Termin transpozycji dyrektywy NIS2, której celem jest osiągnięcie wysokiego poziomu cyberbezpieczeństwa w całej Unii Europejskiej, upłynął 17 października 2024 r. Ale nie tyle powolność polskiego rządu w procedowaniu projektu budzi zastrzeżenia prawników, bardziej niepokoją pomysły co do jej zakresu, wykraczające poza ustanowione w dyrektywie obowiązki dotyczące bezpieczeństwa i zgłaszania incydentów.
Dość powiedzieć, że żadne państwo Unii Europejskiej, które pod względem rozwoju gospodarki cyfrowej stoi wyżej niż Polska (wg. Indeksu gospodarki cyfrowej i społeczeństwa cyfrowego (DESI) Polska zajmuje 24 miejsce na 27 państw Unii) nie proponuje tak radykalnych rozwiązań.
Dyrektywa określa m. in. jakie podmioty kwalifikuje się jako kluczowe albo ważne, doprecyzowuje obowiązki dotyczące funkcjonowania tzw. zespołów reagowania na incydenty bezpieczeństwa komputerowego, wskazuje obowiązki jakie państwa muszą nałożyć na podmioty kluczowe i ważne.
– Ogólnopolska Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl zrzesza setki przedsiębiorców, pracodawców z różnych sektorów, w tym z sektorów, które w projekcie ustawy o krajowym systemie cyberbezpieczeństwa są uznawane za kluczowe lub ważne, takie jak np. gospodarka odpadami. Największe nasze obawy budzi procedura dostawcy wysokiego ryzyka, którą objęci są dostawcy spoza UE i NATO dostarczający sprzęt lub usługi telekomunikacyjno-informatyczne (ICT) dla wszystkich podmiotów kluczowych lub ważnych. Jest to z całą pewnością nadregulacją w stosunku do dyrektywy NIS2. Nie może być tak, żeby ocena danego dostawcy następowała m.in. w oparciu o nieostre, nietechniczne i nieprecyzyjne kryteria, takie jak m.in. kraj pochodzenia tego dostawcy – mówi Piotr Podgórski, radca prawny, członek zarządu Federacji Przedsiębiorcy.pl. – Niepokojące jest to, że decyzję co do uznania danego dostawcy za dostawcę wysokiego ryzyka ma podejmować Minister Cyfryzacji, w oparciu o opinię Kolegium ds. Cyberbezpieczeństwa. Warto wspomnieć, że przewodniczącym wspomnianego Kolegium jest Prezes Rady Ministrów, a jego członkami poszczególni ministrowie, a zatem osoby – podobnie jak Minister Cyfryzacji – reprezentujące rząd. To zaburza zasady transparentności. Dalece niepokojące jest to, że od wspomnianej decyzji nie przysługuje wniosek o ponowne rozpatrzenie sprawy w trybie przepisów kodeksu postępowania administracyjnego. Decyzja ta ma rygor natychmiastowej wykonalności, co oznacza, że dany podmiot kluczowy lub ważny zobowiązany będzie do pozbycia się sprzętu dostarczonego od dostawcy wysokiego ryzyka, co do zasady w terminie 7 lat. I to na własny koszt. Projektodawca nie przewiduje zatem możliwości dokonania np. naprawy danego sprzętu. Nie reguluje swoistego rodzaju postępowania sanacyjnego. Tutaj ma nastąpić całkowita wymiana całego sprzętu lub oprogramowania. Łatwo sobie wyobrazić, że przy dużych firmach tego rodzaju operacja wiązała się będzie z gigantycznymi kosztami. Konsekwencją tego będą podniesione ceny usług lub towarów, czego uboczne efekty odczują konsumenci. Co więcej dostawca uznany za dostawcę wysokiego ryzyka nigdy nie pozna całego uzasadnienia decyzji, gdyż będzie ona w części niejawna. Z udziału w procedurze uznania danego dostawcy za dostawcę wysokiego ryzyka wyłączone będą podmioty kluczowe lub ważne, a także organizacje społeczne. Założenia projektu ustawy o krajowym systemie cyberbezpieczeństwa, wychodzące poza wymogi dyrektywy NIS 2, są nieproporcjonalne do założonych celów, rzeczywistych potrzeb i możliwości finansowych wielu podmiotów. Dochodzi tutaj również do naruszenia zasady pewności prawa oraz niedyskryminacji. Skutkiem tego będzie utrata konkurencyjności polskich przedsiębiorców wobec firm z innych państw, w których ustawodawstwie nie przewidziano tak daleko rozszerzonej procedury uznania danego dostawcy za dostawcę wysokiego ryzyka. Czy tego rodzaju nadregulacje, tzw. gold plating – w stosunku do dyrektywy unijnej – są potrzebne do zapewnienia cyberbezpieczeństwa w naszym kraju? My, przedsiębiorcy twierdzimy, że nie. Popieramy walkę z cyberzagrożeniami, zwłaszcza w obliczu aktualnych wydarzeń geopolitycznych i uważamy, że powinniśmy się w nią włączyć. Zapewnienie cyberbezpieczeństwa powinno odbywać się jednak w poszanowaniu swobody działalności gospodarczej, zasady proporcjonalności oraz zasad konstytucyjnych tak, aby jedne wartości nie stawały w podrzędnej roli w stosunku do innych. Bezpieczeństwo i pewność bytu polskich przedsiębiorców to także bezpieczeństwo naszego kraju – przestrzega Piotr Podgórski.
Skalę problemu obrazuje liczba podmiotów, które kwalifikują się jako kluczowe albo ważne, objęte regulacjami z zakresu cyberbezpieczeństwa. Po nowelizacji ustawy będzie ich ponad 38 tysięcy.
– Wymiana sprzętu od podmiotu uznanego za dostawcę wysokiego ryzyka może kosztować danego przedsiębiorcę setki tysięcy złotych, a przy bardziej zaawansowanych technologicznie biznesach nawet kilkadziesiąt milionów złotych. Do tego dochodzą koszty licencji, przeszkolenia pracowników itp. Niektórym przedsiębiorcom, w wyniku wprowadzenia proponowanych przepisów, może wręcz grozić bankructwo – konkluduje Podgórski.