Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze krytycznej obejmie wiele podmiotów z sektora energetycznego i ich podwykonawców, twierdzą eksperci Baker McKenzie. Część firm w Polsce wciąż nie jest świadoma nowych przepisów. Bez szybkiego wdrożenia odpowiednich procedur narażają się one na wysokie kary.
fot. iStockCelem Dyrektywy NIS2 z 2022 roku, która w Polsce została implementowana dopiero w tym roku poprzez zmianę ustawy o Krajowym Systemie Cyberbezpieczeństwa, jest podniesienie bezpieczeństwa cybernetycznego w spółkach o znaczeniu strategicznym. Najważniejsze obowiązki firm objętych ustawą to zarejestrowanie się w rządowej bazie oraz wdrożenie zarządzania cyberbezpieczeństwem. Ponadto mają obowiązek zgłaszania incydentów w 24 godziny oraz zakaz współpracy z podmiotami wysokiego ryzyka. Zdaniem ekspertów prawidłowo stosowane przepisy NIS2 powinny pomóc uniknąć zdarzeń podobnych do tego, jakie miało miejsce w grudniu ubiegłego roku, gdy wykryto w Polsce wrogą aktywność w systemach spółek OZE i jednej elektrociepłowni.
Kumulacja przepisów unijnych wyzwaniem dla inwestycji strategicznych
„Dyrektywa NIS2 jest ściśle związana z globalnymi i regionalnymi wyzwaniami w obszarze cyberbezpieczeństwa – mówi Agnieszka Skorupińska, partnerka kierująca praktyką zrównoważonego rozwoju i transformacji energetycznej w warszawskim biurze Baker McKenzie. – W energetyce ogniskują się wchodzące w tej chwili w życie lub procedowane właśnie na poziomie unijnym i krajowym przepisy dotyczące ochrony systemów, sieci, urządzeń i danych, jak również podstawowej infrastruktury wytwórczej i przesyłowej. Prawie jednocześnie na horyzoncie pojawiają się też przepisy kolejnych aktów prawnych: NC CS, CER, CRA, EU Data Act. Dostosowanie do nowych przepisów to spore wyzwanie, a kary za niezgodność będą bardzo wysokie. Nowe przepisy wpływają też na inwestycje energetyczne w toku realizacji, w tym inwestycje z sektora jądrowego, OZE czy BESS”.
Zmiany zachodzące w prawie szczególnie wpływają na branżę energetyczną. Jednak znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje podmioty z wszystkich sektorów gospodarki uznanych za najważniejsze lub ważne. Oprócz energetyki są to również transport lotniczy i kolejowy, infrastruktura cyfrowa, ochrona zdrowia, gospodarka odpadami i inne. Objęci są nią również poddostawcy przedsiębiorstw z tych branż.
Alarmujący brak świadomości wśród mniejszych podmiotów i podwykonawców
„Z naszych obserwacji wynika, iż niektóre, najważniejsze podmioty w branży są świadome zmian w prawie i zadbały już o rozwiązania zapewniające bezpieczeństwo cybernetyczne albo intensywnie pracują nad spełnieniem wymagań NIS2 i polskiej ustawy – mówi Radosław Nożykowski, kierujący praktyką obronności oraz cyberbezpieczeństwa w Baker McKenzie w Warszawie. – Tej świadomości nie ma natomiast wśród podmiotów mniejszych i ich poddostawców. Zapoznanie się z przepisami ustawy, rozstrzygnięcie czy podmiot podlega jej przepisom, rejestracja w systemie i audyt poddostawców to absolutne minimum, jakie powinna wykonać firma działająca w branży”.
Pierwszym krokiem firm powinna być analiza, czy nowe obowiązki w ogóle ich dotyczą. Muszą przede wszystkim ustalić, czy są tzw. podmiotem kluczowym albo ważnym. Następnie pojawia się konieczność zarejestrowania w publicznej bazie, czyli Systemie S46, do 3 października 2026 roku. Kolejnym krokiem jest wdrożenie systemu zarządzania bezpieczeństwem informacji w firmach zgodnego z normami ISO 27001 lub równoważnego. jeżeli podmiot nie posiada dotychczas tego rodzaju systemu, powinien wziąć pod uwagę, iż na wdrożenie go będzie miał zaledwie rok.
