18 października 2024 r. na terytorium Unii Europejskiej zaczęła obowiązywać dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa. Do tego dnia każde z państw należących do Wspólnoty (w tym także Polska) miało przygotować własne przepisy, przekładające je do prawa krajowego.
Ministerstwo Cyfryzacji opublikowało w kwietniu 2024 r. projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wersja po konsultacjach była datowana z kolei na 3 października 2024 r., ale ostatecznie nowe przepisy nie weszły jeszcze w życie. Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl przygotowała na podstawie proponowanych regulacji swój raport dotyczący kosztów wdrożenia i poziomu wiedzy przedsiębiorców oraz instytucji w tym zakresie.
Olbrzymie koszty wdrożenia nowych przepisów o cyberbezpieczeństwie na przykładzie sektora gospodarowania odpadami
Trudno jest obecnie precyzyjnie oszacować koszty wdrożenia nowych przepisów o cyberbezpieczeństwie. O takie obliczenia pokusiła się jednak Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl, odnosząc się do sektora gospodarowania odpadami. Zgodnie z jej raportem całościowe koszty związane z koniecznością wymiany sprzętu producenta uznanego za dostawcę wysokiego ryzyka u jednego przedsiębiorcy można oszacować na poziomie 380 620 PLN w pierwszym roku, natomiast w ciągu 5 lat kwota ta może wynosić 594 300 PLN. Oznacza to, że szacunkowy wydatek dla jednego przedsiębiorcy może wynieść blisko 900 tys. PLN netto w pięcioletniej perspektywie. Zgodnie z danymi zawartymi w Ocenie Skutków, na polskim rynku, w branży gospodarowania odpadami, funkcjonuje obecnie 276 podmiotów, na które będzie mieć wpływ nowelizacja. Jeśli przemnożymy tę liczbę przez wartość finansową skutku dla jednego podmiotu, da to łączną kwotę ponad 248 mln PLN.
Jeśli chodzi o koszty związane z wycofaniem sprzętu lub oprogramowania od dostawców wysokiego ryzyka, określono je jako niemierzalne. Projekt oddziałuje bowiem na podmioty o zróżnicowanej wielkości – od mikro do dużych. To dlatego warto wziąć pod uwagę to, że koszty audytów bezpieczeństwa, zatrudnienia specjalistów z zakresu cyberbezpieczeństwa, wdrożenia systemu zarządzania bezpieczeństwem informacji itp. mogą się znacząco różnić, w zależności od wielkości i charakteru usług świadczonych przez podmiot, co także wykazano w raporcie.
Znikomy poziom wiedzy o nowych przepisach na temat cyberbezpieczeństwa
Chociaż nowe przepisy o cyberbezpieczeństwie w Polsce powinny wejść w życie już niedługo, poziom wiedzy na ich temat jest wciąż niski. To także wykazuje raport Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl. Na pytanie zadane podmiotom w ankiecie: „Czy znane są Pani/Panu konsekwencje dla przedsiębiorców wprowadzenia ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa przedstawionego przez Ministerstwo Cyfryzacji?”, aż 71,9% z nich odpowiedziało, że nie, a tylko 28,1%, że wie o konsekwencjach. Świadczy to o konieczności dalszych przygotowań. Niezbędne będzie przeprowadzenie akcji informacyjnej, podczas której przekazane zostaną informacje o najnowszych przepisach, wraz z ich szczegółowym objaśnieniem.
Czego dotyczą nowe przepisy o cyberbezpieczeństwie?
Kluczowym elementem nowych regulacji o cyberbezpieczeństwie jest wprowadzenie pojęcia dostawcy wysokiego ryzyka, które umożliwi organom państwa eliminację z rynku niebezpiecznego sprzętu i usług. Może być do tego zakwalifikowana ta jednostka, która przez swoje działania stwarza poważne zagrożenie dla bezpieczeństwa państwa, obronności i porządku publicznego lub zdrowia i życia ludzi. Mianem dostawcy wysokiego ryzyka określany jest dostawca sprzętu lub oprogramowania, który stwarza poważne zagrożenie dla bezpieczeństwa państwa, obronności, bezpieczeństwa i porządku publicznego lub zdrowia i życia ludzi.Może to być podmiot działający w Unii Europejskiej i NATO jak i poza nimi, niezależnie od pochodzenia kapitału. Weryfikacja pod tym kątem wymaga przeprowadzenia sformalizowanej, wieloetapowej procedury administracyjnej, z możliwością przedstawienia swoich argumentów. Analiza obejmuje:
- zagrożenia bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożenia dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania, z uwzględnieniem informacji o zagrożeniach uzyskanych od państw członkowskich lub organów Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego;
- prawdopodobieństwo z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, z uwzględnieniem przepisów prawnych, struktury własnościowej, czy też zdolności ingerencji państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania.
Kogo obejmą nowe przepisy o cyberbezpieczeństwie?
Nowe przepisy o cyberbezpieczeństwie mają objąć część polskich przedsiębiorstw i innych jednostek. Obecnie dotyczą one wyłącznie operatorów usług kluczowych wyznaczanych na podstawie decyzji administracyjnej i przynależących do jednego z siedmiu sektorów, tj. energetyki, transportu, bankowości, finansów, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji oraz infrastruktury cyfrowej.
