Stawka VAT dla usług transportowych
W przypadku posiadania odpowiedniej dokumentacji, pytający ma prawo zastosować stawkę 0% VAT do wskazanej usługi. W innym przypadku powinien zastosować podstawową stawkę 23% VAT.
Miejsce świadczenia usług transportu towarów dla innych podatników zostało uregulowane w art. 28b i art. 28f ust. 1a ustawy o podatku od towarów i usług (dalej: VATU). Zasadniczo usługa przewozu towarów, która wykonywana jest na rzecz innego przedsiębiorcy, opodatkowana jest w miejscu siedziby usługobiorcy lub w stałym miejscu prowadzenia działalności (gdy jest wykonywana dla stałego miejsca prowadzenia działalności). Na zasadzie wyjątku, jeżeli nabywcą usługi transportu towarów jest inny polski podatnik VAT, a usługa w całości wykonywana jest poza terytorium Unii Europejskiej, to państwem opodatkowania tej usługi jest terytorium znajdujące się poza terytorium Unii Europejskiej (art. 28f ust. 1a pkt 1 VATU).
Pytający w pytaniu wskazał, iż otrzymał zlecenie od polskiego podmiotu na transport towarów na trasie Polska–Wielka Brytania. W związku z tym Autor zakłada, że usługi transportowe, o których mowa, nie są w całości wykonywane poza terytorium Unii Europejskiej. Nie ma zatem podstaw do ustalenia miejsca świadczeniu usług w oparciu o szczególną regułę wyrażoną w art. 28f ust. 1a VATU.
W następstwie powyższego, zastosowanie znajdzie zasada ogólna i usługa wykonana na rzecz polskiego przedsiębiorcy na trasie Polska–Wielka Brytania będzie opodatkowana w Polsce.
Wątpliwości pytającego dotyczą stawki VAT dla wykonywanej usługi. Co do zasady niniejszy przewóz towarów objęty będzie VAT w stawce 23%.
Zgodnie z art. 83 ust. 1 pkt 23 VATU stawkę podatku w wysokości 0% stosuje się m.in. do usług transportu międzynarodowego. Jak natomiast stanowi art. 83 ust. 3 pkt 1 lit. c VATU pod pojęciem usług transportu międzynarodowego towarów rozumie się m.in. transport z miejsca wyjazdu (nadania) na terytorium kraju do miejsca przyjazdu (przeznaczenia), poza terytorium Unii Europejskiej.
Stawkę VAT w wysokości 0% podatnik ma prawo zastosować do całej wartości usługi, pod warunkiem posiadania dokumentów, o których mowa w art. 83 ust. 5 pkt 1 VATU. Dokumentami stanowiącymi dowód wyświadczenia usługi są – w przypadku transportu towarów przez przewoźnika lub spedytora – list przewozowy lub samochodowy dokument spedytorski, stosowany wyłącznie w komunikacji międzynarodowej, lub inny dokument, z którego jednoznacznie wynika, że w wyniku przewozu z miejsca nadania do miejsca przeznaczenia nastąpiło przekroczenie granicy z państwem trzecim, oraz faktura wystawiona przez przewoźnika (spedytora).
Podsumowując, w przypadku posiadania odpowiedniej dokumentacji, pytający ma prawo zastosować stawkę 0% VAT do wskazanej usługi. W innym przypadku powinien zastosować podstawową stawkę 23% VAT.
Usługi w ramach B2B wykonywane poza UE a ZUS
W opisanym przypadku przedsiębiorca nadal będzie podlegał ubezpieczeniom społecznym w Polsce z tytułu prowadzonej działalności gospodarczej.
W tej sytuacji zaświadczenie A1 nie zostanie wystawione. Dokument ten jest wymagany wyłącznie w krajach członkowskich UE, w państwach EOG (Islandia, Liechtenstein, Norwegia) oraz w Szwajcarii. Zaświadczenie A1 potwierdza, że pracownik, zleceniobiorca lub osoba prowadząca działalność gospodarczą podlega określonemu systemowi ubezpieczeń społecznych w związku ze świadczeniem pracy na terytorium innego państwa.
Prowadzenie pozarolniczej działalności gospodarczej lub współpraca przy jej prowadzeniu może stanowić jeden z kilku tytułów do objęcia ubezpieczeniami społecznymi. Osoba prowadząca działalność, jak i osoba współpracująca, może równolegle pozostawać w stosunku pracy, wykonywać zlecenia, prowadzić inną działalność lub pełnić służbę.
Osoby prowadzące działalność pozarolniczą oraz osoby z nimi współpracujące, które z tego tytułu obowiązkowo podlegają ubezpieczeniom emerytalnemu i rentowym, są również objęte obowiązkowym ubezpieczeniem wypadkowym. Ubezpieczenie chorobowe w tym przypadku ma charakter dobrowolny i obejmuje zainteresowaną osobę na jej wniosek.
Jeżeli prowadzenie działalności lub współpraca przy niej nie stanowi jedynego tytułu do podlegania ubezpieczeniom społecznym, to osoba taka podlega ubezpieczeniom obowiązkowo bądź dobrowolnie – w zależności od sytuacji. W przypadku obowiązkowych ubezpieczeń obejmują one emerytalne, rentowe i wypadkowe, natomiast chorobowe przystępuje się na wniosek.
Z kolei osoba, która z tytułu prowadzonej działalności lub współpracy podlega dobrowolnie ubezpieczeniom emerytalnemu i rentowym, po zgłoszeniu obejmowana jest także ubezpieczeniem wypadkowym, ale nie podlega ubezpieczeniu chorobowemu.
Podatek od towarów i usług jako koszt uzyskania przychodu
Przepisy ustawy o podatku dochodowym od osób fizycznych wyraźnie wskazują, kiedy VAT naliczony może stanowić koszt uzyskania przychodu. Wśród takich sytuacji nie został wymieniony brak odliczenia z uwagi na błędy na fakturze. Oznacza to, że w opisanym przypadku podatnik nie ma prawa zaliczyć do kosztów uzyskania przychodów kwoty brutto (razem z VAT). Jednocześnie należy wspomnieć, że brak NIP na fakturze zakupu nie pozbawia podatnika prawa do odliczenia VAT z niej wynikającego. Brak NIP jest jedynie wadą techniczną (brakiem formalnym), a jeśli faktura odzwierciedla prawdziwe zdarzenie gospodarcze, to brak ten nie pozbawia podatnika prawa do odliczenia VAT wynikającego z takiej faktury.
W przepisach ustawy o podatku dochodowym od osób fizycznych został zawarty został katalog wydatków, których nie uważa się za koszty uzyskania przychodów. I tak, za koszty uzyskania przychodów nie uważa się m.in. VAT, z tym że kosztem uzyskania przychodu jest podatek naliczony w poniższych sytuacjach:
1) jeżeli podatnik zwolniony jest od VAT lub nabył towary i usługi w celu wytworzenia albo odprzedaży towarów lub świadczenia usług zwolnionych od VAT,
2) w tej części, w której zgodnie z przepisami ustawy o podatku od towarów i usług podatnikowi nie przysługuje obniżenie kwoty lub zwrot różnicy VAT – jeżeli naliczony VAT nie powiększa wartości środka trwałego lub wartości niematerialnej i prawnej.
Przepisy ustawy o podatku od towarów i usług wskazują, w jakich sytuacjach podatnik nie ma prawa do obniżenia kwoty VAT należnego o podatek naliczony – wśród tych przypadków nie został wymieniony brak numeru NIP na fakturze. Oznacza to – co również niejednokrotnie potwierdzały organy podatkowe – że w przypadku, gdy brak jest NIP na fakturze otrzymanej od kontrahenta, nie jest to podstawą do zakwestionowania prawa podatnika do odliczenia VAT wynikającego z takiego dokumentu. Zatem brak numeru NIP nie przesądza o braku prawa do odliczenia (zob. np. interpretacja indywidualna Dyrektora KIS z 24.8.2022 r., 0114-KDIP1-3.4012.306.2022.2.KP).
Skoro zatem – zgodnie z utrwalonym już stanowiskiem organów, jak i sądów administracyjnych – podatnik ma prawo do odliczenia VAT z takiej faktury, nie jest możliwe ujęcie jej w kwocie brutto w kosztach podatkowych. Odliczenie VAT naliczonego jest prawem podatnika, nie jego obowiązkiem – podatnik nie może zatem wybierać w dowolny sposób, czy odliczy VAT, a do kosztów ujmie kwotę netto, czy też nie odliczy VAT (mimo takiego prawa), a do kosztów zakwalifikuje kwotę brutto.
