności poszczególnych aktualizacji,

c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,

d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub cyberzagrożeń.
W tym również czasowe ograniczenie ruchu sieciowego przychodzącego do infrastruktury podmiotu kluczowego lub podmiotu ważnego. Które może skutkować zakłóceniem usług świadczonych przez ten podmiot. Z uwzględnieniem konieczności minimalizacji skutków ograniczenia dostępności tych usług. Z uwagi na podjęte działania.

[1] Sprostowanie rozporządzenia zostało ogłoszone w Dz. Urz. UE L 179 z 7.07.2007, str. 59, Dz. Urz. UE L 327 z 12.11.2014, str. 9 oraz Dz. Urz. UE L 37 z 13.02.2015, str. 24, zmiany rozporządzenia zostały ogłoszone w Dz. Urz. UE L 245 z 29.09.2003, str. 4, Dz. Urz. UE L 100 z 8.04.2006, str. 3, Dz. Urz. UE L 60 z 5.03.2008, str. 17, L 188 z 18.07.2009, str. 14, Dz. Urz. UE L 189 z 27.06.2014, str. 1, Dz. Urz. UE L 35 z 10.02.2017, str. 10, Dz. Urz. UE L 117 z 5.05.2017, str. 1, Dz. Urz. UE L 198 z 25.07.2019, str. 241, Dz. Urz. UE L 231 z 6.09.2019, str. 1 oraz Dz. Urz. UE L 908 z 20.03.2024, str. 1.

Na koniec śledzimy prace nad projektem ustawy, która wdraża w Polsce wymagania, jakie nakłada dyrektywa NIS 2. Na bieżąco będziemy informować o aktualizacjach projektu, zwłaszcza w zakresie przewidywanych nowych obowiązków dla firm z sektora spożywczego.

Eksperci przygotowujący artykuł

  • Piotr Włodawiec – Radca prawny / Starszy Partner
  • Magdalena Maria Woźniak – Adwokat
  • Aniela Kufel – studentka
Piotr Włodawiec
Branżowy Radca prawny / Starszy Partner
[email protected]


Skontaktuj się z nami

Chcesz dowiedzieć się, jakie działania będą najlepsze w Twojej sytuacji?
Wypełnij krótki formularz kontaktowy poniżej — odezwiemy się i bezpłatnie przedstawimy możliwe scenariusze działania oraz zakres wsparcia.

Idź do oryginalnego materiału
  1. Strona główna
  2. RODO i dane osobowe
  3. Dyrektywa NIS 2 w sektorze spożywczym – aktualizacja projektu

Powiązane

Elon Musk w fabryce Samsunga w Teksasie. Stawką przyszłość procesorów

Elon Musk w fabryce Samsunga w Teksasie. Stawką przyszłość p...

4 godzin temu
Tesla z najgorszym wynikiem sprzedaży od lat. Koniec ulg i zimny prysznic dla Elona Muska

Tesla z najgorszym wynikiem sprzedaży od lat. Koniec ulg i z...

9 godzin temu
Koniec cwaniactwa w sieci. UE szykuje bat na sklepy

Koniec cwaniactwa w sieci. UE szykuje bat na sklepy

1 dzień temu
Rekordowy wynik na rynku elektryków. Tesla vs. chińscy giganci

Rekordowy wynik na rynku elektryków. Tesla vs. chińscy gigan...

1 dzień temu
Allegro wróciło na tron. Temu łapie świąteczną zadyszkę

Allegro wróciło na tron. Temu łapie świąteczną zadyszkę

1 dzień temu
Gemini z nowymi funkcjami. Ma być lepszy od Map Google

Gemini z nowymi funkcjami. Ma być lepszy od Map Google

1 dzień temu
Gdzie wyświetlają się reklamy Google Ads w wyszukiwarce? Formaty reklamowe w Google

Gdzie wyświetlają się reklamy Google Ads w wyszukiwarce? For...

1 dzień temu
Kamery monitoringu sąsiada obejmują mój dom i posesję. Czy to legalne? Prezes UODO podjął istotną decyzję

Kamery monitoringu sąsiada obejmują mój dom i posesję. Czy t...

1 dzień temu