W opublikowanym na wiosnę projekcie ustawy o krajowym systemie cyberbezpieczeństwa zaniepokoił nas kształt załączników do ustawy – zgodnie z ich brzmieniem, w wykazie podmiotów kluczowych znalazły się takie podmioty z branży wyrobów medycznych jak:
- Podmioty produkujące wyroby medyczne uznane za mające krytyczne znaczenie podczas danego stanu zagrożenia zdrowia publicznego („wykaz wyrobów medycznych o krytycznym znaczeniu w przypadku stanu zagrożenia zdrowia publicznego”) w rozumieniu art. 22 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/123;
- Podmioty produkujące wyroby medyczne w rozumieniu art. 2 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/745;
- Podmioty produkujące wyroby medyczne do diagnostyki in vitro w rozumieniu art. 2 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/746.
Wskazana propozycje regulacji przekraczały wymogi określone w przepisach dyrektywy NIS2, na podstawie, której wyłącznie pierwsza z kategorii podmiotów została włączona do zbioru podmiotów kluczowych, natomiast pozostałe dwie kategorie podmiotów został wskazane jako podmioty ważne.
W naszej ocenie przedstawiony Projekt przewidywał zdecydowanie zbyt daleko idące zmiany w stosunku do Dyrektywy NIS2. Autorzy Dyrektywy NIS2 w trakcie prac nad tym aktem dokonali podziału na sektory kluczowe i ważne, w zależności od tego, jak bardzo ich znaczenie jest zasadnicze dla ich sektorów lub świadczonych prze nie usług. Jako Izba POLMED zwróciliśmy uwagę, że przyjęcie znacznie szerszego zakresu podmiotów kluczowych w Projekcie niż w Dyrektywie NIS2 może skutkować obniżeniem atrakcyjności prowadzenia działalności w Polsce względem pozostałych państw członkowskich Unii Europejskiej. Dodatkowo, producenci wyrobów medycznych oraz wyrobów medycznych do diagnostyki in vitro i tak objęci są stosownymi sektorowymi regulacjami, które nakładają na nich obowiązki w zakresie cyberbezpieczeństwa. Zarówno rozporządzenie UE 2017/745 w sprawie wyrobów medycznych i rozporządzenie UE 2017/746 w sprawie wyrobów medycznych do diagnostyki laboratoryjnej przewidują wysokie standardy dotyczące ryzyka w cyberprzestrzeni.
Przyjęcie ustawy w zaproponowanym przez Ministerstwo Cyfryzacji pierwotnym kształcie wiązałoby się ze zdecydowanie szerszymi możliwościami podjęcia działań nadzorczych przez odpowiednie organy krajowe – podmioty kluczowe podlegają surowszym regulacjom niż podmioty ważne;
Ministerstwo Cyfryzacji, czyli autorzy projektu ustawy wprowadzającej do polskich przepisów dyrektywę NIS2 przychylili się do naszej argumentacji i w udostępnionym na stronie RCL podsumowaniu konsultacji publicznych znalazła się informacja o uwzględnieniu naszej uwagi.