Przyjęcie zgłoszenia dotyczącego dyskryminacji od sygnalisty
Tak, ale tylko w określonych przypadkach.
Sygnalista może dokonać zawiadomienia o naruszeniu prawa, które dotyczy dyskryminacji, w oparciu o obszar konstytucyjnych wolności i praw człowieka i obywatela. Dodatkowo, aby zgłoszenie to było zgodne z art. 3 ust. 1 pkt 17 ustawy o ochronie sygnalistów (dalej: OchrSygnalU) musi mieć związek z organami władzy publicznej i nie może pokrywać się z obszarem dotyczącym:
- korupcji,
- zamówień publicznych,
- usług, produktów i rynków finansowych,
- przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu,
- bezpieczeństwa produktów i ich zgodności z wymogami,
- bezpieczeństwa transportu, ochrony środowiska,
- ochrony radiologicznej i bezpieczeństwa jądrowego,
- bezpieczeństwa żywności i pasz,
- zdrowia i dobrostanu zwierząt,
- zdrowia publicznego,
- ochrony konsumentów,
- ochrony prywatności i danych osobowych,
- bezpieczeństwa sieci i systemów teleinformatycznych,
- interesów finansowych Skarbu Państwa Rzeczypospolitej Polskiej,
- jednostki samorządu terytorialnego oraz Unii Europejskiej,
- rynku wewnętrznego Unii Europejskiej, w tym publicznoprawnych zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych.
Konstytucyjne wolności i prawa człowieka i obywatela regulują przepisy rozdziału II Konstytucji Rzeczypospolitej Polskiej. Art. 32 Konst jasno wskazuje, że wszyscy są wobec prawa równi i mają prawo do równego traktowania przez władze publiczne oraz nikt nie może być dyskryminowany w życiu politycznym, społecznym lub gospodarczym z jakiejkolwiek przyczyny.
Do Powiatowego Urzędu Pracy przyszła bezrobotna kobieta w wieku około 50 lat, która złożyła wniosek o dofinansowanie do otwarcia działalności gospodarczej. Kobieta spełniła wszelkie formalności, które były wymagane do otrzymania dofinansowania. Pracownik PUP odmówił przyznania kobiecie środków twierdząc, że ma już zbyt wiele lat, żeby móc prowadzić działalność o takim charakterze. Współpracownik siedzący obok postanowił dokonać zgłoszenia w charakterze sygnalisty, gdyż w jego opinii doszło do przejawów dyskryminacji. Powyższe zgłoszenie należy przyjąć i przeprowadzić postępowanie wyjaśniające.
Zgłoszenie dotyczące konstytucyjnych wolności i praw człowieka i obywatela, nie musi być przyjęte, jeśli będzie związane z obszarami wymienionych w art. 3 ust. 1 pkt 1–16 OchrSygnalU. Zgłoszenie w obszarze wolności i praw człowieka i obywatela nie musi być również przyjęte, gdy nie dotyczy sytuacji w związku z działaniem organu władzy publicznej. Warto nadmienić, że podmiot może podjąć decyzję o tym, aby w ramach procedury zgłoszeń wewnętrznych przyjmować zgłoszenia inne niż wymienione w art. 3 ust. 1 pkt 1–17 OchrSygnalU. Zgłoszenia te mogą dotyczyć regulacji wewnętrznych lub standardów etycznych zgodnych z powszechnie obowiązującymi przepisami prawa. W oparciu o powyższe, jeśli wewnętrzna procedura zgłoszeń przewiduje przyjęcie zgłoszenia o naruszenie standardów etycznych, a w tym dyskryminacji, takie zgłoszenie należy przyjąć i przeprowadzić zgodnie z procedurą.
Limit dochodów dziecka uczącego się do 25. roku życia dla wspólnego rozliczenia z rodzicem
Limit dochodów dziecka uczącego się w szkołach, uprawnionego do 25. roku życia, w celu wspólnego rozliczenia z rodzicem wynosi obecnie 22 546,92 zł.
Zgodnie z art. 6 ust. 4 ustawy o podatku dochodowym od osób fizycznych (dalej: PDOFizU), od dochodów jednego rodzica lub opiekuna prawnego, podlegającego nieograniczonemu obowiązkowi podatkowemu (art. 3 ust. 1 PDOFizU), będącego panną, kawalerem, wdową, wdowcem, rozwódką, rozwodnikiem, osobą w separacji, lub osobą, której małżonek został pozbawiony praw rodzicielskich albo odbywa karę pozbawienia wolności, jeżeli rodzic lub opiekun samodzielnie wychowuje dzieci, można na wniosek w rocznym zeznaniu podatkowym obliczyć podatek zgodnie z art. 6 ust. 4d PDOFizU. Dotyczy to:
1) dzieci małoletnich,
2) dzieci pełnoletnich, które otrzymywały zasiłek lub dodatek pielęgnacyjny albo rentę socjalną,
3) dzieci pełnoletnich do ukończenia 25. roku życia, uczących się w szkołach, o których mowa w przepisach regulujących system oświatowy lub szkolnictwo wyższe.
W takim przypadku podatek jest określany w podwójnej wysokości podatku obliczonego od połowy dochodów osoby samotnie wychowującej dzieci, z uwzględnieniem art. 7 PDOFizU. Do sumy dochodów nie wlicza się dochodów lub przychodów opodatkowanych w sposób zryczałtowany na zasadach określonych w ustawie (art. 6 ust. 4d PDOFizU).
W przypadku dzieci pełnoletnich uczących się do ukończenia 25. roku życia wspólne rozliczenie nie przysługuje, jeśli dziecko w roku podatkowym uzyskało:
1) dochody (z wyjątkiem renty rodzinnej) podlegające opodatkowaniu według skali podatkowej lub podatkiem liniowym (art. 27 i art. 30b PDOFizU), lub
2) przychody objęte zwolnieniem z podatku (art. 21 ust. 1 pkt 148 i 152 PDOFizU, np. zerowy PIT dla młodych lub ulga na powrót)
– w łącznej wysokości przekraczającej 12-krotność kwoty renty socjalnej określonej w ustawie o rencie socjalnej w wysokości obowiązującej w grudniu roku podatkowego.
Miejsce postojowe dla pracownika niepełnosprawnego
Przepisy nie nakładają na pracodawcę obowiązku zapewnienia indywidualnego miejsca parkingowego dla niepełnosprawnego pracownika.
Stosownie do postanowień art. 207 § 2 Kodeksu pracy, pracodawca ma chronić zdrowie i życie pracowników przez zapewnienie im bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki. W szczególności pracodawca jest obowiązany organizować pracę w sposób zapewniający bezpieczne i higieniczne warunki pracy, zapewniać przestrzeganie w zakładzie pracy przepisów bhp, wydawać polecenia usunięcia uchybień w tym zakresie oraz kontrolować wykonanie tych poleceń, a także reagować na ich potrzeby oraz dostosowywać środki podejmowane w celu doskonalenia istniejącego poziomu ochrony zdrowia i życia pracowników, biorąc pod uwagę zmieniające się warunki wykonywania pracy.
W myśl art. 4 ust. 5 ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych, posiadanie orzeczenia o znacznym albo umiarkowanym stopniu niepełnosprawności nie wyklucza możliwości zatrudnienia takiej osoby u pracodawcy niezapewniającego warunków pracy chronionej, w przypadkach:
1) przystosowania przez pracodawcę stanowiska pracy do potrzeb osoby niepełnosprawnej,
2) zatrudnienia w formie telepracy.
Biorąc pod uwagę powyższe, przepisy nie obligują pracodawcy do dostosowania stanowisk pracy dla osób posiadających orzeczenie o stopniu niepełnosprawności w stopniu lekkim.
