We wtorek 16 grudnia w Sejmie członkowie Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii debatowali z przedstawicielami biznesu, organizacji gospodarczych oraz ekspertami z branż technologicznych o planowanych zmianach w krajowym systemie cyberbezpieczeństwa.

W centrum dyskusji na temat ustawy nowelizującej ten obszar znalazło się wprowadzenie pojęcia Dostawców Wysokiego Ryzyka (DWR), objęcie nowymi obowiązkami dużego grona podmiotów oraz zarzuty nadregulacji.

W debacie wziął udział Paweł Olszewski, wiceminister cyfryzacji. Otworzył on posiedzenie, podkreślając, że Polska należy do najczęściej atakowanych przez cyberprzestępców krajów.

– Wdrożenie dyrektywy NIS2 do porządku prawnego polskiego jest absolutnie kluczowe z punktu widzenia bezpieczeństwa państwa. W tym roku mamy już ponad 200 tys. poważnych ataków, incydentów – zaznaczył na wstępie. – Wprowadzamy instytucję Dostawców Wysokiego Ryzyka, która ma na celu zapewnienie bezpieczeństwa państwa i obywateli przed zagrożeniami technologicznymi. To nie jest decyzja arbitralna ministra, ale wieloetapowa procedura z udziałem kolegium ds. cyberbezpieczeństwa i możliwością odwołania się do sądu – podkreślił Olszewski.

Wprowadzone rozwiązania mają dotyczyć konkretnych produktów i usług, a nie firm w całości.

W dalszej części dyskusji do kwestii zagrożeń odniósł się Mariusz Busiło, ekspert Polskiej Izby Informatyki i Telekomunikacji, który przywołując dane Microsoftu stwierdził, że to nie Polska jest w ścisłej czołówce państw zagrożonych cyberatakami, w tym ze strony Rosji.

W podobnym tonie jak wiceminister cyfryzacji wypowiadał się Paweł Bliźniuk, poseł KO, skupiając się na ogólnym kontekście geopolitycznym. Mówił m.in., że ustawa jest koniecznością z punktu widzenia budowania wiarygodności państwa w obrocie cyfrowym.

Obawy o polskich przedsiębiorców

Do wcześniejszych słów odniósł się prof. Artur Nowak-Far, ekspert Polskiego Towarzystwa Gospodarczego, który wyraził obawy dotyczące wpływu regulacji na małe i średnie przedsiębiorstwa oraz rynek technologiczny.

– Bezpieczeństwo, a zwłaszcza cyberbezpieczeństwo, są zagadnieniem wieloaspektowym i nie sposób się nie zgodzić z panem ministrem co do wszystkiego. Ale jeszcze trzeba zwrócić uwagę, czy w tak daleko idących regulacjach będą w odpowiednich warunkach funkcjonować małe i średnie przedsiębiorstwa, czy przypadkiem regulacje nie idą za daleko. Drugim aspektem jest to, że tego rodzaju regulacja nie jest w próżni. Współwystępuje z implementacjami NIS2 w innych państwach członkowskich UE. Wszelkie za daleko idące różnice mogą prowadzić do arbitrażu technologicznego, który polegałby na tym, że przedsiębiorstwa z innych państw UE będą sprzedawać w Polsce swoje technologie drożej, a kupować same na świecie taniej do własnego zastosowania, co może upośledzić konkurencyjność polskiej gospodarki – argumentował prof. Nowak-Far.

Z odpowiedzi wiceministra Olszewskiego wynikało, że choć ceni prof. Nowaka-Fara jako swojego wykładowcę, nie zmieni zdania w sprawie wskazanych zapisów ustawy.

Prof. Marek Chmaj, konstytucjonalista, również zwrócił uwagę na konieczność uwzględnienia mikro i małych przedsiębiorstw.

– Katalog podmiotów, które są objęte zakresem projektowanej ustawy, jest szeroki. Załączniki numer 1 i 2 do projektu, które określają sektory kluczowe i ważne, są szersze niż katalogi załączników numer 1 i 2 do dyrektywy NIS2. Warto w toku prac parlamentarnych pochylić się nad weryfikacją katalogów z sektorów kluczowych i ważnych pod kątem tego, czy obejmują one podmioty autentycznie niezbędne z punktu widzenia zdrowia i bezpieczeństwa. Po drugie, obowiązki podmiotów kluczowych oraz ważnych wydają się niedostatecznie zróżnicowane. Za niedopełnienie obowiązków ustawowych grożą surowe kary pieniężne o charakterze administracyjnym. Projekt zatem stwarza ryzyko, że podmioty mające mniejszy aparat administracyjny, będą miały poważne problemy organizacyjne w zakresie dostosowania się do nowych regulacji – powiedział prof. Chmaj, dodając, że stąd bierze się postulat, by w ustawie ustalić okres karencji, nie karać od razu za naruszenie jej przepisów.

