EN

Odpowiedź Europy na cyberwojnę. NIS-2 – szansa na wzrost poziomu cyberbezpieczeństwa?

Ponad dwa miesiące temu, 13 lipca, po tym jak zostało osiągnięte porozumienie polityczne między Parlamentem Europejskim a państwami członkowskimi UE, Komisja Przemysłu, Badań Naukowych, Telekomunikacji i Energii Parlamentu Europejskiego zatwierdziła projekt dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylającą dyrektywę (UE) 2016/1148, czyli tzw. dyrektywę NIS2. Aktualnie czekamy na jej zatwierdzenie przez Parlament Europejski a potem przez Radę, po których zostanie opublikowana w Dzienniku Urzędowym, a 20 dni później dyrektywa wejdzie w życie. Dla państw członkowskich ten moment będzie oznaczać rozpoczęcie terminu 21 miesięcy na implementację dyrektywy w krajowych porządkach prawnych. W Polsce dokona się to przez przyjęcie nowej (lub zmianę już istniejącej) stosownej ustawy w zakresie cyberbezpieczeństwa.

Kliknij tutaj i dowiedz się wiecej o naszej praktyce „Media i Technologia”. Dalsza część artykułu poniżej.

Różnica między NIS oraz NIS2

Główne różnice pomiędzy pierwszą – jeszcze obowiązującą – dyrektywą dotyczącą cyberbezpieczeństwa, tj. network and information security (NIS), a NIS2 dotyczą podmiotów zobowiązanych; środków technicznych i organizacyjnych, które należy wdrożyć oraz zgłaszania incydentów i zagrożeń. We wszystkich wymienionych obszarach w dyrektywie NIS2 zakres w stosunku do zapisów dyrektywy NIS jest poszerzony.

W dyrektywie NIS2 podmioty zobowiązane zostały podzielone na dwie kategorie: podmioty kluczowe, w których znaleźli się między innymi dostawcy usług przetwarzania w chmurze obliczeniowej, dostawcy usług centrów danych, dostawcy usług content delivery network; oraz podmioty istotne, do których zostali zakwalifikowani m.in. dostawcy wyszukiwarek internetowych, dostawcy platform handlowych, dostawcy serwisów społecznościowych i dostawcy usług kurierskich. Na obie kategorie zostały nałożone obowiązki zarówno dotyczące przygotowania i wdrożenia stosownych procedur i środków w zakresie cyberbezpieczeństwa oraz zgłaszania incydentów a także cyberzagrożeń, mogących skutkować powstaniem znaczącego incydentu stosownym organom.

NIS2 wprowadza bardziej rygorystyczne środki nadzorcze dla organów krajowych, a także bardziej rygorystyczne wymogi w zakresie egzekwowania prawa, ma też na celu harmonizację systemów sankcji we wszystkich państwach członkowskich. Odpowiedzialność za zapewnienie cyberbezpieczeństwa będzie także spoczywać na osobach, które zarządzają podmiotami zobowiązanymi przez dyrektywę.

Uregulowanie na poziomie unijnym jest krokiem koniecznym

Uregulowanie na poziomie unijnym tak istotnej kwestii, jaką jest – zwłaszcza dziś – cyberbezpieczeństwo, wydaje się być krokiem koniecznym. Natomiast, jak to zazwyczaj bywa w przypadku regulacji unijnych, powstaje ryzyko, że takie wprowadzone prawo będzie większym obciążeniem (zwłaszcza w zakresie wdrażania dodatkowych środków, tworzenia dokumentacji) dla podlegających mu podmiotów niż faktycznym narzędziem służącym obronie praw, które stanowiły podstawę ratio jego uchwalenia. Takie ryzyko ziściło się choćby w przypadku ogólnego rozporządzenia o ochronie danych (RODO), które na faktyczną ochronę danych osobowych przełożyło się w nieznacznym stopniu, a raczej na produkcję dokumentów i zasypywanie osób, których dane dotyczą, dość często niezrozumiałymi informacjami.

