rozPOZNAJ nas w mediach

Jak walką z cyberzagrożeniem wylewamy dziecko z kąpielą?

Autor: Piotr Podgórski
Rzeczpospolita
Data publikacji: 22.05.2024 r.

Projekt ustawy o KSC rodzi bardzo poważne konsekwencje dla kilkutysięcznej rzeszy podmiotów. Ponadto może spowodować poważne zaburzenie w gospodarce krajowej, poprzez utratę konkurencyjności przez niektóre podmioty i wywołanie antagonizmów ze światowymi partnerami spoza UE i NATO.

Polscy przedsiębiorcy i administracja publiczna stoją przed perspektywą objęcia ich bardzo niekorzystnymi konsekwencjami, jakie wynikają z projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (ustawa o KSC). Projekt tej ustawy wynika z konieczności wdrożenia przez Polskę do dnia 17 października 2024 r. dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2). Niestety najnowszy projekt ustawy o KSC wykracza poza regulacje dyrektywy NIS 2, stanowiąc tym samym tzw. nadregulację. Dotyczyć on ma ponad 38.000 podmiotów z 18 sektorów, w tym takich, które nie są objęte regulacjami dyrektywy NIS 2. Oznacza to, że podmioty te obciążone zostaną daleko idącymi obowiązkami, za niezrealizowanie których groziły im będą gigantyczne, wielomilionowe kary, co finalnie będzie miało skutki dla konsumentów, w postaci wzrostu cen usług.

Polski projektodawca bezwarunkowo identyfikuje jako sektory kluczowe takie sektory, jak np. hurtownie farmaceutyczne, wytwórców produktów leczniczych oraz apteki. Zgodnie natomiast z dyrektywą NIS 2 status podmiotów kluczowych przysługuje tylko tym podmiotom, które prowadzą działalność badawczo-rozwojową w zakresie produktów leczniczych, podmiotom produkującym leki i pozostałe wyroby farmaceutyczne, a także wyroby medyczne, które uznane są za mające krytyczne znaczenie podczas stanu zagrożenia zdrowia publicznego. Polski prawodawca wyeliminował z projektu ustawy o KSC tenże warunek, uznając „z góry” podmioty takie jak apteki, za podmioty kluczowe.

Dodatkowo w projekcie ustawy o KSC do podmiotów kluczowych zalicza się także takie sektory i podsektory jak np: produkcja, wytwarzanie i dystrybucja chemikaliów, żywności; produkcja w tym podsektor produkcji wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, podsektor produkcji komputerów, wyrobów elektronicznych i optycznych, podsektor produkcji urządzeń elektrycznych, maszyn i urządzeń, gdzie indziej niesklasyfikowaną, produkcji pojazdów samochodowych.

Projekt ustawy o krajowym systemie cyberbezpieczeństwa rozszerza zakres podmiotów kluczowych także o jednostki sektora finansów publicznych, w tym m.in. o jednostki samorządu terytorialnego oraz ich związki, ale również samodzielne publiczne zakłady opieki zdrowotnej, czy uczelnie publiczne. Należy podkreślić, że zarówno jednostki samorządu terytorialnego, jak i co do zasady instytucje edukacyjne nie są uznane przez dyrektywę NIS 2 za podmioty kluczowe. Te ostatnie kwalifikowane są przez nią za takowe jedynie wówczas, gdy prowadzą działalność badawczą o krytycznym znaczeniu. Polski projektodawca nie wprowadza tego warunku i tym samym każda uczelnia publiczna będzie zobowiązana do realizacji kosztownych wymogów w zakresie cyberbezpieczeństwa. Bezwarunkowe włączenie w projekcie ustawy o KSC takich podmiotów do kategorii podmiotów kluczowych, wbrew wymaganiom dyrektywy NIS 2, może prowadzić do znaczących trudności w ich funkcjonowaniu, nie przyczyniając się jednocześnie do realnego wzrostu bezpieczeństwa cybernetycznego kraju. Jednostki samorządu terytorialnego zobowiązane będą do wyłożenia olbrzymich pieniędzy na zrealizowanie licznych rygorystycznych i sformalizowanych obowiązków, nałożonych przez projekt ustawy o KSC oraz objęte będą ryzykiem gigantycznych, wielomilionowych kar za niezrealizowanie tychże obowiązków, które mogą być nałożone nawet wówczas, gdy doszło do jednorazowego naruszenia.

