Subskrybuj nas na Youtube
Zapisz się na newsletter
W uwagach, jakie do projektu przygotowanego przez Ministerstwo Cyfryzacji zgłosiły inne resorty, najczęściej padającym argumentem jest wykraczanie projektodawcy poza unijne przepisy. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC) stanowi implementację unijnej dyrektywy 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (NIS2). Ale projektowane rozwiązania idą dużo dalej, wdrażając też tzw. toolbox, czyli przyjęte w UE narzędzia oceny ryzyka dostawców sprzętu do sieci 5G i ograniczeń wobec firm uznanych za dostawców wysokiego ryzyka (HRV).
Jak wskazuje Ministerstwo Rozwoju i Technologii, ta nadmiarowość nakłada na polskich przedsiębiorców większe obowiązki, niż ma to miejsce w innych państwach członkowskich. „W średniej i dłuższej perspektywie może to oznaczać gorsze warunki prowadzenia działalności gospodarczej” – ostrzega MRiT i postuluje rozważenie eliminacji nadmiarowych przepisów.
Jest lepiej, ale wciąż rygorystycznie
Ministerstwo Cyfryzacji deklaruje, że po konsultacjach uwzględniło ok. 70 proc. „propozycji, które mają usprawnić nadzór i jeszcze bardziej zwiększyć przejrzystość przepisów”.
– Rzeczywiście widać dużo zmian – przyznaje Agnieszka Wachowska, radczyni prawna, co-managing partner kancelarii Traple Konarski Podrecki i Wspólnicy.
Wskazuje m.in. na przesunięcie części podmiotów z grupy kluczowych do ważnych (co oznacza brak konieczności obowiązkowych audytów oraz niższe kary i środki nadzoru). Pierwszy projekt nowelizacji krytykowano, że był pod tym względem surowszy od dyrektywy.
– Do grupy podmiotów ważnych przeniesiono m.in. sektory produkcji przemysłowej, produkcji, wytwarzania i dystrybucji chemikaliów i produkcji, przetwarzania i dystrybucji żywności. Równocześnie z podmiotów ważnych zdjęto obowiązek przeprowadzania audytu – mówi Agnieszka Wachowska.
Zmianą łagodzącą jest też podniesienie minimalnego progu zatrudnienia decydującego o objęciu obowiązkami ustawy usług w zakresie cyberbezpieczeństwa.
– Pierwotnie zaliczały się wszystkie takie firmy, teraz wyłączono mikroprzedsiębiorców – wskazuje ekspertka.
Korzystne jest też wydłużenie terminu zgłoszenia się do wykazu podmiotów ważnych i kluczowych z dwóch do trzech miesięcy. Ponadto pierwszy audyt dla podmiotów kluczowych nastąpi po 24, a nie po 12 miesiącach, a kolejne będą przeprowadzane co trzy, a nie co dwa lata.
– Nie wydłużono natomiast terminu na wdrożenie środków wymaganych ustawą, nadal jest na to tylko sześć miesięcy – zaznacza Agnieszka Wachowska.
Najbardziej kontrowersyjne rozwiązania pozostały w projekcie. Decyzją o uznaniu za dostawcę wysokiego ryzyka minister cyfryzacji będzie mógł usuwać z polskiego rynku dowolnych dostawców ICT (produktów, usług lub procesów związanych z technologiami informacyjno-telekomunikacyjnymi). Od takich firm nie będzie wolno kupować, a już posiadany sprzęt trzeba będzie wymienić.
Wprowadzenie tego mechanizmu „będzie miało negatywne skutki dla wszystkich działów gospodarki cyfrowej, w tym w nauce, medycynie, handlu i transporcie” – ostrzega MRiT, podkreślając, że skutki odczuje 18 sektorów gospodarki.
– Kosztowne wymagania będą musiały realizować przykładowo jednostki samorządu terytorialnego, z włączeniem szkół czy przedszkoli, chociaż znajdują się poza obszarem regulacji NIS2 – podkreśla Ryszard Hordyński, dyrektor ds. strategii i komunikacji Huawei Polska. – KSC przewiduje regularne audyty placówek objętych ustawą i o ile MC mówi o wsparciu finansowym na ich przeprowadzenie, to pojawia się pytanie, skąd będą pozyskiwane środki na wdrażanie zaleceń tych audytów – zwraca uwagę.
MRiT dodaje, że oparcie procedury uznania za HRV „nie na elementach technicznych, lecz politycznych takich jak np. pochodzenie dostawcy spoza NATO i EOG” budzi „zasadnicze obawy o arbitralną ingerencję w proces oceny dostawców”.
– Zgodnie z oceną skutków regulacji do tego projektu przepisy obejmą co najmniej 38 tys. podmiotów. Dla porównania, w Niemczech analogiczna regulacja dotyczy 35 tys. podmiotów. Także we Francji i w Hiszpanii implementacje NIS2 nie są tak szerokie jak u nas – odpowiednio 15 tys. i 25 tys. – a wszystkie te kraje są większe od Polski – mówi prof. dr hab. Maciej Rogalski, rektor Uczelni Łazarskiego i partner w kancelarii prawnej Rogalski i Wspólnicy.
– Powstają wątpliwości, czy została zachowana zasada proporcjonalności projektowanych przepisów w stosunku do celu, który zamierzamy osiągnąć, zwłaszcza że NIS2 w art. 5 przewiduje zasadę harmonizacji minimalnej. Wątpliwości te uzasadnia dodatkowo okoliczność w postaci braku szczegółowych analiz kosztów wdrożenia tych rozwiązań dla wspomnianych wcześniej podmiotów i konsumentów – dodaje.
Według MRiT nowela KSC „będzie traktowana przez przedsiębiorców z państw trzecich jako dyskryminacja i będą oni inwestować w tych państwach UE, które implementowały NIS2 bez dodatkowych regulacji”.
Lepiej napisać od nowa
– Oceniam ten projekt jako lepszy od poprzedniego – podsumowuje Agnieszka Wachowska. – Natomiast biorąc pod uwagę zakres zmian, które wnosi NIS2, lepszym rozwiązaniem niż coraz mniej przejrzysta nowelizacja KSC byłoby napisanie nowej ustawy – dodaje.
Taką uwagę zgłosiło też Ministerstwo Sprawiedliwości, przywołując par. 84 „Zasad techniki prawodawczej”, stanowiący załącznik do rozporządzenia Rady Ministrów (Dz.U. z 2016 r. poz. 283). Zgodnie z nim, jeżeli „zmiany wprowadzane w ustawie miałyby być liczne albo miałyby naruszać konstrukcję lub spójność ustawy albo gdy ustawa była już poprzednio wielokrotnie nowelizowana, należy opracować projekt nowej ustawy”.
– Obecnie procedowana nowela jest obszerniejsza niż sama ustawa o krajowym systemie cyberbezpieczeństwa, czyli nowela jest większa niż ustawa, którą zmienia – mówi Maciej Rogalski. ©℗
/>
Podstawa prawna
Etap legislacyjny
Projekt skierowany do Komitetu do Spraw Europejskich