Przepisy nie nakładają również obowiązku, bez względu na stopień niepełnosprawności pracownika, aby pracodawca zapewniał takiej osobie indywidualne miejsce parkingowe. Obowiązek zapewnienia miejsc dla osób niepełnosprawnych, przy czym też nie indywidualnych, a ogólnodostępnych, może spoczywać na zarządcy danego budynku, przy czym nie muszą to być miejsca nieodpłatne. Liczba takich miejsc, zgodnie z przepisami rozporządzenia w sprawie wykonania niektórych przepisów ustawy o drogach publicznych, powinna być uzależniona od łącznej liczby miejsc postojowych, przy czym nie powinna być mniejsza niż:
1) 1 stanowisko dla osób niepełnosprawnych – jeżeli liczba stanowisk wynosi 6–15,
2) 2 stanowiska dla osób niepełnosprawnych – jeżeli liczba stanowisk wynosi 16–40,
3) 3 stanowiska dla osób niepełnosprawnych – jeżeli liczba stanowisk wynosi 41–100,
4) 4% ogólnej liczby stanowisk – jeżeli ogólna liczba stanowisk wynosi więcej niż 100.
Mając na uwadze powyższe, zapewnienia indywidualnego miejsca parkingowego dla niepełnosprawnego pracownika stanowi wyłącznie dobrą wolę pracodawcy. W przypadku pozytywnego rozpatrzenia wniosku pracownika pracodawca może pobierać od niego opłaty w takiej samej wysokości, jak od pozostałych pracowników.
Legalne korzystanie z automatycznej selekcji kandydatów w świetle AI Act i Kodeksu pracy
Wykorzystanie sztucznej inteligencji (AI) w procesach rekrutacyjnych, choć oferuje znaczną oszczędność czasu, wprowadza nowe, istotne ryzyka prawne dla pracodawców. AI Act wymaga, aby nad systemami wysokiego ryzyka zapewniony był skuteczny nadzór ludzki. Oznacza to, że ostateczna decyzja o odrzuceniu lub zaakceptowaniu kandydata nie może należeć wyłącznie do algorytmu. Pracownik działu HR musi mieć możliwość weryfikacji i zmiany decyzji podjętej przez system.
Zgodnie z AI Act, systemy AI wykorzystywane do rekrutacji i selekcji osób fizycznych, w szczególności do anonsowania ofert, filtrowania lub oceny aplikacji, są klasyfikowane jako systemy wysokiego ryzyka. Taka klasyfikacja nakłada na pracodawcę (jako użytkownika systemu) szereg konkretnych obowiązków. Przede wszystkim, proces selekcji nie może być w pełni zautomatyzowany.
Kolejnym kluczowym aspektem jest zgodność z przepisami o ochronie danych osobowych. Pracodawca jako administrator danych, musi:
1) spełnić obowiązek informacyjny (art. 13 i 14 RODO) – klauzula rekrutacyjna musi zawierać wyraźną informację, że dane kandydata będą przetwarzane w sposób zautomatyzowany przez system AI w celu selekcji.
2) zapewnić podstawę prawną – o ile przetwarzanie danych z CV odbywa się na podstawie art. 22¹ Kodeksu pracy, o tyle na zautomatyzowane podejmowanie decyzji, które wywołuje skutki prawne, co do zasady wymagana jest wyraźna zgoda kandydata (art. 22 ust. 2 RODO).
3) przeprowadzić ocenę skutków dla ochrony danych (DPIA) – ze względu na dużą skalę przetwarzania i nowe technologie, jest to niezbędne do zidentyfikowania i zminimalizowania ryzyk.
Równie istotne jest zapobieganie dyskryminacji (art. 18³ᵃ Kodeksu pracy). Algorytmy mogą uczyć się historycznych uprzedzeń, np. preferując kandydatów o określonej płci lub w określonym wieku na dane stanowiska.
Jeżeli historyczne dane, na których trenowany był algorytm, wskazują, że na stanowiskach technicznych dominowali mężczyźni, system AI może zacząć niżej oceniać CV kobiet, nawet jeśli posiadają identyczne kwalifikacje. Pracodawca musi być w stanie wykazać, że kryteria stosowane przez algorytm są obiektywne, merytoryczne i niedyskryminujące. W tym celu konieczne jest regularne testowanie i audytowanie używanego oprogramowania.
Wdrożenie AI w rekrutacji wymaga zatem nie tylko wyboru odpowiedniego narzędzia, ale przede wszystkim stworzenia wewnętrznych procedur zapewniających transparentność, nadzór i zgodność z wieloma regulacjami prawnymi.
Brak dokumentów źródłowych będących podstawą ujęcia operacji w księgach rachunkowych
Operacje na rachunku bankowym nie mogą być ujmowane na podstawie dowodów zastępczych. W tym wypadku jednostka powinna dostarczyć wyciągi bankowe. Jeśli dokonane zostały operacje bankowe, co wynika z innych dowodów, jedyne co może zrobić księgowość, to ująć je na koncie „Środki pieniężne w drodze” do czasu otrzymania wyciągów bankowych. W przypadku, gdy brak wyciągów z winy kontrahenta, jest to podstawa do odmowy podpisania sprawozdania finansowego.
W księgach rachunkowych ujmuje się operacje gospodarcze na podstawie dokumentów źródłowych. W przypadku operacji gospodarczych takimi dowodami są wyciągi bankowe. Nie można księgować operacji gospodarczych dotyczących przepływu środków pieniężnych na podstawie innych dowodów. Jeśli z treści innych dowodów wynika, iż płatność była dokonana z wykorzystaniem rachunku bankowego, to ująć taką operację można na koncie „Środki pieniężne w drodze”.
Zatem jeśli zostały dokonane operacje zapłaty przelewami, to powinny zostać ujęte na koncie „Środki pieniężne w drodze”. Późniejsze otrzymanie wyciągów powinno być księgowane w korespondencji z tym kontem w zakresie operacji, o których już wiemy, i które zostały zrealizowane przelewami. W przypadku operacji, o których takiej wiedzy nie ma, księgowanie następuje bezpośrednio z kontami, których operacje te przeprowadzono. Późniejsze otrzymanie wyciągów nie może być zaksięgowane wstecz. Biuro rachunkowe powinno zaksięgować te operacje wskazując datę ich przeprowadzenia, wynikającą z wyciągu, ale przyporządkowując (data księgowania) do okresu, w którym kontrahent przedstawił dokumenty.
Należy przypomnieć, iż za sprawozdanie finansowe i rachunkowość odpowiada kierownik jednostki (zarząd spółki z o.o.), a biuro rachunkowe – za rzetelne wykonywanie postanowień umowy zgodnie z zasadami współpracy z kontrahentem.
Jeśli biuro rachunkowe nie otrzymało od kontrahenta wyciągów bankowych, nie może księgować operacji na koncie „Rachunek bankowy”. Jeśli z treści innych dowodów wynika, iż płatność została dokonana, to można ująć operację na koncie „Środki pieniężne w drodze”. Wtedy w przyszłości – pod datą księgowania otrzymanego z opóźnieniem wyciągu – ujmuje się taką operację w korespondencji z kontem „Rachunek bankowy”. Na przykład w 2024 r. otrzymano dowód, iż pracownik wpłacił do banku 500 zł. Operacja zostanie ujęta zapisem: Wn „Środki pieniężne w drodze”/Ma „Rozrachunki z pracownikiem”. Transakcja wpłynie więc de facto na stan środków pieniężnych prezentowanych w bilansie, ponieważ konto „Środki pieniężne w drodze” jest prezentowane w pozycji „Środki pieniężne w kasie i na rachunkach bankowych”, ale zaksięgowanie na koncie „Rachunek bankowy” nastąpi dopiero pod datą księgowania wyciągu, czyli w 2025 r.
Jeśli nie ma informacji z innych dowodów, to księgowanie może zostać dokonane dopiero na podstawie wyciągu, czyli np. faktura za zobowiązania pozostaje nierozliczona do czasu uzyskania wyciągu (jeśli płatność według słów kontrahenta nastąpiła poprzez przelew bankowy).
Jeśli jest ustalona tylko część wyciągów, to saldo nie może być uznane za prawidłowe. Należy wykazać to saldo, które wynika z dokumentów i na przykład w informacji dodatkowej wskazać, iż według wyciągu powstało saldo „X”, ale posiadane dokumenty tego nie potwierdzają.
W biurze rachunkowym całą korespondencję (wymianę uwag) należy posiadać na piśmie, np. w mailach archiwizowanych. Najlepiej z zachowaniem ciągłości korespondencji. To jedyny dowód „twardy”, że biuro wywiązywało się ze swojej strony z umowy. Będą wątpliwości co do przekazywania informacji ustnie, telefonicznie.
Warto również przypomnieć, iż za rachunkowość odpowiada kierownik jednostki, a nie biuro rachunkowe.
