– Ten projekt to nadregulacja. Nawet lepiej można by to określić: nadimplementacja, zjawisko tzw. goldplatingu, gdyż jest to procedura, której europejska dyrektywa NIS2 nie zna, a którą objęci będą dostawcy sprzętu ICT (z ang. Information and Communication Technology) lub usług oraz oprogramowania komunikacyjno-informatycznego – mówi profesor Maciej Rogalski, ekspert rynku podczas debaty pt. „Projekt ustawy o krajowym systemie cyberbezpieczeństwa – konieczność czy gold plating? Kto i ile za to zapłaci?”, która odbyła się w Centrum Prasowym PAP. – Zgodnie z dyrektywą NIS2 kryteria te miały być stosowane wyłącznie wobec dostawców krytycznej infrastruktury 5G i dotyczyć infrastruktury telekomunikacyjnej i sześciu kluczowych sektorów. Ustawa stosuje te kryteria w odniesieniu do wszystkich generacji sieci radiowej, umożliwia wykluczenie dostawców z osiemnastu sektorów. Tymczasem żaden z opublikowanych projektów UE nie pokrywa aż tylu obszarów gospodarki i nie wprowadza politycznych kryteriów państwa pochodzenia.
Opublikowany miesiąc temu projekt ustawy o krajowym systemie bezpieczeństwa, przygotowywany przez Ministerstwo Cyfryzacji, wywołuje ogromne zaniepokojenie. Pod szyldem „cyberbezpieczeństwa” wprowadza się procedurę dostawcy wysokiego ryzyka, która jest nadregulacją w stosunku do dyrektywy unijnej NIS2, a przecież celem nowelizacji miało być jedynie dostosowanie ogólnych wymagań dyrektywy unijnej NIS2 do specyfiki polskiej sytuacji.
Do rozmowy o zagrożeniach wynikających z projektu ustawy organizator debaty, Karol Skupień, Prezes Zarządu Krajowej Izby Komunikacji Ethernetowej (KIKE) zaprosił również Piotra Podgórskiego, wiceprezesa Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy pl. i Krzysztofa Dzięgielewskiego, Skynet Sp. z o.o. Eksperci nie szczędzili słów krytyki wobec nadregulacji, a zarazem wyrazili nadzieję, że ustawodawca usłyszy ich głos rozsądku.
– To, że kluczowych sektorów ma być osiemnaście, oznacza, że więcej przedsiębiorstw będzie musiało spełniać wymogi dyrektywy, a to wiąże się z wysokimi kosztami i może stanowić zagrożenie dla ich bytu. Radziłbym nie generować problemów – twierdzi profesor Maciej Rogalski.
– Kryteria są nieostre, nietechniczne, nieprzejrzyste, a konsekwencją będzie utrata konkurencyjności polskich firm. Przedsiębiorcy nie są przeciwni regulacjom potrzebnym do cyberbezpieczeństwa, ale takie regulacje jak proponuje minister cyfryzacji uderzają w ich bezpieczeństwo i pewność bytu – przestrzega Piotr Podgórski, Przedsiębiorcy pl.
Z badania dotyczącego wykorzystania w sektorze telekomunikacyjnym sprzętu dostawców pochodzących spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, przeprowadzonego w październiku 2024 roku przez KIKE wynika, że 100 proc. ankietowanych wskazało, iż przy budowie sieci telekomunikacyjnych mali i średni polscy operatorzy telekomunikacyjni, w przeważającej liczbie, wykorzystują urządzenia producentów pochodzących z Azji. Szacunkowa wartość infrastruktury telekomunikacyjnej wykorzystującej sprzęt i/lub oprogramowanie dostawców spoza UE i NATO to średnio 3,3 mln zł na operatora.
– Projektowanie sieci to jeden z najdłuższych procesów w naszej branży – mówi Krzysztof Dzięgielewski, reprezentujący polskiego operatora komunikacyjnego Skynet Sp. z o.o.. – Żeby móc konkurować z większymi musimy być lepsi, szybsi i mieć bezpieczną sieć. Projektując wydatki biznesowe nie braliśmy pod uwagę kosztów, które będziemy musieli ponieść w wyniku przeregulowania. Wielu przedsiębiorców z branży może stanąć na krawędzi bankructwa, wielu wstrzymuje się z inwestycjami.
– Czy interes amerykańskich potentatów stawiany jest wyżej niż bezpieczeństwo polskiego przedsiębiorcy? – pyta Karol Skupień, prezes KIKE. – Zapisy ustawy dają możliwość podejmowania przez ministra cyfryzacji politycznych, nieopartych na technicznej wiedzy, decyzji. Co jeśli zaczniemy usuwać dobre urządzenia i zamieniać je na gorsze, wydając przy tym, tylko w sektorze telekomunikacyjnym, kwoty rzędu 6 mld zł i więcej. Ta ustawa to jedno wielkie oszustwo, żeby politycy mogli zdecydować kto ma zarobić a kto nie.