Dyrektywa unijna NIS2, która będzie miała zastosowanie w Polsce, wprowadza dwie nowe kategorie podmiotów: kluczowe i ważne, obejmujące jednocześnie więcej sektorów. Nowe przepisy o cyberbezpieczeństwie ma stosować m.in. sektor telekomunikacyjny i administracja publiczna. Do podmiotów ważnych będą z kolei zaliczane te z sektora dostawców usług cyfrowych i sześciu nowych: usługi pocztowych i kurierskich, gospodarowania odpadami, produkcji, wytwarzania i dystrybucji chemikaliów, produkcji, przetwarzanie i dystrybucji żywności, produkcji z badaniami naukowymi. Nowymi przepisami zostaną objęte ponadto jednostki samorządu terytorialnego, jednostki budżetowe, w tym przedszkola, szkoły i placówki publiczne zakładane i prowadzone przez ministrów i jednostki samorządu terytorialnego, samorządowe zakłady budżetowe oraz uczelnie, a także podmioty wchodzące w skład systemu szkolnictwa wyższego i nauki.
Co istotne, do grona podmiotów kluczowych i ważnych co do zasady mogą wejść firmy będące co najmniej średnim przedsiębiorstwem. Istnieją jednak pewne wyjątki. Chodzi tutaj o zakłócenie usług, które może mieć znaczący wpływ na porządek, bezpieczeństwo lub zdrowie publiczne. Wówczas regulacjami ustawowymi objęte zostaną także mikro- i małe podmioty. Szacuje się, że w zależności od poszczególnych decyzji liczba podmiotów, które będą musiały stosować znowelizowane regulacje, wyniesie ok. 38 000.
Wnioski przedsiębiorców na temat zmian w ustawie o krajowym systemie cyberbezpieczeństwa
Zmiany ustawie o Krajowym Systemie Cyberbezpieczeństwa zostały skomentowane przez wielu przedsiębiorców w ankiecie Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl. Wielu z nich proponowało korekty legislacyjne dotyczące doprecyzowania, które z podmiotów są uznawane za kluczowe i ważne, co ma swoje konsekwencje w konieczności stosowania nowych uregulowań prawnych. Pojawiły się także liczne głosy nawołujące do unikania nadmiernej regulacji oraz przeprowadzenia przez Ministerstwo Cyfryzacji rzetelnej oceny skutków finansowych nowych przepisów dla różnych sektorów gospodarki. Przedsiębiorcy wskazali ponadto na konieczność przeprowadzenia szeroko zakrojonej kampanii informacyjnej i konsultacji z ekspertami, jak i rozważenia wprowadzenia instrumentów wsparcia finansowego dla przedsiębiorców, przy znacznych kosztach dostosowania się do nowych regulacji. Padła także propozycja zorganizowania debaty publicznej na temat nowych przepisów, z przedstawicielami rządu, ekspertami i organizacjami pozarządowymi.Obawy przedsiębiorców w zakresie zmian w Ustawie o Krajowym Systemie Cyberbezpieczeństwa skomentował doskonale prezes Robert Składowski z Ogólnopolskej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl:
Jednym z kluczowych zarzutów jest rozszerzenie grupy podmiotów kluczowych i ważnych, które będą zobowiązane do spełniania rygorystycznych wymogów w zakresie cyberbezpieczeństwa, co może prowadzić do zwiększenia obciążeń administracyjnych i finansowych. Dotyczyć to ma także jednostek samorządu terytorialnego, jednostek budżetowych, związków metropolitalnych. Szczególnie niepokojące są zawarte w projekcie kary finansowe dla kierowników jednostek, przewidziane nawet za jednorazowe zaniechanie. Mogą one sięgać nawet sześciokrotności miesięcznej pensji. Tak surowe sankcje mogą pogłębić istniejące problemy kadrowe, zwłaszcza w jednostkach samorządowych, które już teraz borykają się z trudnościami w zatrudnieniu odpowiednio wykwalifikowanego personelu. Projekt ustawy wykracza poza regulacje unijnej dyrektywy NIS2 i stanowi tym samym tzw. nadregulację, która jest nieproporcjonalna do założonych celów, rzeczywistych potrzeb i możliwości finansowych wielu podmiotów. Niejasna procedura kwalifikacji dostawców sprzętu lub oprogramowania ICT jako dostawców wysokiego ryzyka, również budzi daleko idące, uzasadnione obawy zwłaszcza, że projektodawca obejmuje tą procedurą dostawców dostarczających sprzęt dla wszystkich podmiotów kluczowych lub ważnych. Spowoduje to konieczność wyeliminowania przez takie podmioty dostawców wysokiego ryzyka i to na własny koszt. Konsekwencją tego będą podniesione ceny usług lub towarów, czego uboczne efekty odczują konsumenci. Do tego dochodzi utrata konkurencyjności polskich przedsiębiorców wobec firm z innych państw, w których ustawodawstwie nie przewidziano tak daleko rozszerzonej procedury uznania danego dostawcy za dostawcę wysokiego ryzyka.
Przedstawione w ankiecie wnioski i propozycje pozwolą na stworzenie bardziej efektywnego i zrównoważonego systemu cyberbezpieczeństwa w Polsce. Tylko ścisła współpraca między różnymi grupami, pozwala na zalezienie rozwiązań, które będą skuteczne w zapewnieniu bezpieczeństwa, jak i nie obciążą zbytnio firm.