Implementacja dyrektywy NIS 2 w prawie krajowym
Zagadnienia wstępne
Dyrektywa NIS 2 (ang. Directive on Security of Network and Information Systems 2) stanowi kluczowy element w systemie prawnym Unii Europejskiej, mający na celu poprawę poziomu cyberbezpieczeństwa państw członkowskich. Jej wprowadzenie jest odpowiedzią na dynamicznie rosnące zagrożenia cybernetyczne oraz wzrastającą złożoność i znaczenie infrastruktury cyfrowej zarówno w życiu codziennym jak i gospodarczym. Została przyjęta w grudniu 2022 roku, stanowiąc aktualizację pierwotnej Dyrektywy NIS i odzwierciedla zmieniające się podejście Unii Europejskiej do kwestii cyberbezpieczeństwa oraz nowych wyzwań w zakresie zagrożeń cybernetycznych. Ponadto wprowadza znacznie szerszy zestaw wymogów, obejmując większą liczbę podmiotów niż jej poprzedniczka. Celem działań UE jest bowiem stworzenie jednolitych, spójnych ram prawnych, które zapewnią jednakowy poziom ochrony przed zagrożeniami cyfrowymi w całej Wspólnocie oraz wzmocnią współpracę międzynarodową w dziedzinie cyberbezpieczeństwa.
Wobec narastającej liczby cyberataków na instytucje publiczne i prywatne oraz coraz bardziej złożonych zagrożeń, wdrożenie dyrektywy NIS 2 staje się priorytetem wymagającym uwzględnienia aspektów zarówno prawnych, jak i operacyjnych. Polska, podobnie jak inne państwa członkowskie, musi nie tylko dostosować swoje przepisy, ale również zapewnić skuteczne mechanizmy nadzoru i wspierać podmioty w realizacji nowych obowiązków.
Aktualne przepisy: Krajowy System Cyberbezpieczeństwa
Ustawa z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa, to pierwszy tego typu akt prawny w Polsce, który w zakresie swojej regulacji wdrożył dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6.7.2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii czyli Dyrektywę NIS. Głównym celem tego aktu prawnego było określenie krajowych ram prawnych umożliwiających ochronę systemów informatycznych oraz podniesienie zdolności do zapobiegania i reagowania na zagrożenie cybernetyczne przez operatorów usług kluczowych oraz dostawców usług cyfrowych (art. 3 ustawy o krajowym systemie cyberbezpieczeństwa). Krajowy system cyberbezpieczeństwa obejmuje operatorów usług kluczowych, dostawców usług cyfrowych, CSIRT MON, CSRIT NASK, CSRIT GOV, sektorowe zespoły cyberbezpieczeństwa, wybrane jednostki sektora finansów publicznych, instytuty badawcze, Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Polską Agencję Żeglugi Powietrznej, Polskie Centrum Akredytacji, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej, spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, Pojedynczy Punkt Kontaktowy, Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa oraz Kolegium do spraw Cyberbezpieczeństwa, ustawa obowiązuje od 28 sierpnia 2018 r.
Zgodnie z ustawą operatorzy usług kluczowych to podmioty świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej, których świadczenie uzależnione jest od funkcjonowania systemów informacyjnych, a incydent wywarłby istotny wpływ zakłócający dla świadczenia tej usługi kluczowej. Operatorów usług kluczowych odnajdziemy w takich sektorach jak: energetyka, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, zaopatrzenie w wodę pitną czy infrastruktura cyfrowa. Ich szczegółowy wykaz prowadzony jest przez ministra właściwego do spraw informatyzacji. Ustawa definiuje i obejmuje również swoim zasięgiem dostawców usług cyfrowych. Do usług cyfrowych zaliczane są: internetowe platformy handlowe, usługi przetwarzania w chmurze oraz wyszukiwarki internetowe.
Na podmioty objęte tym aktem prawnym nałożono szereg obowiązków. Operatorzy usług kluczowych są zobowiązani do wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji w zakresie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. W jego skład wchodzić powinny m.in. procedury dotyczące: szacowania ryzyka, eksploatacji systemu, bezpieczeństwa fizycznego systemu, bezpieczeństwa i ciągłości dostaw usług. Operatorzy usług kluczowych zobowiązani są również do obsługi i zgłaszania incydentów. Są oni zobligowani do klasyfikowania incydentów a w przypadku zakwalifikowania incydentu jako incydent poważny zgłoszenia go do właściwego CSIRT w ciągu 24 godzin od momentu jego wykrycia. Dodatkowo ich obowiązkiem jest współpraca z CSIRT w ramach obsługi incydentu oraz usunięcie podatność systemu. Ustawa zobowiązuje operatorów usług kluczowych do ustanowienia wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo (warto zauważyć, że przewiduje ona możliwość korzystania z outsourcingu usług bezpieczeństwa). Zobowiązani są oni do przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej raz na 2 lata. Na dostawców usług cyfrowych ze względy na transgraniczną specyfikę funkcjonowania tych podmiotów nałożono mniej wymagające obowiązki w zakresie zapewnienie cyberbezpieczeństwa świadczonych usług. Są zobowiązani do stosowania środków bezpieczeństwa adekwatnych do stopnia ryzyka, przy szczególnym uwzględnieniu: bezpieczeństwa systemów informacyjnych i obiektów, postepowania w przypadku obsługi incydentu, zarządzania ciągłością działania, najnowszego stanu wiedzy oraz monitorowania, audytowania i testowania. Zgodnie z art. 21 ustawy o krajowym systemie cyberbezpieczeństwa podmioty publiczne wchodzące w skład krajowego systemu cyberbezpieczeństwa mają obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemy cyberbezpieczeństwa. Ponadto podmioty publiczne zobowiązane są do zarządzania i obsługi incydentu oraz zgłoszenia go do właściwego CSIRT w ciągu 24 godzin od jego wykrycia.
Ustawa wyznacza trzy CSIRT na poziomie krajowym: CSIRT NASK, CSIRT GOV oraz CSRIT MON. Dla każdego z powołanych CSIRT przydzielone zostały podmioty, których obsługą będą się zajmować w zakresie przyjmowania zgłoszeń i raportów oraz udzielania wsparcia. Ponadto wszystkie trzy CSIRT-y mają za zadanie współpracować ze sobą oraz m.in. ministrem ds. informatyzacji czy Pełnomocnikiem ds. Cyberbezpieczeństwa. Inne zadania CSIRT-ów to m.in.: monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym, reagowanie na zgłoszone incydenty, współpraca z sektorowymi zespołami cyberbezpieczeństwa, wydawanie komunikatów o zidentyfikowanych zagrożeniach cyberbezpieczeństwa czy współpraca z innymi państwami UE. Jednym z fundamentalnych zadań CSIRT jest przyjmowanie i reagowanie na incydenty. Ustawa określa trzy poziomy incydentów:
- incydent – zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo,
- incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej,
- incydent krytyczny – incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV.
Ustawa przewiduje sprawowanie nadzoru i kontroli nad podmiotami krajowego systemu cyberbezpieczeństwa. Za nadzór nad każdym kluczowym sektorem gospodarki odpowiada organ właściwy do spraw cyberbezpieczeństwa, czyli ministrowie właściwi dla konkretnych działów administracji. Minister odpowiedzialny za informatyzację odpowiada za cywilne aspekty cyberbezpieczeństwa Rzeczypospolitej Polskiej, zaś jednym z głównych zadań Ministra Obrony Narodowej jest prowadzenie współpracy międzynarodowej Sił Zbrojnych Rzeczypospolitej Polskiej z odpowiednimi organami NATO, UE oraz innymi organizacjami międzynarodowymi w obszarze obrony narodowej w zakresie cyberbezpieczeństwa. Operatorzy usług kluczowych oraz dostawcy usług cyfrowych mogą podlegać karze od 1000 zł do 1 000 000 zł za zaniechanie lub niewypełnienie obowiązków wynikających z ustawy. Kary pieniężne nakłada organ odpowiedzialny za cyberbezpieczeństwo w formie decyzji, a środki pochodzące z tych kar zasilają budżet państwa.