NIS2 chce zwiększyć poziom cyberbezpieczeństwa, posługując się przede wszystkim dwoma narzędziami – koniecznością stworzenia stosownej dokumentacji i procedur przez podmioty podlegające jej przepisom oraz obowiązkiem raportowania (zarówno incydentów jak i cyberzagrożeń) nałożonym na te podmioty. Te narzędzia wykorzystane w odpowiedni sposób mogą przynieść zamierzony cel wprowadzanych regulacji, ale pod pewnymi warunkami.

Czynnik ludzki – najsłabsze ogniwo

Przede wszystkim należy wziąć pod uwagę, że najsłabszym ogniwem w obszarze cyberbezpieczeństwa w każdej organizacji jest człowiek. Maszyny wykonują wszelkie instrukcje, nie dyskutując z nimi, człowiek, podejmując decyzję (np. o tym, czy udostępnić komuś informację, czy też nie), kieruje się wieloma różnymi czynnikami. A decyzja ta nie zawsze jest zgodna z tym, co zostało przewidziane w obowiązujących go procedurach. Ponadto daną osobę łatwo zmanipulować, zwłaszcza w sytuacji, gdy tak wiele informacji o niej jest ogólnodostępnych w przestrzeni internetu.

Aby więc stworzona w ramach wymogów NIS2 dokumentacja danej organizacji zawierająca sposoby postępowania w danych sytuacjach związanych z cyberbezpieczeństwem oraz podjęte w celu zwiększenia poziomu cyberbezpieczeństwa środki były skuteczne i stosowane, osoby, które będą zobowiązane ich przestrzegać, muszą zrozumieć, dlaczego i w jakim celu poszczególne zasady są wprowadzane. Powinny także mieć świadomość konsekwencji niezastosowania się do nich w różnych wypadkach. Niezwykle istotną kwestią jest więc dobre i praktyczne przeszkolenie tych osób, a także zaangażowanie ich w tworzenie zasad, którym następnie miałyby podlegać. Zasady te bowiem muszą odzwierciedlać i wpisywać się możliwie maksymalnie w faktyczne dotychczasowe funkcjonowanie organizacji. Tworzenie sztucznych obowiązków, które nie będą miały szansy zaistnieć w aktualnym stanie organizacji, jest bezcelowe. Oczywiście w zakresie, gdy stan faktyczny organizacji zupełnie nie odpowiada wymogom dyrektywy, konieczne jest dostosowanie status quo do jej przepisów (a nie odwrotnie), natomiast działanie to wymaga rozwagi i czasu, aby w ogóle było to respektowane przez osoby funkcjonujące w ramach organizacji.

Bez wątpienia bardziej skutecznym sposobem będzie wprowadzenie obowiązków, które nakłada NIS2, w sposób ewolucyjny, niż realizacja ich w krótkim czasie pomiędzy uchwaleniem a wejściem w życie polskiej ustawy transponującej NIS2. Biorąc pod uwagę, że celem uchwalenia dyrektywy jest ostatecznie harmonizacja porządków prawnych państw członkowskich, można wyjść z założenia, że krajowe ustawodawstwo nie będzie odbiegać znacząco od jej przepisów i już teraz na ich bazie rozpocząć proces wdrażania nowych zasad.

Najważniejszy cel

Równie istotna będzie praktyka stosowania przepisów dyrektywy przez zobowiązane podmioty. Ta, która wykształci się na początku, będzie następnie powielana. To nakłada dużą odpowiedzialność na największe podmioty podlegające przepisom dyrektywy, na których początkowo skupi się uwaga pozostałych mniejszych graczy w ramach rynków objętych wymogami z zakresu cyberbezpieczeństwa. Wydaje się, że rozważne, racjonalne i świadome wdrożenie obowiązków wynikających z NIS2 ma szansę przynieść spodziewany cel w postaci zwiększenia poziomu cyberbezpieczeństwa w ramach całej Unii Europejskiej, co jest warte podjęcia wysiłku i zaangażowania podmiotów zobowiązanych.

Autor: Paulina Wyrostek, Radca Prawny i Counsel w Kancelarii B2RLaw.

