Wzmocnią ochronę przed cyberatakami. Przedsiębiorcy z nowymi obowiązkami

Firmy będą musiały same zapisywać się do rejestru prowadzonego przez ministra cyfryzacji – przewiduje projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, nad którym w tym tygodniu będzie pracował Sejm. Eksperci zwracają uwagę na zamieszanie, jakie to może wywołać.

Proponowana przez rząd nowelizacja ma wprowadzić do Polski unijną dyrektywę NIS2. Zgodnie z nią przedsiębiorcy będą musieli sami się zgłosić do rejestru, który będzie prowadzony przez ministra cyfryzacji, i określić, czy są podmiotami ważnymi, czy kluczowymi. Już za samo niewpisanie do rejestru będą grozić kary, tak samo jak za nieprzestrzeganie środków bezpieczeństwa, które zostaną zapisane w ustawie.

Większe cyberbezpieczeństwo? Opinie ekspertów

Eksperci zwracają uwagę na problemy wynikające z przewidzianego w projekcie obowiązku samorejestracji.

Prawnik specjalizujący się w nowych technologiach i właściciel wprawny.pl Mariusz Busiło mówi, że w ocenie skutków regulacji sam autor projektu napisał, że nie jest w stanie określić, na ilu przedsiębiorców spadną nowe obowiązki.

– Część projektu, która mówi o tym, kto podlega rejestracji, ma 30 stron, w tym 4 strony pełne wielu odniesień do przepisów zewnętrznych i 26 stron wyliczanki rodzajów działalności według REGON w dwóch załącznikach. Z tych czterech stron ustawy i 26 stron załączników trzeba samemu wydedukować, czy należy się zarejestrować, a jeśli tak, to czy jako podmiot kluczowy, czy podmiot ważny – podkreśla nasz rozmówca. Tak więc jego zdaniem decyzja na temat rejestracji wymaga dłuższej analizy, a i tak jest obarczona ryzykiem błędu.

– Podmioty, które nie wpiszą się do rejestru, nie powinny więc być od razu karane, a najpierw wezwane do dokonania wpisu – uważa Busiło.

Prawnik zwraca też uwagę, że problem mogą mieć przedsiębiorstwa, które świadczą usługi poboczne.

– Jeśli z głównej działalności mam istotne wpływy, jednak te usługi nie kwalifikują się do wykazu/rejestru, ale z pobocznej działalności, np. rejestrowania domen internetowych, zarabiam na tyle niewiele, aby nie podlegać wpisowi do wykazu, to czy powinienem się również zarejestrować? Ani ustawa, ani 26 stron załączników do niej nie odpowiadają na to pytanie – zauważa prawnik.

Podobnego zdania jest radca prawny Tomasz Zalewski z Kancelarii Zalewski Legal.

– Niektórzy przedsiębiorcy mają np. aplikacje webowe, które mogą być uznane za usługi chmurowe. Czy jeśli taki przedsiębiorca ma aplikację i jest średnim przedsiębiorcą np. z branży marketingowej, to powinien się zgłosić do rejestru? Jeśli się nie zgłosi, zostanie na niego nałożona kara – podaje przykład mec. Zalewski.

Jego zdaniem problem mogą mieć także firmy świadczące usługi outsourcingowe. Zgodnie z projektowanymi przepisami średnia firma, która świadczy takie usługi z dziedziny IT, powinna zgłosić się do rejestru.

– Problem jednak powstaje w wypadku grup kapitałowych, które w jednej spółce mają zatrudnionych informatyków świadczących też usługi w innej spółce z tej grupy. Wówczas taka spółka również powinna się zgłosić do rejestru jako świadcząca usługi outsourcingu ICT, mimo że jest to jej całkowicie poboczna działalność – tłumaczy radca prawny.

Nasz rozmówca ocenia, że zdecydowana większość przedsiębiorców nie jest wystarczająco gotowa, aby móc wypełnić obowiązki, jakie zamierzają na nich nałożyć rząd i parlament. Wskazuje również, że przepisy dyrektywy nie zawsze są jasne, a ustawodawcy dość wiernie kopiują je do implementacji.

– Mamy dużo problemów, których nawet prawnicy nie potrafią rozwiązać. Takim najprostszym przykładem jest identyfikacja, czy dany przedsiębiorca świadczy usługi, które są wymienione w jednym z załączników nowelizacji – dodaje.

Mówi też, że niektóre firmy, np. z branży produkcji żywności albo motoryzacji, w ogóle nie wiedzą, że taka zmiana przepisów jest planowana.

– Nie wiedzą, że jako producenci będą musieli wprowadzić odpowiednie zabezpieczenia – podkreśla mec. Zalewski.

Dlatego też eksperci alarmują, że zmiana przepisów wprowadzi ogromne zamieszanie na rynku.

– Będziemy mieli wiele podmiotów, które nie zgłoszą się, bo nie będą wiedziały, że mają taki obowiązek, i wiele takich, które zgłoszą się na wszelki wypadek, aby uniknąć kar. Tak było np. we Włoszech. Tam jedna trzecia wniosków o wpis do rejestru została negatywnie oceniona. Uznano, że te firmy nie powinny były się zgłaszać – ostrzega Tomasz Zalewski.

Odmiennego zdania jest radca prawny, manager w Kancelarii Peak Legal Jakub Chlebowski, który uważa, że obowiązek rejestracji nie będzie dla przedsiębiorców szczególnym problemem.

– Mamy zapisane w projekcie konkretne progi, zgodnie z którymi dany przedsiębiorca będzie musiał określić siebie jako tego, który podlega pod regulację. Mimo że mówi się, że nawet 10 tys. podmiotów podlegałoby w Polsce pod KSC, to obowiązek rejestracji nie byłby bardzo uciążliwy, zwłaszcza że część podmiotów już podlega pod KSC – uważa nasz rozmówca.

Kary dla właścicieli spółek

Projektowane przepisy wprowadzają też odpowiedzialność zarządów i prezesów spółek za nieprzestrzeganie nowych obowiązków. Tymczasem, jak zauważa mec. Zalewski, w unijnej dyrektywie NIS2 nie ma tego typu zapisów.

– To pomysł polskiego ustawodawcy, który przyniesie negatywne skutki, bo spółki będą zgłaszały się do rejestru nawet wtedy, kiedy nie będzie to konieczne – uważa.

Radca prawny podkreśla, że chociaż pozytywnie ocenia przepisy dotyczące cyberbezpieczeństwa zawarte w omawianym projekcie, to jego zdaniem powinny powstać dokładne, przejrzyste wytyczne do ich wprowadzenia w życie.

Z kolei Mariusz Busiło podkreśla, że nie popiera karania, a szczególnie karania ofiar cyberataków.

– Rząd mówi, że ta ustawa ma nas zabezpieczyć przed cyberatakami głównie hakerów, służb wrogich nam państw, np. Rosji. Oni prowadzą stałe ataki na nasze instytucje publiczne i na przedsiębiorców. Pomysł rządu jest więc taki, aby ci przedsiębiorcy sami walczyli, a jak polegną, to państwo ich za to ukarze – komentuje. ©℗