Z uwagi na szeroki zakres tematyki cyberbezpieczeństwa, która obejmuje różne ministerstwa i agencje, ustawa ustanawia Kolegium ds. Cyberbezpieczeństwa oraz Pełnomocnika ds. Cyberbezpieczeństwa w celu koordynacji polityki na poziomie państwowym. Pełnomocnik, mianowany i odwoływany przez Prezesa Rady Ministrów, działa jako sekretarz lub podsekretarz stanu podlegający Radzie Ministrów. Jego zadania obejmują analizę i ocenę funkcjonowania systemu cyberbezpieczeństwa, nadzór nad zarządzaniem ryzykiem, opiniowanie dokumentów rządowych, promowanie nowych rozwiązań, inicjowanie ćwiczeń oraz wydawanie rekomendacji dla CSIRT. Ponadto pełnomocnik wspiera badania i rozwój technologiczny oraz podnosi świadomość społeczeństwa w zakresie cyberzagrożeń. Kolegium ds. Cyberbezpieczeństwa, pod przewodnictwem Prezesa Rady Ministrów, pełni zaś rolę opiniodawczo-doradczą. W jego skład wchodzą ministrowie odpowiedzialni za kluczowe obszary, Szef Kancelarii Premiera, Szef Biura Bezpieczeństwa Narodowego i inni przedstawiciele administracji oraz służb.
Dyrektywa NIS 2: kluczowe wymagania
Dyrektywa NIS 2 ustanawia środki, które mają na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii. Podyktowane jest to dążeniem do poprawy funkcjonowania rynku wewnętrznego Unii Europejskiej. W preambule do Dyrektywy ustawodawca unijny wskazuje, że jej celem jest wyeliminowanie rozbieżności, które pojawiły się na gruncie dyrektywy NIS 1, zwłaszcza poprzez zdefiniowanie minimalnych przepisów dotyczących funkcjonowania zharmonizowanych ram regulacyjnych, wprowadzenie mechanizmów skutecznego współdziałania między odpowiedzialnymi organami w poszczególnych państwach członkowskich, uaktualnienie wykazu sektorów i działań podlegających zakresom obowiązków w zakresie cyberbezpieczeństwa oraz wdrożenie sprawnych środków naprawczych i środków egzekwowania, które są istotne dla efektywnego egzekwowania tych obowiązków. Do głównych obowiązków wynikających z Dyrektywy NIS 2 należą:
- obowiązki państw członkowskich dotyczące przyjęcia krajowych strategii cyberbezpieczeństwa oraz wyznaczenia lub powołania właściwych organów, organów ds. zarządzania kryzysowego w cyberbezpieczeństwie, pojedynczych punktów kontaktowych ds. cyberbezpieczeństwa oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT),
- obowiązki w zakresie wdrażania środków zarządzania ryzykiem w cyberbezpieczeństwie oraz obowiązki w zgłaszania incydentów spoczywające na podmiotach w rodzaju tych, o których mowa w załączniku I (podmioty z sektora kluczowego) lub II (podmioty z sektora ważnego), jak również na podmiotach zidentyfikowanych jako podmioty o charakterze krytycznym na podstawie dyrektywy (UE) 2022/2557.
- zasady i obowiązki w zakresie wymiany informacji o cyberbezpieczeństwie,
- obowiązki w zakresie nadzoru i egzekwowania przepisów spoczywające na państwach członkowskich.
Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa
Implementacja unijnego prawodawstwa jakim jest Dyrektywa NIS 2 do krajowego porządku prawnego jest priorytetowym zadaniem dla państw członkowskich Wspólnoty, w celu zagwarantowania zharmonizowanego i skutecznego systemu cyberbezpieczeństwa na terenie całej Unii Europejskiej. W Polsce wdrożenie nowego prawodawstwa ma zostać zrealizowane poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa. Nowelizacja jest nie tylko formalnym obowiązkiem ciążącym na państwie członkowskim, ale również kluczowym krokiem ku zwiększeniu odporności na cyberzagrożenia w dynamicznie zmieniającym się środowisku cyfrowym. Wdrożenie nowych przepisów oznacza konieczność dostosowania krajowych regulacji do zaostrzonych wymogów NIS 2, co wiąże się z rozszerzeniem zakresu podmiotów objętych regulacją, wprowadzeniem bardziej szczegółowych procedur zarządzania ryzykiem oraz nowych obowiązków w zakresie raportowania incydentów. Oznacza to także zwiększenie uprawnień organów nadzoru i zaostrzenie sankcji, co ma na celu skuteczniejsze egzekwowanie przepisów. Najnowszy projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa został opublikowany 3 października 2024 r. i jest to już drugie wydanie nowelizacji w zakresie implementacji Dyrektywy NIS 2 do polskiego porządku prawnego. Tymczasem, zgodnie z wymogami nowego prawodawstwa unijnego, państwa członkowskie powinny wprowadzić nowe przepisy do porządku prawnego najpóźniej do 17 października 2024 r. To oznacza, że Polska już teraz zmaga się z presją czasową, aby zrealizować te zobowiązania. Mimo że projekt ten jest zapowiadany jako ostateczna wersja, proces legislacyjny jeszcze potrwa. Nawet przy zachowaniu optymalnych terminów i sprawnym przebiegu prac sejmowych, obowiązywanie nowych przepisów – według opinii ekspertów – może zacząć się dopiero pod koniec pierwszego kwartału 2025 r. Taka sytuacja wymaga nie tylko zintensyfikowania działań legislacyjnych, ale również przygotowania podmiotów objętych regulacją do szybkiego wdrożenia nowych wymogów. W związku z tym warto przyjrzeć się głównym założeniom nowelizacji ustawy o KSC, które mają na celu dostosowanie polskiego systemu prawnego do wymogów dyrektywy NIS2 oraz wzmocnienie krajowego systemu cyberbezpieczeństwa.
Na wstępie zaznaczyć należy, że nowelizacji ustawy o KSC jest dokumentem znacznie obszerniejszym niż jej pierwotna wersja, co wynika ze znacznie poszerzonego zakresu, który obejmuje ustawa. Wprowadzono wiele nowych definicji, rozszerzono zakres podmiotów objętych nową regulacją dodano również szczegółowe obowiązki związane z zarządzeniem cyberbezpieczeństwem.
Identyfikacja i rejestracja podmiotów kluczowych i podmiotów ważnych
Zmianie ulegają kryteria dotyczące identyfikacji podmiotów kluczowych i podmiotów ważnych. Do podmiotów kluczowych zaliczane są podmioty, które spełniają m.in. takie kryteria: znajdują się w załączniku nr 1 do ustawy i przewyższają wymogi średnich przedsiębiorstw według rozporządzenia Komisji (UE) nr 651/204, są przedsiębiorcami komunikacji elektronicznej spełniający lub przewyższający wymogi średnich przedsiębiorstw, dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa spełniający przynajmniej wymagania dla małych lub średnich przedsiębiorstw czy dostawcy usług DNS, kwalifikowani dostawcy usług zaufania, podmioty publiczne, operatorzy obiektów energetyki jądrowej niezależnie od ich wielkości. Podmiotami ważnymi są podmioty, które kwalifikują się jako przedsiębiorstwa średnie zgodnie z rozporządzeniem Komisji (UE) nr 651/2014, ale nie zostały uznane za podmioty kluczowe. Kategoria ta będzie obejmować m.in. niekwalifikowanych dostawców usług zaufania oraz małych przedsiębiorców w obszarze komunikacji elektronicznej. Podmioty kluczowe i ważne będą miały 3 miesiące na dokonanie samoanalizy i wniesienie wniosku o wpis do wykazów podmiotów kluczowych i ważnych od wejścia w życie ustawy. Na podmiotach kluczowych i ważnych spoczywa obowiązek dostarczenia i uzupełnienia określonych danych niezbędnych do prowadzenia rejestru podmiotów kluczowych i ważnych przez ministra właściwego do spraw informatyzacji. Za niedopełnienie tego obowiązku podmioty kluczowe i ważne mogą zostać objęte karami pieniężnymi.
System Zarządzania Bezpieczeństwem Informacji
Podmioty kluczowe i ważne muszą wdrożyć system zarządzania bezpieczeństwem informacji w zakresie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej lub ważnej. SZBI uwzględniać powinien takie elementy jak:
- szacowanie i zarządzanie ryzykiem wystąpienia incydentów;
- odpowiednie środki techniczne i organizacyjne proporcjonalne do oszacowanego ryzyka, takie jak: polityki bezpieczeństwa, polityki szacowania ryzyka, bezpieczeństwo nabywania i eksploatacji systemów, ciągłość łańcucha dostaw, edukacja i cyberhigiena personelu czy też stosowanie kryptografii oraz środków uwierzytelniania;
- zarządzanie incydentami i ich skutkami.