Premiera raportu ”Technologie na rzecz energii”

Już dziś o godzinie 12:30, podczas XXI Forum Ekonomicznego w Karpaczu, premierę miał raport specjalny ”Technologie na rzecz energii”, do którego komentarza na specjalne zaproszenie udzieliły Aleksandra Polak, Adwokat, Partner w B2RLaw oraz Luiza Wyrębkowska, Radca prawny, Counsel w B2RLaw.

Raport fundacji Startup Poland przygotowany we współpracy z PGNiG Ventures sp. z o.o. oraz Microsoft, liderami zielonej transformacji w Polsce i promocji ESG, dedykowany jest innowacyjnym rozwiązaniom w OZE.

Energetyka potrzebuje innowacji, elastycznych rozwiązań i odwagi do zmian, dlatego też ESG staje się nową filozofią prowadzenia biznesu i szansą na zatrzymanie zmian klimatu.

Więcej na temat:
+ kwestii legislacyjnych,
+ greenwashingu,
+ podejściu firm do tematu odnawialnych źródeł energii,
+ prowadzenia zrównoważonych działań przez przedsiębiorstwa

w raporcie specjalnym ”Technologie na rzecz energii” – link do pobrania: https://startuppoland.org/report/technologie-na-rzecz-energii/ 

Eksperci B2RLaw współtworzą I edycję przewodnika The Legal 500: White Collar Crime

Eksperci z B2RLaw, Starszy Partner Bartłomiej Jankowski, Counsel Anna Grochowska-Wasilewska oraz Młodszy Prawnik Kinga Karaszewska, są autorami rozdziału poświęconego polskiemu systemowi prawnemu we właśnie opublikowanym przewodniku The Legal 500: White Collar Crime Country Comparative Guide (Przewodnik prawnoporównawczy w dziedzinie przestępczości gospodarczej).

Przewodniki prawnoporównawcze The Legal 500 są tworzone we współpracy z wiodącymi i uznanymi w danej dziedzinie kancelariami prawnymi z całego świata. Ich celem jest dostarczenie informacji na temat przyjętych rozwiązań prawnych, funkcjonującej praktyki oraz kluczowych problemów w wybranych obszarach prawa.

White Collar Crime Country Comparative Guide został w pełni poświęcony tematyce przestępczości gospodarczej. Eksperci B2RLaw, w części dotyczącej polskiego systemu prawnego, oprócz kompleksowego przedstawienia obowiązujących rozwiązań prawnych, skupili się na aktualnych problemach, dostrzeżonych w toku prowadzonej praktyki.

Pełny raport można przeczytać tutaj.

Czy organy podatkowe nadużywają prawa wszczynając postępowania karnoskarbowe?

Jak pokazuje orzecznictwo Naczelnego Sądu Administracyjnego[1] (dalej: „NSA”), odpowiedź na tak postawione pytanie bywa niestety twierdząca.

Organy podatkowe często wszczynają postępowanie karnoskarbowe nie dlatego, że dysponują materiałem dowodowym uzasadniającym analizę danego czynu z punktu widzenia Kodeksu karnego skarbowego, a jedynie w celu zawieszenia biegu przedawnienia zobowiązania podatkowego.

Zgodnie bowiem z art. 70 § 6 pkt. 1 Ordynacji podatkowej (dalej: „OP”), bieg terminu przedawnienia zobowiązania podatkowego nie rozpoczyna się, a rozpoczęty ulega zawieszeniu, z dniem wszczęcia postępowania w sprawie o przestępstwo skarbowe lub wykroczenie skarbowe, o którym podatnik został zawiadomiony, jeżeli podejrzenie popełnienia przestępstwa lub wykroczenia wiąże się z niewykonaniem tego zobowiązania.

Taka praktyka organów podatkowych została uznana przez NSA za niedopuszczalną i określona jako nadużycie prawa.

Jak wskazał NSA, gdyby art. 70 § 1 pkt 6 OP nie istniał, organy podatkowe nie wszczynałyby postępowań karnoskarbowych.