Kolejne istotne kwestie to precyzyjne obowiązki raportowania incydentów. Dla sektora OZE, a także BESS kluczowa natomiast jest lista dostawców wysokiego ryzyka, którą tworzył będzie minister cyfryzacji. jeżeli okaże się, iż dany podmiot i jego produkty stwarzają zagrożenie dla bezpieczeństwa i w konsekwencji trafi on na listę dostawców wysokiego ryzyka, firmy w Polsce nie będą mogły podjąć z nimi współpracy. Przedsiębiorstwa, które korzystają już z produktów dostawcy z czarnej listy, będą musiały zakończyć z nim współpracę. To oznacza również konieczność całkowitej zmiany stosowanych rozwiązań.
Nawet 100 mln zł kary dla przedsiębiorstw i odpowiedzialność osobista zarządu
Eksperci Baker McKenzie zwracają uwagę na surowość kar przewidzianych w nowych regulacjach. Mogą one dotyczyć zarówno firm, jak i członków zarządu i menedżerów odpowiedzialnych za bezpieczeństwo cyfrowe. Kary powiązane są z wysokością obrotu przedsiębiorstwa lub wynagrodzenia indywidualnego. W przypadku naruszenia przepisów powodujących poważne incydenty cyberbezpieczeństwa zagrażające obronności, zdrowiu publicznemu lub bezpieczeństwu publicznemu przewidziano maksymalną karę 100 mln złotych lub 2 proc. rocznego przychodu przedsiębiorstwa. Członkowie zarządu lub kierownicy jednostek, którzy dopuścili się rażącego zaniedbania w tym obszarze mogą zostać ukarani grzywną sięgającą 300 proc. ich rocznego wynagrodzenia.
Komentarze ekspertów z branży energetycznej
Zdaniem przedstawicieli branży incydent, który w ubiegłym roku dotknął sektor OZE w Polsce, oraz wprowadzenie nowych przepisów powinno działać mobilizująco na przedsiębiorców sektora energetycznego:
„Wykryty w grudniu incydent bezpieczeństwa z pewnością zwiększył świadomość tego rodzaju zagrożeń – mówi Paweł Konieczny, wiceprezes zarządu Polskiego Stowarzyszenia Energetyki Słonecznej. – Wdrożenie przepisów NIS2 z pewnością będzie wyzwaniem dla wielu przedsiębiorców choćby ze względu na wzrost kosztów operacyjnych, jednak specyfika branży i jej strategiczny charakter wymagają poważnego potraktowania zagrożeń cyberbezpieczeństwa. Bez wątpienia z takimi wyzwaniami lepiej poradzą sobie duże podmioty, działające profesjonalnie, które już teraz przygotowują się do wdrożenia NIS2”.
„Magazyn energii to cyfrowo sterowany zasób systemowy, w którym warstwa informatyczna decyduje równocześnie o trzech rzeczach: o przychodach z rynku, o bezpieczeństwie fizycznym samych baterii i o zgodności z obowiązkami regulacyjnymi – wszystkie trzy w skali sekund – mówi Tomasz Adamski, starszy dyrektor ds. Badań i Analiz Polskiego Stowarzyszenia Magazynowania Energii. – Branża rozumie wagę cyberbezpieczeństwa z prostego powodu – stało się ono rdzeniem jej modelu biznesowego. Realnym wyzwaniem jest dziś operacyjne dostosowanie do rosnącej liczby wymagań regulacyjnych, które nakładają się na siebie”.
„Sektor energetyki jądrowej jest bardzo wysoko regulowany, jeżeli chodzi o wszelkie formy bezpieczeństwa i jest to bezwzględny priorytet już na etapie projektowania a dalej budowy elektrowni jądrowej – mówi Monika Silva, zastępca dyrektora generalnego Izby Gospodarczej Energetyki i Ochrony Środowiska. – Łańcuchy dostaw są ściśle sprawdzane na etapie zamówień a zmiany w prawie stanowią podmiot ciągłego monitoringu. „Safety and security” to są dwa najważniejsze słowa dla tej branży”.
„Przed największym wyzwaniem stoją mniejsze firmy, w tym z sektora OZE, które mogą nie mieć świadomości zmian, a jednocześnie bardzo liczą się z kosztami – mówi Ewa Kwapis, wiceprezes zarządu Transition Technologies-Systems, firmy członkowskiej IGEOS. – Z punktu widzenia cyberbezpieczeństwa zadbanie o wysoki standard zabezpieczeń w branży ma sens. Jednak konieczność poniesienia kosztów dostosowania do nowego prawa lub wręcz wymiany technologii, jeżeli dostawca trafi na listę wysokiego ryzyka, będzie dla mniejszych podmiotów dużo trudniejszy do udźwignięcia”