Podmioty mają również bardziej szczegółowe obowiązki obejmujące m.in. zbieranie informacji i zagrożeniach i podatnościach, zarządzanie incydentami (klasyfikacja, zgłaszanie, obsługa), wdrażanie planów awaryjnych i ciągłości działania.
Odpowiedzialność i nadzór
Zgodnie z nowelizacją kierownicy podmiotów kluczowych i ważnych ponoszą odpowiedzialność za realizację obowiązków w zakresie cyberbezpieczeństwa. Obowiązki kierowników obejmują m.in.: planowanie środków finansowych na cyberbezpieczeństwo, nadzór nad realizacją obowiązków oraz zapewnienie edukacji personelu, obowiązkowy udział w szkoleniach z obszaru cyberbezpieczeństwa, które muszą odbywać się co najmniej raz w roku. Sformułowano wymóg niekaralności dla osób realizujących zadania związane z cyberbezpieczeństwem.
Dokumentacja
Podmioty kluczowe i ważne muszą prowadzić i aktualizować dokumentację normatywną i operacyjną związaną z bezpieczeństwem systemów informacyjnych oraz zapewnić jej ochronę przed nieuprawnionym dostępem. Dokumentacja powinna być przechowywana przez co najmniej dwa lata od momentu jej wycofania.
Utrzymywanie kontaktu z podmiotami krajowego systemy cyberbezpieczeństwa
Podmioty kluczowe i ważne muszą wyznaczyć co najmniej dwie osoby odpowiedzialne za kontakty z krajowym systemem cyberbezpieczeństwa, zapewniają użytkownikom usług dostęp do informacji z zakresu cyberzagrożeń oraz umożliwiają im zgłaszanie cyberzagrożeń, incydentów i podatności związanych z ich usługami.
Obsługa incydentów i raportowanie
W zakresie obsługi incydentów i raportowania zmieniono wymagania dla podmiotów kluczowych i ważnych. Podmioty kluczowe i ważne muszą zapewnić obsługę incydentów i zgłaszać je do odpowiednich CSIRT-ów w ciągu określonych terminów tj. wczesne ostrzeżenie w ciągu 24 godzin od momenty wykrycia, zaś incydent poważny w ciągu 72 godzin od jego wykrycia. Inne obowiązki w tym zakresie obejmują przekazywanie sprawozdania z obsługi incydentów, w tym końcowe sprawozdanie, szczególnie w przypadku incydentów o charakterze poważnym oraz informowanie użytkowników usług o poważnych incydentach jeżeli mają one niekorzystny wpływ na świadczenie tych usług.
Audyt bezpieczeństwa dla podmiotów kluczowych
Podmioty kluczowe są zobowiązane do przeprowadzania audytów co najmniej raz na trzy lata. Audyty muszą być realizowane przez akredytowane jednostki lub odpowiednich audytorów spełniających określone kryteria. Podmioty kluczowe będą musiały przeprowadzić pierwszy audyt w ciągu 24 miesięcy od wejścia w życie ustawy (lub spełnienia kryteriów uznania za podmiot kluczowy).
Obowiązki rejestrów nazw domen najwyższego poziomu oraz zadania i obowiązki podmiotów świadczących usługi rejestracji nazw domen
Nowelizacja ustawy o KSC zawiera zupełnie nowy rozdział Obowiązki rejestrów nazw domen najwyższego poziomu oraz zadania i obowiązki podmiotów świadczących usługi rejestracji nazw domen, w związku z wyszczególnieniem i objęciem zasięgiem tych podmiotów w Dyrektywie NIS 2. Główne obowiązki tych podmiotów obejmują:
- gromadzenie i utrzymywanie dokładnych danych rejestracyjnych z należytą starannością;
- prowadzenie baz danych zawierających m.in. nazwę domeny, datę rejestracji, dane kontaktowe abonenta oraz informacje o punkcie kontaktowym, jeśli różni się od danych abonenta;
- wdrożenie procedur weryfikacji danych, obejmujące działania przed i po rejestracji, w celu zapewnienia ich dokładności i kompletności
- czy też publikacja w sposób publiczny danych rejestracyjnych.
Wspólne wykonywanie obowiązków z zakresu cyberbezpieczeństwa przez podmioty publiczne
Nowelizacja ustawy o KSC w miejsce uchylonego Rozdziału 5. Obowiązki podmiotów publicznych, ustanawia Rozdział 3b. Wspólne wykonywanie obowiązków z zakresu cyberbezpieczeństwa przez podmioty publiczne. Podmiot publiczny realizuje obowiązki, o których mowa w art. 7b ust. 4, art. 7c, art. 7f ust. 3, art. 8, art. 8d, art. 8e, art. 8f, art. 9–12b i art. 15 – a więc obowiązki ciążące na podmiotach kluczowych. Jest to duża zmiana w porównaniu do obecnie obowiązującej ustawy, kiedy to podmioty publiczne były traktowane stosunkowo łagodnie i dotyczyło ich nie wiele obowiązków, które były nakładane na operatorów usług kluczowych. Rozdział ten przewiduje możliwość wyznaczania podległych jednostek do realizacji obowiązków związanych z cyberbezpieczeństwem przez ministrów, centralne organy administracji, wojewodów oraz jednostki samorządu terytorialnego. Podmioty publiczne współpracują z wyznaczonymi jednostkami poprzez przekazywanie informacji o incydentach, stosowanie się do decyzji dotyczących bezpieczeństwa, publikowanie informacji na stronach internetowych i udział w szkoleniach. Wyznaczone jednostki określają terminy na przekazywanie informacji o incydentach i zgłaszają wczesne ostrzeżenia oraz raporty do CSIRT-ów w imieniu podmiotów publicznych.
Ocena bezpieczeństwa
Kolejny nowy rozdział w stosunku do obowiązującej ustawy to Rozdział 6a. Ocena bezpieczeństwa. Opisuje zasady, warunki i procedury przeprowadzania testów bezpieczeństwa systemów informacyjnych przez CSIRT MON, CSIRT NASK, CSIRT GOV oraz CSIRT-y sektorowe. Głównym celem jest identyfikacja podatności tych systemów w ramach testów bezpieczeństwa. Ocena bezpieczeństwa może być przeprowadzana za zgodą podmiotu krajowego systemu cyberbezpieczeństwa, wyrażoną pisemnie lub elektronicznie, bądź na zlecenie organu odpowiedzialnego za cyberbezpieczeństwo. W przypadku instytucji państwowych, takich jak Kancelaria Sejmu, Trybunał Konstytucyjny czy Najwyższa Izba Kontroli, wymagana jest ich zgoda. Przed rozpoczęciem oceny, CSIRT-y informują właściwy organ nadzorujący o swoim zamiarze. Podczas procesu muszą minimalizować zakłócenia w funkcjonowaniu systemu i unikać nieodwracalnego zniszczenia danych. Po przeprowadzeniu oceny CSIRT-y sporządzają raport, który przekazują podmiotowi, którego system został oceniony. Jeśli stwierdzona podatność może dotyczyć innych systemów, CSIRT-y zobowiązane są poinformować o tym ministra właściwego ds. informatyzacji oraz Pełnomocnika.
Zadania ministrów: do spraw informatyzacji, energii oraz Obrony Narodowej
Zadania ministra właściwego do spraw informatyzacji oraz Ministra Obrony Narodowej w odniesieniu do ustawy o KSC zostały poszerzone. Minister do spraw informatyzacji otrzymał nowe zadania m.in.: monitorowanie wdrażania Krajowego planu reagowania na incydenty prowadzenie wykazu podmiotów kluczowych i ważnych, koordynacja współpracy z państwami trzecimi czy zapewnienia systemu teleinformatycznego wspierającego nie tylko współpracę i obsługę incydentów, ale także czynności nadzorcze, zgłaszanie naruszeń ochrony danych osobowych oraz wymianę informacji o aktach prawnych. Nowelizacja wprowadza nowy artykuł, który pozwala ministrowi udzielać pomocy publicznej lub de minimis na wspieranie działań w obszarze cyberbezpieczeństwa. Nowelizacja rozszerza zadania Ministra Obrony Narodowej m.in. o kierowanie działaniami związanymi z obsługą incydentów nie tylko w czasie stanu wojennego, ale również w czasie wojny. Umożliwia również Ministrowi Obrony Narodowej wydzielanie zespołów specjalistów oraz zasobów z Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni w celu zabezpieczenia zadań CSIRT MON oraz zadań Ministra Obrony Narodowej w kontekście dowodzenia przez Naczelnego Dowódcę Sił Zbrojnych. Co więcej nowelizacja wprowadza zupełnie nowy Rozdział 10a. określający zadania ministra właściwego do spraw energii. Minister właściwy do spraw energii pełni rolę kluczowego nadzorcy w kwestiach dotyczących zabezpieczania i zarządzania ryzykiem w sektorze energii. Minister właściwy do spraw energii ma prawo prowadzić kontrole nad podmiotami uznanymi za mające krytyczny wpływ na sektor energii.