W związku z tym, NSA uznał, że może kontrolować zasadność zawieszenia biegu przedawnienia. W innym wypadku bowiem, naruszone zostałyby cele tej instytucji.

Wskutek tego doszłoby natomiast do sprzecznego z zasadą demokratycznego państwa prawnego instrumentalnego korzystania z regulacji OP.

Weryfikowanie wszczęcia postępowania karnoskarbowego przez sądy administracyjne, jest zagadnieniem kontrowersyjnym. Podnosi się bowiem, że taki zakres kontroli nie wchodzi w sferę działania sądownictwa administracyjnego. Jednakże, NSA stwierdził, że może dokonywać takiej kontroli z uwagi na art. 121 OP, który wyraża zasadę działania w zaufaniu do organów podatkowych.

Art. 70 § 6 pkt 1 OP nie może być zatem podstawą do zawieszenia biegu terminu przedawnienia podatkowego w związku z każdorazowym wszczęciem postępowania karnoskarbowego, jeżeli wszczęcie tego postępowania nastąpiło z przekroczeniem zasady zaufania do organów podatkowych. Wskazywać na to mają okoliczności faktyczne danej sprawy podatkowej.

Co więcej, NSA podkreślił, że dochodzenie przez podatnika swoich praw, dotyczy również możliwości skutecznego podniesienia zarzutu przedawnienia zobowiązania podatkowego.

Z tego powodu, weryfikacji wymaga zasadność wszczęcia postępowania karnoskarbowego, a wskutek tego prawidłowość zawieszenia biegu terminu przedawnienia zobowiązania podatkowego.

Należy bowiem pamiętać, że jeżeli zobowiązanie podatkowe przedawniło się, to postępowanie podatkowe ulega umorzeniu, zgodnie z art. 208 § 1 OP.

Takie podejście sądów administracyjnych jest niewątpliwie korzystne dla podatnika, w szczególności w sytuacji niezasadnego wszczęcia, wobec niego postępowania karnoskarbowego.

Nowe podejście sądów niewątpliwie będzie istotnym orężem w walce z wszczynaniem takich postępowań. Być może będzie również precedensem przełamującym nacechowane formalizmem podejście sądów administracyjnych.

adwokat Marcin Malinowski

aplikant adwokacki Jakub Przybyliński

[1] Wyrok NSA z 30.07.2020 r. I FSK 42/20.

Wyrok NSA z 30.07.2020 r., I FSK 128/20.

Kancelaria B2RLaw doradzała Polsko Amerykańskiej Radzie Współpracy (USPTC) w sprawie przełomowego projektu połączenia uniwersytetów

B2RLaw (wcześniej JSLegal Jankowski Stroiński & Partners) doradzała USPTC w zakresie prawnych aspektów projektu konsultacyjnego dotyczącego połączenia Politechniki Białostockiej z Uniwersytetem w Białymstoku. Polsko Amerykańska Rada Współpracy jest organizacją non-profit, której celem jest budowanie relacji biznesowych pomiędzy USA i Polską. W tym celu USPTC współpracuje z siecią polskich i amerykańskich organizacji, włączając podmioty korporacyjne, akademickie i rządowe.

Konsultacje obejmowały analizę due diligence, sporządzenie misji i planu dla potencjalnie połączonego uniwersytetu, w tym doradztwo w zakresie sposobu realizacji  planu i określenia wizji nowej jednostki, a także analizę potencjalnych korzyści i ryzyka proponowanego rozwiązania.

Zespół B2R, nadzorowany przez dr Rafała Stroińskiego L.L.M. (Partner) i kierowany przez dr Luizę Wyrębkowską PhD (Counsel), tworzyli: Kinga Kowalska (Starszy Prawnik), Krystyna Jakubowska (Prawnik), Tomasz Michalczyk (Młodszy Prawnik), Inka Kalista (Młodszy Prawnik) oraz Filip Wójtowicz (Młodszy Prawnik).

