rozPOZNAJ nas w mediach

Jak walką z cyberzagrożeniem wylewamy dziecko z kąpielą?

Autor: Piotr Podgórski
Rzeczpospolita
Data publikacji: 22.05.2024 r.

Projekt ustawy o KSC rodzi bardzo poważne konsekwencje dla kilkutysięcznej rzeszy podmiotów. Ponadto może spowodować poważne zaburzenie w gospodarce krajowej, poprzez utratę konkurencyjności przez niektóre podmioty i wywołanie antagonizmów ze światowymi partnerami spoza UE i NATO.

Polscy przedsiębiorcy i administracja publiczna stoją przed perspektywą objęcia ich bardzo niekorzystnymi konsekwencjami, jakie wynikają z projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (ustawa o KSC). Projekt tej ustawy wynika z konieczności wdrożenia przez Polskę do dnia 17 października 2024 r. dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2). Niestety najnowszy projekt ustawy o KSC wykracza poza regulacje dyrektywy NIS 2, stanowiąc tym samym tzw. nadregulację. Dotyczyć on ma ponad 38.000 podmiotów z 18 sektorów, w tym takich, które nie są objęte regulacjami dyrektywy NIS 2. Oznacza to, że podmioty te obciążone zostaną daleko idącymi obowiązkami, za niezrealizowanie których groziły im będą gigantyczne, wielomilionowe kary, co finalnie będzie miało skutki dla konsumentów, w postaci wzrostu cen usług.

Polski projektodawca bezwarunkowo identyfikuje jako sektory kluczowe takie sektory, jak np. hurtownie farmaceutyczne, wytwórców produktów leczniczych oraz apteki. Zgodnie natomiast z dyrektywą NIS 2 status podmiotów kluczowych przysługuje tylko tym podmiotom, które prowadzą działalność badawczo-rozwojową w zakresie produktów leczniczych, podmiotom produkującym leki i pozostałe wyroby farmaceutyczne, a także wyroby medyczne, które uznane są za mające krytyczne znaczenie podczas stanu zagrożenia zdrowia publicznego. Polski prawodawca wyeliminował z projektu ustawy o KSC tenże warunek, uznając „z góry” podmioty takie jak apteki, za podmioty kluczowe.

Dodatkowo w projekcie ustawy o KSC do podmiotów kluczowych zalicza się także takie sektory i podsektory jak np: produkcja, wytwarzanie i dystrybucja chemikaliów, żywności; produkcja w tym podsektor produkcji wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, podsektor produkcji komputerów, wyrobów elektronicznych i optycznych, podsektor produkcji urządzeń elektrycznych, maszyn i urządzeń, gdzie indziej niesklasyfikowaną, produkcji pojazdów samochodowych.

Projekt ustawy o krajowym systemie cyberbezpieczeństwa rozszerza zakres podmiotów kluczowych także o jednostki sektora finansów publicznych, w tym m.in. o jednostki samorządu terytorialnego oraz ich związki, ale również samodzielne publiczne zakłady opieki zdrowotnej, czy uczelnie publiczne. Należy podkreślić, że zarówno jednostki samorządu terytorialnego, jak i co do zasady instytucje edukacyjne nie są uznane przez dyrektywę NIS 2 za podmioty kluczowe. Te ostatnie kwalifikowane są przez nią za takowe jedynie wówczas, gdy prowadzą działalność badawczą o krytycznym znaczeniu. Polski projektodawca nie wprowadza tego warunku i tym samym każda uczelnia publiczna będzie zobowiązana do realizacji kosztownych wymogów w zakresie cyberbezpieczeństwa. Bezwarunkowe włączenie w projekcie ustawy o KSC takich podmiotów do kategorii podmiotów kluczowych, wbrew wymaganiom dyrektywy NIS 2, może prowadzić do znaczących trudności w ich funkcjonowaniu, nie przyczyniając się jednocześnie do realnego wzrostu bezpieczeństwa cybernetycznego kraju. Jednostki samorządu terytorialnego zobowiązane będą do wyłożenia olbrzymich pieniędzy na zrealizowanie licznych rygorystycznych i sformalizowanych obowiązków, nałożonych przez projekt ustawy o KSC oraz objęte będą ryzykiem gigantycznych, wielomilionowych kar za niezrealizowanie tychże obowiązków, które mogą być nałożone nawet wówczas, gdy doszło do jednorazowego naruszenia.

Znaczące — w stosunku do dyrektywy NIS 2 — rozszerzenie katalogu podmiotów kluczowych i ważnych na 18 sektorów (łącznie ponad 38.000 podmiotów), łączy się z daleko idącymi obowiązkami dla tychże podmiotów. To zatem olbrzymie proceduralne, techniczne i biznesowe (kosztotwórcze) przedsięwzięcie, z którym będą musieli się oni zmierzyć. Nie sposób oszacować kosztów wdrożenia tych przepisów, które w sektorze prywatnym mogą wynosić od kilkudziesięciu, kilkuset tysięcy złotych nawet do ponad miliona, nie mówiąc o wielomilionowych nakładach dla sektora administracji publicznej. Poza kosztami wdrożenia wskazać należy na koszty coroczne, jakie podmioty kluczowe i ważne muszą wykładać w celu spełnienia obowiązków. Ułomności przedstawia tutaj Ocena Skutków Ryzyka, która nie zawiera jakiejkolwiek estymacji w/w kosztów. Za niespełnienie wspomnianych obowiązków przewidziane zostały wielomilionowe kary – do 10.000.000 euro lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej.

Znaczące — w stosunku do dyrektywy NIS 2 — rozszerzenie katalogu podmiotów kluczowych i ważnych na 18 sektorów (łącznie ponad 38.000 podmiotów), łączy się z daleko idącymi obowiązkami dla tychże podmiotów. To zatem olbrzymie proceduralne, techniczne i biznesowe (kosztotwórcze) przedsięwzięcie, z którym będą musieli się oni zmierzyć. Nie sposób oszacować kosztów wdrożenia tych przepisów, które w sektorze prywatnym mogą wynosić od kilkudziesięciu, kilkuset tysięcy złotych nawet do ponad miliona, nie mówiąc o wielomilionowych nakładach dla sektora administracji publicznej. Poza kosztami wdrożenia wskazać należy na koszty coroczne, jakie podmioty kluczowe i ważne muszą wykładać w celu spełnienia obowiązków. Ułomności przedstawia tutaj Ocena Skutków Ryzyka, która nie zawiera jakiejkolwiek estymacji w/w kosztów. Za niespełnienie wspomnianych obowiązków przewidziane zostały wielomilionowe kary – do 10.000.000 euro lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej.

Reasumując, projekt ustawy o KSC rodzi bardzo poważne konsekwencje dla kilkutysięcznej rzeszy podmiotów objętych tą ustawą. Ponadto może spowodować poważne zaburzenie w gospodarce krajowej, poprzez utratę konkurencyjności przez niektóre podmioty i wywołanie antagonizmów ze światowymi partnerami spoza UE i NATO, z którymi Polska również musi mieć silne więzi gospodarcze.

Autor jest radcą prawnym, członkiem zarządu Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców – Przedsiębiorcy.pl.

<< Powrót