– Projekt nowelizacji implementującej dyrektywę NIS2 zawiera rozwiązania tak dyskrecjonalne, że zamiast podwyższyć poziom bezpieczeństwa w Polsce stanowią zagrożenie dla bezpieczeństwa narodowego – uważają autorzy raportu opublikowanego w grudniu przez Centrum im. Adama Smitha.
Ministerstwo Cyfryzacji poinformowało w październiku, że zakończyły się prace nad ustawą o Krajowym Systemie Cyberbezpieczeństwa. Wiceminister cyfryzacji Paweł Olszewski zapewniał wtedy, że przygotowano „przemyślane rozwiązania, które usprawnią nadzór nad kluczowymi podmiotami systemu cyberbezpieczeństwa w Polsce”. Eksperci są odmiennego zdania.
W opublikowanym wcześniej raporcie EY pt. „Implementacja Dyrektywy NIS2 w Polsce na tle wybranych państw UE” czytamy, że proponowane zmiany wykraczają mocno ponad dyrektywę i są nazbyt restrykcyjne, a przede wszystkim arbitralne. Dając niekontrolowaną władzę administracji sprzyjają nadużywaniu stanowisk publicznych do osiągania prywatnych korzyści.
W przeszłości wielokrotnie, pod pretekstem konieczności wprowadzenia w Polsce unijnych dyrektyw, rządy wprowadzały dodatkowe, nie wymagane przez EU, rozwiązania. Za negatywne skutki tych rozwiązań obarczana była Unia. W przypadku implementacji dyrektywy NIS2 jest podobnie, bowiem nie przewiduje ona wprowadzania dostawców wysokiego ryzyka, ani też rozszerzenia zakresu działania Toolbox 5G na wszystkie generacje sieci radiowej jak to czyni rząd. Ponadto, w przeciwieństwie do pozostałych państw Unii, polski ustawodawca wprowadza wykluczenie dostawców aż z osiemnastu sektorów na podstawie politycznego kryterium państwa pochodzenia. Co więcej Polska, jako jedyny kraj UE, nie wyłącza jednostek samorządu terytorialnego (JST) spod działania dyrektywy. Oznacza to, że w związku z jej wdrożeniem JST będą musiały ponieść wysokie koszty, a przecież już teraz na samo utrzymanie oświaty samorządom brakuje 45 miliardów złotych. W podobnej sytuacji będą publiczne podmioty ochrony zdrowia, które w znakomitej większości korzystają z urządzeń spoza UE i NATO.
– Każdy ekspert wie, że chodzi o wyeliminowanie sprzętu chińskiego z polskich sieci telekomunikacyjnych. Z badania dotyczącego wykorzystania w sektorze telekomunikacyjnym sprzętu dostawców pochodzących spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, przeprowadzonego w październiku 2024 roku przez KIKE wynika, że 100 proc. ankietowanych wskazało, że przy budowie sieci telekomunikacyjnych, mali i średni polscy operatorzy w przeważającej liczbie wykorzystują urządzenia producentów pochodzących z Azji. To oznacza, że gdyby doszło do usunięcia sprzętu chińskiego ze wszystkich polskich sieci stacjonarnych, bezprzewodowych, samorządowych itd. to koszt, który trzeba by ponieść, wyniósłby dziesiątki miliardów złotych. Ale po co mamy wydać kilkadziesiąt miliardów złotych i wymieniać dobrej jakości sprzęt? Tylko dlatego, żeby zmienić kraj producenta? To jest decyzja stricte polityczna i nie ma nic wspólnego z bezpieczeństwem – mówi Karol Skupień, Prezes Zarządu Krajowej Izby Komunikacji Ethernetowej (KIKE).
Niespójna i dyskryminująca procedura uznania dostawcy za dostawcę wysokiego ryzyka, skupiająca się na jego pochodzeniu, a w konsekwencji prowadząca do zawieszenia, ograniczenia lub zamknięcia działalności gospodarczej, spowoduje nieodwracalne skutki finansowe w osiemnastu sektorach uznanych za kluczowe oraz w jednostkach samorządu terytorialnego. Tych kosztów najwyraźniej Ministerstwo Cyfryzacji nie oszacowało, bo na wydatki na cyberbezpieczeństwo oraz cyfryzację przeznacza kwotę absurdalnie niską.
– Tylko w najbliższych dwóch latach wydamy blisko 10 mld złotych, które również w kompetencjach cyfrowych będą odpowiadały za to, jak państwo uzbroi swoją cybertarczę – powiedział wicepremier, minister cyfryzacji Krzysztof Gawkowski na „Kongresie Bezpieczeństwo Polski” w październiku 2024. Ministerstwo Cyfryzacji doprecyzowało, że kwota ta obejmuje wydatki na cyberbezpieczeństwo oraz cyfryzację.
Nowelizacja ustawy to zdaniem ekspertów bubel prawny. Co radzą rządowi?
– Należałoby ją transponować, tak jak zrobiła większość państw Unii Europejskiej, poprzez minimalną harmonizację. Gdybyśmy zgodnie z regulacjami w zakresie tworzenia aktów prawnych transponowali dyrektywę NIS2 taką jaką ona jest, automatycznie, rozwiązalibyśmy szereg problemów – z nadmiarową regulacją, z kwestiami zapewnienia weryfikacji odpowiedniego łańcucha dostaw, szacowania ryzyk związanych z wykorzystywaniem określonego sprzętu, z konsekwencjami organizacyjnymi i finansowymi dla przedsiębiorców mówi profesor Maciej Rogalski, ekspert rynku. – Radziłbym nie generować problemów. Kto jak kto, ale rząd powinien działać zgodnie z przepisami prawa.