To był przełomowy projekt, który wedle wszelkiego prawdopodobieństwa będzie miał istotny wpływ na instytucjonalne uwarunkowania systemu kształcenia na poziomie studiów wyższych w Polsce (zarówno w odniesieniu do studiów licencjackich, jak i magisterskich). Gratulujemy USPTC pomyślnego zakończenia prac związanych z realizacją  niezwykle wymagającego projektu! Jako kancelaria B2RLaw, cieszymy się z możliwości uczestniczenia w tak pionierskiej inicjatywie w sektorze edukacji, dzięki czemu mogliśmy pogłębić naszą specjalizację w tym zakresie. Ten oraz inne projekty realizowane przez kancelarię B2RLaw są świadectwem naszego zaangażowania w najbardziej innowacyjne przedsięwzięcia naszych klientów – komentuje Luiza Wyrębkowska.

Czy zakończenie kontroli celno-skarbowej to koniec wyzwań dla podatnika, a może dopiero początek?

Truizmem jest stwierdzenie, że jakakolwiek kontrola prawidłowości działań przedsiębiorcy jest zdarzeniem nietypowym z jego perspektywy i wzbudza liczne wątpliwości, co do jej zasadności.

Ciągłe zmiany w prawie dotykały na przestrzeni lat również poruszanego obszaru, gdyż kontrola celno-skarbowa została wprowadzona do porządku prawnego w 2016 roku.

Abstrahując od przesłanek jej wszczęcia odnotowania wymaga, że zakończenie takiej kontroli nie zawsze oznacza zakończenie postępowania w danej sprawie. Konsekwencją bowiem kontroli celno-skarbowej może być wszczęcie postępowania podatkowego, które z kolei kończy się niejednokrotnie decyzją kreującą stan prawny odnoszący się do podatnika.

Po zakończeniu czynności kontrolnych dokonywanych w czasie kontroli celno-skarbowej, co do zasady sporządza się wynik kontroli, którego doręczenie kontrolowanemu kończy kontrolę celno-skarbową. Naturalnie, jeżeli organy przeprowadzające kontrolę nie stwierdzą nieprawidłowości, doręczenie wyniku kontroli kończy postepowanie.

Po doręczeniu wyniku kontroli kontrolowany podmiot uprawniony jest do złożenia korekty złożonych uprzednio deklaracji podatkowych.

Co istotne, dokonanie korekty po upływie 14 dni od doręczenia wyniku kontroli nie wywołuje skutków prawnych, a więc możemy przyjąć, że jest spóźnione.

To jednak nie koniec.

Nawet pomimo złożenia korekty deklaracji podatkowych przeciwko kontrolowanemu może zostać wszczęte postępowanie podatkowe.

Organ kontrolujący może zwyczajnie nie uwzględnić korekty. Może stwierdzić także, że z uwagi na złożoną korektę deklaracji istnieją przesłanki do ustalenia kolejnego, dodatkowego zobowiązania podatkowego. Co częste, podatnicy nie chcą jednak składać korekt, gdyż po pierwsze – nie zgadzają się z organem a przy tym złożenie korekty zobowiązuje niejednokrotnie do uiszczenia zaległego podatku.

Jak więc widać, istotną okolicznością, warunkującą wszczęcie postępowania podatkowego jest wynik kontroli.

Co jednak, jeżeli kontrolowany przedsiębiorca nie zgadza się z nim?

Jedyną możliwością jest niestety złożenie korekty deklaracji podatkowych. Jak wynika z wyroku Wojewódzkiego Sądu Administracyjnego w Rzeszowie z 10 września 2019 roku wynik kontroli nie kształtuje praw i obowiązków strony, nie może być więc uznany za decyzję. Wskutek tego, kontrolowanemu podmiotowi nie przysługuje prawo do złożenia odwołania od wyniku kontroli. Prawo wniesienia odwołania będzie przysługiwało stronie dopiero od decyzji wydanej w postępowaniu podatkowym, które zainicjuje się wraz z niezłożeniem korekty.

Sygnalizowana okoliczność jest jedynie wyimkiem z problematyki związanej z kontrolami celno-skarbowymi, a przedstawiony opis nie jest wyczerpujący.