Organy odpowiedzialne za zarządzanie incydentami i zarządzanie kryzysowe w cyberbezpieczeństwie na dużą skalę
Kolejnym nowym rozdziałem wprowadzonym przez nowelizację jest Rozdział 10b dotyczący organów odpowiedzialnych za zarządzanie incydentami i zarządzania kryzysowego w cyberbezpieczeństwie na dużą skalę. Nowe przepisy precyzują podział kompetencji i odpowiedzialności za zarządzanie incydentami oraz kryzysami w zakresie cyberbezpieczeństwa na dużą skalę między różnymi organami państwowymi. Minister właściwy do spraw informatyzacji jest odpowiedzialny za zarządzanie incydentami i kryzysami w cyberbezpieczeństwie w wymiarze cywilnym, z wyjątkiem spraw związanych z zagrożeniami terrorystycznymi i szpiegostwem. Odpowiada za koordynację i działania w sytuacjach kryzysowych w zakresie cywilnym, co obejmuje zapewnienie odpowiednich procedur oraz reagowanie na incydenty wpływające na infrastrukturę i podmioty cywilne Minister Obrony Narodowej przejmuje odpowiedzialność za zarządzanie incydentami i kryzysami w cyberbezpieczeństwie w kontekście militarnym. Odpowiada za zarządzanie incydentami, które mają znaczenie militarne, co jest kluczowe dla ochrony strategicznych zasobów obronnych kraju oraz bezpieczeństwa narodowego. Szef Agencji Bezpieczeństwa Wewnętrznego odpowiada za zarządzanie incydentami i kryzysami w wymiarze cywilnym w sprawach dotyczących zagrożeń terrorystycznych oraz zagrożeń związanych ze szpiegostwem.
Nadzór i kontrola podmiotów kluczowych i podmiotów ważnych
Nowelizacja ustawy wprowadza szereg istotnych i szczegółowych zmian mających na celu wzmocnienie systemu nadzoru i kontroli nad podmiotami działającymi w obszarze cyberbezpieczeństwa. Nowelizacja wprowadza bardziej rozbudowany zakres nadzoru, obejmujący podmioty kluczowe i podmioty ważne. Nowe przepisy definiują nadzór prewencyjny oraz następczy, pozwalając na bardziej kompleksowe i elastyczne podejście do kontroli. Wprowadzono możliwość zarządzania kontrolami doraźnymi, które mogą być realizowane w pilnych przypadkach lub na podstawie otrzymanych informacji o możliwych naruszeniach. Kontrola doraźna może być prowadzona bez wcześniejszego zawiadomienia podmiotu kontrolowanego, a jej wyniki są prezentowane w formie sprawozdania. Organy właściwe do spraw cyberbezpieczeństwa zyskały możliwość realizacji audytów bezpieczeństwa systemów informacyjnych oraz zlecania ocen bezpieczeństwa zewnętrznym zespołom CSIRT, takim jak CSIRT MON, CSIRT NASK czy CSIRT GOV. W nowelizacji określono konkretne nakazy, jakie mogą być nałożone na podmioty, takie jak informowanie odbiorców o cyberzagrożeniach, publikowanie informacji o naruszeniach przepisów czy wdrażanie zaleceń z audytów. Wprowadzono także możliwość zwracania się o zawieszenie koncesji, cofnięcie zezwoleń oraz nałożenie zakazu pełnienia funkcji kierowniczych w przypadku nieprzestrzegania przepisów. Organy właściwe do spraw cyberbezpieczeństwa mogą tworzyć, samodzielnie lub wspólnie, metodyki nadzoru dotyczące prowadzenia nadzoru nad podmiotami kluczowymi i podmiotami ważnymi w zakresie stosowania przepisów ustawy, co pozwala na bardziej strategiczne podejście do kontrolowania podmiotów. Metodyki te obejmują zakres nadzoru, sposób jego przeprowadzania oraz kryteria oceny efektywności. W zakresie nakładania środków administracyjnych wprowadzone przepisy wymagają, aby przed ich nałożeniem organ nadzorczy informował podmiot kluczowy o wstępnych ustaleniach, dając mu możliwość przedstawienia swojego stanowiska. Przewidziano jednak sytuacje, w których organy mogą odstąpić od tej procedury w przypadku konieczności natychmiastowego działania.
Szczególne działania na rzecz zapewnienia cyberbezpieczeństwa na poziomie krajowym
Nowelizacja wprowadza zupełnie nowy Rozdział 12a dotyczący podejmowania szczególnych działań mających na celu wzmocnienie cyberbezpieczeństwa na poziomie krajowym. Pełnomocnik został wyposażony w nowe kompetencje dotyczące wydawania rekomendowania stosowania środków technicznych i organizacyjnych dla pomiotów krajowego systemu cyberbezpieczeństwa. Co istotne, stosowanie tych rekomendacji jest dobrowolne, co oznacza, że chociaż Pełnomocnik może określić wytyczne, nie są one dla podmiotów obligatoryjne. Wdrożona zostaje procedura uznania dostawcy za dostawcę wysokiego ryzyka, w wyniku której może dojść do wycofania produktów lub usług ICT dostarczanych przez takiego dostawcę. Czas na wycofanie zależy od rodzaju podmiotu: przedsiębiorcy telekomunikacyjni mają 4 lata, inne podmioty do 7 lat na wycofanie tych produktów. Eksperci wskazują, że czas ten jest zdecydowanie zbyt długi i wymaga skrócenia. Nowe przepisy umożliwiają ministrowi właściwemu do spraw informatyzacji wydanie polecenia zabezpieczającego w przypadku incydentu krytycznego. Polecenie to może obejmować szereg działań, od wzmożonego monitorowania po zakaz instalacji określonej wersji oprogramowania. Polecenie ma natychmiastowy charakter i obowiązuje na czas koordynacji obsługi incydentu lub przez okres nie dłuższy niż dwa lata.
Strategia
Nowe przepisy określające Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej wprowadzają istotne zmiany, czyniąc dokument bardziej szczegółowym i kompleksowym. Strategia zawierać ma zarówno cele strategiczne, jak i szczegółowe, oraz dodatkowe elementy, takie jak mechanizmy oceny ryzyka, zasady współpracy międzynarodowej, promowanie zaawansowanych technologii, zarządzanie podatnościami, cyberbezpieczeństwo łańcucha dostaw oraz szczególne działania skierowane do małych i średnich przedsiębiorstw. Realizacja Strategii opiera się na planie działań, który precyzyjnie określa koszty, źródła finansowania, odpowiedzialne podmioty oraz terminy realizacji. Nowelizacja wprowadza również obowiązek informacyjny dla podmiotów zaangażowanych w realizację Strategii, które muszą raportować ministrowi właściwemu do spraw informatyzacji o stanie realizacji celów i działań. Przepisy uwzględniają także koordynację i wymianę informacji z organami Unii Europejskiej i NATO w zakresie ryzyka i incydentów związanych z cyberbezpieczeństwem. Nowelizacja kładzie duży nacisk na wymogi dotyczące cyberbezpieczeństwa w zamówieniach publicznych, promując certyfikację oraz korzystanie z otwartego oprogramowania. Podkreśla się również znaczenie edukacji i szkoleń w celu rozwoju umiejętności, kwalifikacji i świadomości w zakresie cyberbezpieczeństwa. Dodatkowo, nowelizacja wspiera wzmacnianie cyberodporności małych i średnich przedsiębiorstw, co zwiększa ich ochronę przed potencjalnymi cyberzagrożeniami.
Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę
Kolejnym nowym rozdziałem wprowadzonym przez nowelizację jest Rozdział 13a dotyczący Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Krajowy Plan wyznacza ramy zarządzania incydentami oraz kryzysami w obszarze cyberbezpieczeństwa na dużą skalę. Za przyjęcie Krajowego Planu odpowiedzialna jest Rada Ministrów. Krajowy Plan określa cele i tryb zarządzania incydentami oraz kryzysami, w tym zadania organów zaangażowanych w zarządzanie. Zawiera szczegółowe procedury zarządzania kryzysowego, kanały komunikacji oraz środki przygotowawcze, takie jak ćwiczenia i szkolenia. Uwzględnia zasady współpracy między sektorem publicznym i prywatnym, co ma kluczowe znaczenie dla efektywnego zarządzania sytuacjami kryzysowymi. Określa kryteria oceny infrastruktury informatycznej pod kątem jej znaczenia dla zarządzania kryzysowego oraz procedury skoordynowanego zarządzania incydentami na poziomie Unii Europejskiej. Obejmuje postanowienia dotyczące reagowania na transgraniczne przepływy energii elektrycznej. Zawiera listę działań zmierzających do ograniczenia ryzyka incydentów krytycznych, z jasno zdefiniowaną hierarchią działań, czasem realizacji, odpowiedzialnymi podmiotami, finansowaniem oraz oceną efektów. Podmioty realizujące zadania wynikające z Krajowego Planu muszą, na żądanie ministra właściwego do spraw informatyzacji, dostarczać informacje o stanie realizacji zadań. Plan musi być aktualizowany nie rzadziej niż co dwa lata, co zapewnia jego bieżącą adekwatność do zmieniających się warunków.
Kary pieniężne
Nowelizacja ustawy o KSC obejmuje szerszy zakres podmiotów w zakresie nakładania kar pieniężnych – są to zarówno podmioty kluczowe i ważne, kierownicy tych podmiotów, jak i podmioty świadczące usługi rejestracji domen, rejestru domen najwyższego poziomu czy producenci produktów ICT. W nowelizacji maksymalna wysokość kar wzrasta do 10 000 000 euro lub 2% przychodów rocznych, co stanowi znaczącą podwyżkę w porównaniu z poprzednimi stawkami. W szczególnych przypadkach, gdy naruszenia powodują poważne zagrożenia, kara może wynosić nawet do 100 000 000 zł. Nowelizacja wprowadza możliwość nakładania kar bezpośrednio na kierowników podmiotów za zaniechania lub niewłaściwe wykonywanie obowiązków – w wysokości do 600% wynagrodzenia kierownika podmiotu kluczowego lub ważnego. Nowelizacja wprowadza możliwość nałożenia okresowej kary pieniężnej w wysokości od 500 zł do 100 000 zł za każdy dzień opóźnienia w realizacji obowiązków. Kary są nakładane przez organ właściwy do spraw cyberbezpieczeństwa w drodze decyzji administracyjnej, a wpływy z kar zasilały i nadal zasilają budżet państwa, z tą różnicą, że w nowelizacji przeznaczane są na Fundusz Cyberbezpieczeństwa. Nowelizacja przewiduje możliwość odstąpienia od nałożenia kary w przypadku, gdy waga naruszenia jest znikoma, a podmiot zaprzestał naruszenia lub naprawił szkodę.
Wyzwania związane z implementacją nowych przepisów
Implementacja nowych przepisów dotyczących zarządzania cyberbezpieczeństwem niesie za sobą szereg wyzwań zarówno dla przedsiębiorstw, jak i instytucji publicznych. W szczególności dla podmiotów, które dotychczas nie zostały objęte przepisami Dyrektywy NIS czy też ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wyzwania, które stoją przed podmiotami dotkniętymi implementacją nowych przepisów dotykają kilku sfer:
- Złożoność regulacji i procedur powoduje, że organizacje muszą dostosować swoje wewnętrzne struktury w celu spełnienia nowych standardów w zakresie zarządzania ryzykiem czy raportowania incydentów. Może to wymagać znaczących zmian w istniejących politykach i procedurach, co często wiąże się z dodatkowymi wyzwaniami organizacyjnymi i logistycznymi.
- Implementacja nowych przepisów może wiązać się z koniecznością znacznych inwestycji w infrastrukturę IT. Przedsiębiorstwa, zwłaszcza te działające w sektorach kluczowych (np. energetyka, telekomunikacja, finanse), mogą być zmuszone do modernizacji lub wymiany istniejących systemów, aby sprostać wymaganiom dotyczącym bezpieczeństwa i ciągłości działania. Te inwestycje mogą obejmować zakup nowych narzędzi programowych i sprzętu, a także koszty związane z ich integracją i konfiguracją.
- Oprócz jednorazowych kosztów związanych z zakupem technologii, organizacje muszą również uwzględnić stałe koszty operacyjne, takie jak utrzymanie systemów, licencje na oprogramowanie oraz wsparcie techniczne. Dodatkowo, koszty audytów zewnętrznych oraz wewnętrznych, które są wymagane w ramach zapewnienia zgodności z przepisami, mogą obciążyć budżety firm i instytucji publicznych.
- Organizacje będą musiały zainwestować w szkolenia i rozwój zawodowy pracowników, aby zapewnić im wiedzę i umiejętności potrzebne do spełnienia nowych wymagań. Może to obejmować szkolenia z zakresu zarządzania incydentami, identyfikacji zagrożeń, raportowania oraz odpowiedniego stosowania procedur kryzysowych. Szkolenia te muszą być regularnie aktualizowane, aby nadążać za zmieniającymi się zagrożeniami i technologiami.
- Wprowadzenie nowych przepisów wymaga zmiany podejścia do cyberbezpieczeństwa na poziomie całej organizacji. Nie wystarczy, aby tylko działy IT były odpowiednio przygotowane – cała kadra, w tym zarządy, powinny rozumieć znaczenie cyberbezpieczeństwa oraz znać podstawowe procedury. Podnoszenie świadomości pracowników poprzez kampanie edukacyjne i szkolenia to kluczowy element w tworzeniu odporności organizacji na incydenty.
Implementacja nowych przepisów dotyczących cyberbezpieczeństwa wiąże się z licznymi wyzwaniami. Organizacje będą musiały zmierzyć się z koniecznością modernizacji infrastruktury IT, inwestycji w nowe technologie oraz szkoleniami dla pracowników. Pomimo że proces ten może być kosztowny i skomplikowany, zwiększenie poziomu zabezpieczeń i wprowadzenie efektywnych mechanizmów zarządzania kryzysowego ma kluczowe znaczenie dla ochrony interesów zarówno pojedynczych organizacji, państwa członkowskiego jak i cyberbezpieczeństwa na poziomie całej Wspólnoty.
Możliwość amortyzacji lokalu mieszkalnego
Bez względu na sposób wykorzystania i formę opodatkowania, według obowiązujących przepisów podatkowych nieruchomości mieszkalne nie podlegają amortyzacji podatkowej.
Chociaż obowiązujące obecnie przepisy budzą wątpliwości co do ich zgodności z konstytucyjnymi zasadami prawa, jego tworzenia czy raczej wdrażania, zwłaszcza w kontekście ochrony praw nabytych, to ich treść jest jasna. Ponad wszelką wątpliwość nie ma możliwości dokonywania odpisów amortyzacyjnych od nieruchomości mieszkalnych. Nie chodzi przy tym o brak prawa do rozliczenia kosztów, a o zakaz amortyzacji.
Całkowicie bez znaczenia przy tym jest to, jak owa nieruchomość mieszkalna jest wykorzystywana, w ramach jakich aktywności, a także w jaki sposób opodatkowany jest dochód lub przychód uzyskiwany przez podatnika w związku z jej używaniem.
Jednym słowem, tak w przypadku najmu prywatnego nieruchomości mieszkalnych, jak i ich wynajmu w ramach działalności gospodarczej, ale również wykorzystywania w inny sposób na potrzeby działalności gospodarczej (np. jako lokal biurowy), według przepisów nie mogą być dokonywane odpisy amortyzacyjne od jej wartości początkowej.
Na gruncie PIT taka decyzja prawodawcy nie jest dla Autora w pełni zrozumiała. Trzeba bowiem wziąć pod uwagę to, że w przypadku osób fizycznych sprzedaż nieruchomości mieszkalnych dokonana po upływie pięciu lat po zakończeniu roku ich nabycia lub wybudowana nie wygeneruje przychodu podatkowego. Dotyczy to również zbycia nieruchomości mieszkalnych wykorzystywanych przez podatnika w działalności gospodarczej.