– Dajmy podmiotom małym, średnim czas na to, żeby się dostosowały – apelował prof. Chmaj.

Zaznaczył też, że projekt nie przewiduje pomocy dla tych podmiotów, które będą musiały wycofać swoje produkty lub usługi. To może rodzić potrzebę stworzenia dla nich rekompensaty.

Prof. Chmaj uznał również 7 lat za zbyt krótki okres dla określonych podmiotów na wycofanie produktów i usług w przypadku wydania decyzji o uznaniu za dostawcę wysokiego ryzyka.

Piotr Podgórski, radca prawny, członek Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców, zauważył, że świadomość ustawy wśród przedsiębiorców jest bardzo mała. Patrzą z przerażeniem na konieczność likwidacji sprzętu w zaledwie siedem lat.

– Jeśli chodzi o procedurę DWR, widzimy tu problem z przejrzystością. Zaszycie w projekcie ustawy 5G Toolbox nie pochodzi jeden do jednego z dyrektywy unijnej – idzie dużo szerzej i dotyczy całego spektrum w ramach ICT. Tak daleko idąca regulacja jest według nas niezgodna z NIS2 i z 5G Toolbox – podkreślił. – Paradoksem jest dla nas ustanowienie cenzusu majątkowego – to dla nas naruszenie równości wynikającej z Konstytucji – dodał.

Na te słowa zareagował wiceminister Olszewski.

– Nie mamy wprowadzać NIS2 jeden do jednego. Dyrektywa określa minimalne warunki. Polska znajduje się we wschodniej flance NATO, na granicy z Rosją, regulacje muszą iść szerzej. Większość krajów UE już wdrożyła 5G Toolbox – tu mówimy o twardym bezpieczeństwie Polski i musimy o nie zadbać. Tam, gdzie chodzi o bezpieczeństwo, tam nie ma kompromisów – mówił Olszewski.

Nadmiarowe zapisy

Kinga Pawłowska-Nojszewska z Krajowej Izby Komunikacji Ethernetowej również mówiła o nadregulacji.

– Objęcie regulacją aż 40 tys. podmiotów, podczas gdy 5G Toolbox mógłby dotyczyć tylko 4, to nadregulacja. Ustawa powinna skupiać się na eliminacji incydentów, a nie na usuwaniu urządzeń. Projekt przewiduje wyższy próg niż ten w NIS2 – apelujemy, żeby tak nie było, to także element nadregulacji. Prosimy też, żeby polecenie zabezpieczające trwało tylko na czas sytuacji kryzysowej, a nie nawet dwa lata, jak teraz w projekcie – to jest nadmiarowe. Poza tym, MŚP nie mogą być stroną w postępowaniu, muszą wykazać interes, żeby sąd w ogóle dopuścił skargę do postępowania. Filarem bezpieczeństwa jest dywersyfikacja dostawców, a nie usuwanie sprzętu – powiedziała Kinga Pawłowska-Nojszewska.

Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji, wyraził poparcie dla projektu, ale apelował o włączenie branży w proces wdrożenia.

– Cieszymy się, że ta regulacja nadchodzi, bo jest ważna i potrzebna. Przychylam się do wniosku, aby w możliwie najkrótszym czasie ją przyjąć. Natomiast nadchodzi kolejny etap, który będzie bardzo istotny i znaczący, a mianowicie wdrożenie aktów wykonawczych. I tutaj oczekuję, że branża będzie włączona w dyskusję o tym, jak to będzie praktycznie wprowadzane. Podstawowym celem, który wszyscy chcemy osiągnąć, jest bezpieczeństwo polskiej infrastruktury, polskiej sieci, polskiego przekazu informacji i funkcjonowania naszej gospodarki – powiedział prezes.

Wątpliwości i postulaty, które poruszono podczas posiedzenia, dotyczące dostawców wysokiego ryzyka, 5G Toolbox czy nadregulacji, pojawiały się już wcześniej podczas publicznych dyskusji i konsultacji ustawy.

MM

Materiał z serwisu partnerskiego Cyfrowa Gospodarka