Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa rozszerza stosowanie ustawy do kilkudziesięciu tysięcy podmiotów z 18 sektorów gospodarki. Jedną z branż, która ma być objęta nowym katalogiem podmiotów podlegających ustawie, jest sektor producentów, przetwórców i dystrybutorów żywności.

Według założeń Ministerstwa Cyfryzacji, które jest wnioskodawcą projektu ustawy, zmiany dotyczyć będą 1204 podmiotów z branży okołospożywczej. Nowe obowiązki mogą zostać nałożone na przedsiębiorców i podmioty prowadzące działalność dotyczącą m.in. produkcji artykułów spożywczych, a także sprzedaży hurtowej: owoców i warzyw, mięsa, wyrobów mleczarskich, jaj, olejów i tłuszczów jadalnych oraz napojów alkoholowych i bezalkoholowych.

To kolejne wyzwanie, z jakim być może będzie musiał się w najbliższym czasie zmierzyć polski sektor żywnościowy. W ostatnich miesiącach branża rolno-spożywcza głośno protestuje przeciw regulacjom związanym z Zielonym Ładem. Te unijne przepisy – zdaniem producentów rolnych – nakładają na branżę zbyt wygórowane restrykcje, co w konsekwencji dusi produkcję rolną.

Problem związany z Zielonym Ładem – w przeciwieństwie do projektu nowelizacji ustawy o KSC, który również uderzy w branżę – jest jednak powszechnie znany i przedstawiciele sektora zabierają w tej sprawie publicznie głos.

Natomiast regulacje związane z podniesieniem poziomu cyberbezpieczeństwa, póki co nie przebiły się do mainstreamu i nie budzą dużego zainteresowania podmiotów nimi objętych.Tymczasem nowe przepisy, o których mowa w projekcie ustawy o KSC, dotyczyć będą nie tylko dużych organizacji, ale także tych zatrudniających co najmniej 50 osób lub mających co najmniej 10 mln euro rocznego przychodu.

Nowe obowiązki, wysokie kary

Jak mówi nam Jakub Kulesza, ekspert z think-tanku Forum Prawo dla Rozwoju, projekt nakłada na firmy z sektora spożywczego szereg nowych obowiązków, za niespełnienie których przewidziano wielomilionowe kary finansowe.

- W dokumencie pojawił się m.in. obowiązek stworzenia systemów zarządzania bezpieczeństwem informacji, obowiązek wdrożenia zabezpieczeń chroniących przed incydentami cyberbezpieczeństwa czy też obowiązek wdrożenia nowej, rozbudowanej dokumentacji dotyczącej cyberbezpieczeństwa – wylicza Kulesza.

- Przepisy ustawy wyraźnie wskazują, że kary finansowe dotyczą również sytuacji, gdy doszło wyłącznie do jednorazowego naruszenia – wskazuje ekspert, dodając, że odpowiedzialność prawna będzie spoczywała na członkach zarządów firm, a nie szefach działów IT.

Andrzej Gantner, wiceprezes Polskiej Federacji Producentów Żywności Związku Pracodawców, zwraca z kolei uwagę, że przepisy nowej ustawy nie są jednoznaczne.

- Nie zostały określone dokładne ramy i komponenty strategii cyberbezpieczeństwa, ale wskazane została konieczność jej posiadania. Brak precyzji przepisów w zestawieniu z wysokością kar może stanowić poważny problem dla firm spożywczych – alarmuje wiceszef PFPŻZP.

Dodaje, że zgodnie z założeniami projektu ustawy, kara może sięgać nawet 7 mln euro, a nie może być niższa niż 15 tys. zł.

W Ocenach Skutków Regulacji przedstawionych przez wnioskodawcę czytamy, że nowe obowiązki 1204 podmiotów z sektora spożywczego dotyczyć będą m.in. zarządzania ryzykiem cyberbezpieczeństwa oraz zgłaszania incydentów do właściwych Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego.

Zgodnie z nową dyrektywą UE

Jak wyjaśnia Ministerstwo Cyfryzacji, projektowana ustawa ma na celu wdrożenie dyrektywy NIS 2 Parlamentu Europejskiego i Rady dotyczącej środków „na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii”.

Jak czytamy w OSR, „zmieniająca się sytuacja międzynarodowa oraz konieczność dostarczenia usług dużej grupie nowych klientów sprawia, że niezbędne jest dalsze wzmacnianie podmiotów krajowego systemu cyberbezpieczeństwa”

Dyrektywa NIS2 obowiązuje wszystkie państwa UE od stycznia 2023 r. Termin jej wdrożenia do polskiego prawa to 17 października 2024 r.

Branża spożywcza może być niegotowa

Zdaniem Kuleszy, z uwagi na znikomą liczbę działań edukacyjnych wiele podmiotów sektora producentów, przetwórców i dystrybutorów żywności wciąż nie ma świadomości, że będą objęte nowymi przepisami.

- Z niewyjaśnionych przyczyn w zaproszeniu do konsultacji publicznych pominięto podmioty z zainteresowanych sektorów, w tym sektora żywności. Jedyna informacja to wezwanie do udziału w konsultacjach na stronie internetowej ministerstwa – mówi ekspert z think-tanku Forum Prawo dla Rozwoju.

Zdaniem przedstawicieli branży spożywczej, spełnienie nowych wymogów ustawy, będzie wymagało od firm żywnościowych „sprostania wielu nowym wyzwaniom”.

- Największym z nich będą koszty wdrażanych zabezpieczeń. Główny koszt to rozbudowa i unowocześnienie działów IT. Zaliczyć do tego należy zarówno systemy IT jak i wykwalifikowany zespół ekspertów. Dodatkowe zabezpieczenia będą dotyczyć systemów komunikacji i ochrony danych – wylicza Gantner z Polskiej Federacji Producentów Żywności Związku Pracodawców.

Dodaje on, że polski rząd powinien zabezpieczyć odpowiednie fundusze na szkolenia przedsiębiorców, tak aby z jednej strony wzmocnić ich cyberbezpieczeństwo, a z drugiej uchronić przed negatywnymi skutkami finansowymi kar.