Znaczące — w stosunku do dyrektywy NIS 2 — rozszerzenie katalogu podmiotów kluczowych i ważnych na 18 sektorów (łącznie ponad 38.000 podmiotów), łączy się z daleko idącymi obowiązkami dla tychże podmiotów. To zatem olbrzymie proceduralne, techniczne i biznesowe (kosztotwórcze) przedsięwzięcie, z którym będą musieli się oni zmierzyć. Nie sposób oszacować kosztów wdrożenia tych przepisów, które w sektorze prywatnym mogą wynosić od kilkudziesięciu, kilkuset tysięcy złotych nawet do ponad miliona, nie mówiąc o wielomilionowych nakładach dla sektora administracji publicznej. Poza kosztami wdrożenia wskazać należy na koszty coroczne, jakie podmioty kluczowe i ważne muszą wykładać w celu spełnienia obowiązków. Ułomności przedstawia tutaj Ocena Skutków Ryzyka, która nie zawiera jakiejkolwiek estymacji w/w kosztów. Za niespełnienie wspomnianych obowiązków przewidziane zostały wielomilionowe kary – do 10.000.000 euro lub 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej.

Projekt ustawy o KSC przewiduje procedurę uznania dostawcy sprzętu lub oprogramowania dla danego podmiotu kluczowego lub ważnego za dostawcę wysokiego ryzyka (HRV – high risk vendor), która wprowadzona została przez projektodawcę zarówno dla podmiotów kluczowych, jak i ważnych, a zatem we wszystkich 18 sektorach, w tym takich jak: zdrowie, produkcja żywności, transport, poczta, gospodarowanie odpadami. Jest to zdecydowanie nadregulacja w stosunku do dyrektywy NIS 2. Tym samym każda firma lub jednostka samorządu terytorialnego (szerzej – administracja publiczna), które w projekcie ustawy zakwalifikowane są jako podmioty kluczowe lub ważne, stanie przed perspektywą uznania swojego dostawcy (np. sprzętu komputerowego) za dostawcę wysokiego ryzyka. Przesłanki do takiego uznania przez organ (Minister Cyfryzacji) są bardzo nieostre, a konsekwencje daleko idące. Dostawcę wysokiego ryzyka produktów, usług, procesów informacyjno – komunikacyjnych (ICT) wskazuje Minister Cyfryzacji w oparciu o opinię, sporządzoną przez tzw. Kolegium ds. cyberbezpieczeństwa, w którym przewodniczącym jest Prezes Rady Ministrów. Co bardzo istotne, we wspomnianej opinii bierze się pod uwagę nieostre i polityczne kryteria takie, jak chociażby prawdopodobieństwo, z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub NATO, z uwzględnieniem np. struktury własnościowej dostawcy sprzętu lub oprogramowania lub zdolności ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania. Uznanie danego dostawcy za dostawcę wysokiego ryzyka oznacza dla firmy lub administracji publicznej konieczność usunięcia przez nią sprzętu jaki posiada od tego dostawcy. To pociągnie za sobą gigantyczne koszty. Przykładowo uznanie w danej firmie dostawcy podzespołów komputerowych za dostawcę wysokiego ryzyka, z uwagi np. na kraj pochodzenia, będzie nakładało na tą firmę obowiązek pozbycia się tego sprzętu. W konsekwencji, doprowadzi to do osłabienia konkurencyjności polskich przedsiębiorców. Wycofanie z użytkowania dostawcy wysokiego ryzyka (co do zasady w ciągu 7 lat) ma się odbywać na koszt danego podmiotu kluczowego i ważnego, a projektodawca nie przewiduje tutaj jakiejkolwiek rekompensaty, co zresztą przyznane jest wprost w Ocenie Skutków Ryzyka, załączonej do projektu ustawy. Podmiot taki ponosił zatem będzie gigantyczne koszty za nieswoje błędy. A finalnie konsekwencje tego dotkną konsumentów, z uwagi na konieczność podwyższenia kosztów usługi przez dany podmiot. Projekt nie zakłada możliwości poprawy w zakresie zabezpieczeń produktu, usługi przez danego dostawcę uznanego za dostawcę wysokiego ryzyka.

Należy tutaj zwrócić jeszcze uwagę na fakt pominięcia przez projektodawcę tego, w jaki sposób dokonywać recyklingu oprogramowania, sprzętu, którego dany podmiot kluczowy lub ważny będzie musiał się pozbyć.

Reasumując, projekt ustawy o KSC rodzi bardzo poważne konsekwencje dla kilkutysięcznej rzeszy podmiotów objętych tą ustawą. Ponadto może spowodować poważne zaburzenie w gospodarce krajowej, poprzez utratę konkurencyjności przez niektóre podmioty i wywołanie antagonizmów ze światowymi partnerami spoza UE i NATO, z którymi Polska również musi mieć silne więzi gospodarcze.

Autor jest radcą prawnym, członkiem zarządu Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców – Przedsiębiorcy.pl.

<< Powrót