Szanowni Państwo Ministrowie,

w roku 2018 nadejdzie termin transpozycji dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Rodzi to konieczność przyjęcia przepisów prawa krajowego prowadzących do implementacji norm dyrektywy. W Polsce w celu wykonania dyrektywy przygotowywany jest projekt ustawy o krajowym systemie cyberbezpieczeństwa znajdujący się w wykazie prac legislacyjnych i programowych Rady Ministrów. Za jego przygotowanie odpowiedzialne jest Ministerstwo Cyfryzacji. Dyrektywa stawia minimalne wymogi cyberbezpieczeństwa operatorom usług kluczowych, którymi w Polsce są m.in. wszystkie duże firmy energetyczne. Wciąż jednak nie wiadomo ile dokładnie firm będzie objętych przepisami dyrektywy oraz ustawy o krajowym systemie cyberbezpieczeństwa oraz czy za niespełnienie wymogów będą groziły kary - w Wielkiej Brytanii mogą one sięgnąć 4 proc. przychodów lub 18 mln funtów. Nieznane są także dokładne kryteria zaliczenia do grona operatorów usług kluczowych. W tym zakresie dyrektywa w swojej treści posługuje się zwrotami niedookreślonymi jak np. „kluczowe znaczenie” czy „istotny skutek zakłócający”.

Niemniej istotna niż przepisy ustawy jest współpraca spółek Skarbu Państwa w wyżej opisanym zakresie. W marcu 2017 r. Polskie Sieci Elektroenergetyczne S.A. podpisały porozumienie o współpracy z Energa S.A. Kluczowa w zwalczaniu cyberzagrożeń będzie współpraca wymienionych wyżej spółek, ponieważ samodzielna obrona systemów informatycznych może zagrażać bezpieczeństwu energetycznemu Polski.

Dodatkowy obowiązek w opisywanym wyżej zakresie przewiduje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, które stwierdza, że administrator danych powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych.

W związku z powyższym, kieruję do Państwa Ministrów następujące pytania:

1.       Ile podmiotów zostanie objętych obowiązkiem stosowania norm dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego                 wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii i projektowanej ustawy o krajowym systemie cyberbezpieczeństwa jako operatorzy usług kluczowych?
2.       Jakie będą szczegółowe kryteria zaliczenia do grona operatorów usług kluczowych w prawie krajowym?
3.       Czy przewidziane są kary za niespełnienie wymogów cyberbezpieczeństwa przez operatorów usług kluczowych?
4.       Na czym polegać będzie współpraca między Polskimi Sieciami Elektroenergetycznymi S. A. i Energa S.A. w zakresie cyberbezpieczeństwa energetycznego?
5.       Czy do grona spółek Skarbu Państwa współpracujących ze sobą w zakresie cyberbezpieczeństwa dołączą także inne spółki poza wymienionymi w pytaniu trzecim?