Marcin Malinowski
Adwokat

Jakub Przybyliński
Aplikant adwokacki

Czy wynagrodzenie za wcześniejsze rozwiązanie umowy najmu można zaliczyć do kosztów uzyskania przychodów?

Spółka, która na podstawie umowy najmu zawartej na czas określony, była najemcą lokalu usługowego, postanowiła o wcześniejszym zakończeniu ww. najmu z powodu jego nieopłacalności. To mogło przytrafić się każdemu, szczególnie w okresie epidemii koronawirusa.

W przedmiocie rozwiązania łączącej ich umowy strony doszły do porozumienia, które przewidywało konieczność uiszczenia przez spółkę na rzecz wynajmującego określonej ryczałtowo kwoty wynagrodzenia.

W dniu 29 grudnia 2015 roku Dyrektor Izby Skarbowej w Warszawie działający w imieniu Ministra Finansów wydał dla spółki indywidualną interpretację, znak: IPPB3/4510-833/15-2/DP, w której uznał za nieprawidłowe stanowisko spółki w zakresie możliwości zaliczenia do kosztów uzyskania przychodów zapłaconego przez spółkę wynagrodzenia za wcześniejsze rozwiązanie umowy najmu.

Spółka złożyła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na ww. interpretację przepisów prawa podatkowego, który to sąd wyrokiem uchylił zaskarżoną interpretację indywidualną.

WSA w Warszawie uznał, że przepis art. 15 ust. 1 ustawy o CIT zobowiązuje do uwzględnienia całego kontekstu działalności ekonomicznej podatnika, bowiem dopiero z tej perspektywy można ocenić, czy wydatek był poniesiony w celach w nim opisanych czy nie.

Przy czym podzielić należy ocenę, że już sama intencja podatnika zmniejszenia straty (nie tylko zwiększenia zysku), jaką generuje pewien fragment działalności (przedsiębiorstwa), uzasadnia pogląd, że wydatek stanowi koszt uzyskania przychodu.

Strata zmniejsza bowiem przychód, a zatem zmniejszenie albo całkowite wyeliminowanie straty siłą rzeczy prowadzi do zwiększenia przychodu. Notabene, pogląd ten jest trafny i może być wykorzystany w wielu zagadnieniach w sporach z fiskusem.

Od wyroku WSA w Warszawie Szef Krajowej Administracji Skarbowej złożył skargę kasacyjną, która została oddalona przez Naczelny Sąd Administracyjny.

NSA podzielił stanowisko WSA w Warszawie stwierdzając, że jeśli rozwiązanie umowy najmu i zapłata wynagrodzenia z tego tytułu tworzą dla podatnika bardziej korzystną sytuację powodującą zwiększenie dochodu, to takie działanie należy uznać za uzasadnione ekonomicznie, a poniesiony na zapłatę dodatkowego wynagrodzenia wydatek ma związek z zachowaniem albo zabezpieczeniem źródła przychodów.

Dyrektor KIS podzielił argumentację podatnika, zgodnie z którą spółka wypłacając wynajmującemu wynagrodzenie za wcześniejsze rozwiązanie umowy najmu dążyła do zachowania i zabezpieczenia źródeł przychodu, a głównym celem transakcji była poprawa jej kondycji finansowej.

Dalszy najem lokalu usługowe w oparciu o dotychczasową umowę okazał się być bowiem nieopłacalny.

Podsumowując, wynagrodzenie za wcześniejsze rozwiązanie umowy najmu można zaliczyć do kosztów uzyskania przychodów, jeżeli okoliczności sprawy i motywacja podatnika wskazują, że celem podejmowanego przez niego działania było zabezpieczenie i zachowanie źródeł przychodu zgodnie z art. 15 ust. 1 ustawy o CIT.

Istotna przy tym jest należyta dokumentacja tych okoliczności i wdrożenie pewnych i wypracowanych przez specjalistów sposobów wykazywania powyższych okoliczności.

Marcin Malinowski
Adwokat

Kinga Karaszewska
Aplikantka adwokacka