Prace nad nowelizacją Krajowego Systemu Cyberbezpieczeństwa (KSC) powinny zostać wstrzymane do czasu przyjęcia europejskiej dyrektywy NIS 2, uważa Federacja Przedsiębiorców Polskich (FPP). Dodatkowo projekt nowelizacji KSC budzi kontrowersje zarówno w zakresie nowych obowiązków dla przedsiębiorstw, jak i braku odpowiednich konsultacji społecznych, podkreśliła Federacja.
"Raport CALPE wskazuje, że skutki wdrożenia zmiany ustawy mogą wpłynąć nawet na kilkadziesiąt tysięcy mikro-, małych, średnich i dużych przedsiębiorstw. W takiej sytuacji koszty wdrożenia mogą wynosić nawet kilka miliardów złotych rocznie, wobec szacowanej w OSR średniej rocznej wartości na poziomie 700 mln zł. Ponadto jedna ze zmian dotyczy wprowadzenia mechanizmu, który pozwala uznać dowolnego dostawcę za dostawcę wysokiego ryzyka. Mechanizm ten może zostać uznany za niezgodny z prawem UE, Konstytucją, a także podstawowymi zasadami postępowania administracyjnego" - czytamy w komunikacie.
Wiceprzewodniczący FPP Arkadiusz Pączka wskazał, że wkrótce ma wejść w życie dyrektywa NIS 2, która zastąpi w całości dyrektywę NIS. Debata i głosowanie nad chwaleniem dyrektywy zostały zaplanowane w Parlamencie Europejskim na 10 listopada 2022.
"NIS 2 istotnie zmieni regulacyjny krajobraz cyberbezpieczeństwa. Kluczowe jest, aby w pracach nad jej implementacją uniknąć pośpiechu. Istotnym elementem będzie też przeprowadzenie szerokich konsultacji społecznych. Tymczasem w Polsce trwają prace nad znowelizowaniem polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa. Kolejne wersje projektu budzą liczne kontrowersje. Co istotne, wątpliwości budzi też zakres i sposób prowadzenia konsultacji społecznych. Powstaje też pytanie, czy to rzeczywiście dobry kierunek wobec nieuchronnej konieczności wdrożenia wymogów NIS 2. Może się okazać, że nowa wersja krajowych przepisów za chwilę będzie wymagać kolejnych zmian" - powiedział Pączka, cytowany w komunikacie.
"W aktualnej wersji projektu nowelizacji KSC w większości nie wprowadzono zmian postulowanych przez stronę społeczną i licznych ekspertów. Kontynuowanie prac w obecnym kształcie doprowadzi do powstania podwójnych standardów KSC oraz NIS2 oraz konieczności kolejnej nowelizacji KSC w sposób implementujący treść NIS2 w niedługim czasie. Dlatego rekomendujemy wstrzymanie prac nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa w jej obecnym kształcie. Najefektywniejszym rozwiązaniem byłoby połączenie prac nad nowelizacją KSC oraz strumienia prac wdrażającego postanowienia dyrektywy NIS 2. Takie racjonalne podejście przyjęły Czechy, gdzie prace nad lokalnymi rozwiązaniami dotyczącymi cyberbezpieczeństwa zostały oficjalne odwołane i rząd zainicjował proces implementacji NIS2, w celu terminowej transpozycji dyrektywy " - dodał wiceprzewodniczący.
Ramy prawne dotyczące cyberbezpieczeństwa w Polsce są w dużej mierze implementacją modelu przyjętego na poziomie Unii Europejskiej. Najważniejszy akt prawny w tym zakresie, czyli ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), jest implementacją unijnej dyrektywy NIS. Obowiązuje też szereg rozporządzeń wydanych m.in. na podstawie upoważnień zawartych w KSC, wskazano w komunikacie.
(ISBnews)