Analiza danych podawanych przez Ministerstwo Cyfryzacji wskazuje, że spośród ponad 1,5 tysiąca uwag zgłoszonych do projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa, uwzględniono całkowicie lub częściowo 37,5 proc., wyjaśniono 41 proc. a nie uwzględniono 21,5 proc. Tymczasem 7 października Ministerstwo Cyfryzacji informowało o 70 proc. przyjętych propozycji.
To, że Polska nie wprowadzi na czas w życie zapisów Dyrektywy NIS 2 po prezentacji przez Ministerstwo Cyfryzacji nowego projektu ustawy jest już jasne. Powinno się to bowiem stać do 18 października. Nie uda się nawet w tym roku, jak wynika z przekazanych przez Ministerstwo Cyfryzacji informacji. W listopadzie projekt miałby rozpatrzyć Komitet Stały Rady Ministrów, do końca roku – przyjąć rząd i przesłać do Sejmu, a nowa ustawa miałaby być uchwalona w 2025 roku, a więc już po objęciu przez Polskę prezydencji w UE.
To nie jedyny problem. Wobec pierwotnego projektu ustawy, organizacje biznesowe oraz eksperci zgłosili wątpliwości, niektóre dość fundamentalne. Po etapie konsultacji Ministerstwo Cyfryzacji ogłosiło 7 października zmodyfikowaną w pewnym zakresie propozycję. Jak się okazało, uwag do pierwotnej wersji ustawy napłynęło wiele, dokładnie 1567.
Dyrektywa NIS 2 ma zmienić podejście i podnieść poziom cyberbezpieczeństwa w Unii Europejskiej. Sama w sobie nie budzi większych wątpliwości - w przeciwieństwie do niektórych zapisów, jakie mają obowiązywać w Polsce.
Jak poinformowało Ministerstwo Cyfryzacji, w trakcie konsultacji społecznych swoje stanowisko do projektu przedstawiło 215 interesariuszy, uwzględniono około 70 proc. propozycji, które „mają usprawnić nadzór i jeszcze bardziej zwiększyć przejrzystość przepisów”.
Jeśli odnieść się dokładnie do uwag, to jak wynika z podanych informacji w biuletynie informacji publicznej, w projekcie uwzględniono ich 37,5 proc., wyjaśniono 41 proc. a nie uwzględniono 21,6 proc.
Ustawę opiniowały również instytucje państwowe. Oto wybrane przykłady i liczby (w nawiasie kolejno: uwzględnione uwagi – częściowo uwzględnione – wyjaśnione – nieuwzględnione): Prezes Urzędu Komunikacji Elektronicznej (19-0-5-6), Urząd Komisji Nadzoru Finansowego (26-0-2-2), Minister Finansów (21-1-13-8), Minister Rozwoju i Technologii (17-2-1-2), Minister Spraw Zagranicznych (1-0-0-1), Minister Sprawiedliwości (2-1-4-4), Prezes Urzędu Transportu Kolejowego (1-0-1-3), Rzecznik MŚP (3-3-4-5), Rzecznik Praw Obywatelskich (4-1-6-3), Minister Zdrowia (8-1-12-3), Najwyższa Izba Kontroli (3-0-1-2), NBP (3-2-2-3).
Teraz już nie tylko 5G, ale też 2G, 3G i 4G
Zgłoszone uwagi oddawały liczne wątpliwości, jakie budził projekt ustawy. Wiele z nich zgłaszały również organizacje przedsiębiorców.
Wśród kontrowersyjnych obszarów było wprowadzenie regulacji Toolbox 5G i rozszerzenie ich w nowym projekcie na wszystkie generacje sieci radiowej (2G, 3G, 4G itd.), co wiąże się z jeszcze większymi kosztami dla operatorów sieci telekomunikacyjnych.
– W mniej niż w połowie państw UE wdrożono rekomendacje 5G Toolbox pozwalające na wykluczenie dostawców lub samych komponentów w oparciu o państwo pochodzenia ale stosowany wyłącznie do krytycznej infrastruktury 5G. Polski projekt nie tylko rozszerza wymagania dyrektywy NIS 2, ale też idzie znacznie dalej z Toolboxem 5G, niż jest w nim przewidziane. Czyni to Polskę ewenementem na tle innych państw UE i będzie bardzo kosztowne dla polskiej gospodarki. W rezultacie regulacja, która umożliwi wydanie motywowanej politycznie decyzji zakazującej korzystania z jakichkolwiek urządzeń i nakazującej ich usunięcie w każdym z 18 sektorów, uderzy w polskich przedsiębiorców.
Jak mówił w rozmowie z serwisem Cyfrowa Gospodarka DGP Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej, 5G Toolbox, dokument unijny nie musiał być wdrożony, a poza tym, z samej nazwy miał on dotyczyć tylko sieci 5G.
Wykluczenia dla przedsiębiorców w 18 sektorach
Jak wskazuje część ekspertów i organizacji branżowych, polski projekt ustawy wprowadzając pojęcie dostawcy wysokiego ryzyka, umożliwia wykluczenie przedsiębiorcy w 18 sektorach objętych regulacją (tak duża liczba też budzi wątpliwości), na podstawie kryteriów innych niż techniczne.
Projekt ustawy ujmuje to tak: minister właściwy do spraw informatyzacji (czyli obecnie minister cyfryzacji), w celu ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, może wszcząć, z urzędu albo na wniosek przewodniczącego Kolegium ds. cyberbezpieczeństwa, postępowanie w sprawie uznania za dostawcę wysokiego ryzyka, dostawcy sprzętu lub oprogramowania, wykorzystywanych przez: podmioty kluczowe lub podmioty ważne (definiuje je projekt), z wyłączeniem podsektora komunikacji elektronicznej; przedsiębiorców komunikacji elektronicznej, których roczne przychody z tytułu wykonywania działalności telekomunikacyjnej w poprzednim roku obrotowym były wyższe od kwoty 10 mln zł; podmioty finansowe, z wyłączeniem podmiotów określonych w art. 16 rozporządzenia 2022/2554.
Przed wydaniem decyzji w sprawie uznania za dostawcę wysokiego ryzyka minister zasięga opinii Kolegium. Zawiera ona m.in. analizę zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania, z uwzględnieniem informacji o zagrożeniach uzyskanych od państw członkowskich lub organów UE lub NATO. Opinia ma też zawierać analizę, i tu cytat z projektu: „prawdopodobieństwa z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, z uwzględnieniem: a) przepisów prawa regulujących stosunki między dostawcą sprzętu lub oprogramowania, a tym państwem oraz praktyki stosowania prawa w tym zakresie, b) prawodawstwa oraz stosowania prawa w zakresie ochrony danych osobowych, w szczególności w przypadku, gdy nie ma porozumień w zakresie ochrony tych danych między Unią Europejską i tym państwem, c) struktury własnościowej dostawcy sprzętu lub oprogramowania, d) zdolności ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania”.
Dalej czytamy także, że Kolegium uwzględnia w opinii certyfikaty dla produktów ICT, usług ICT lub procesów ICT, wydane lub uznawane w państwach członkowskich UE lub NATO, w szczególności certyfikaty wydane w ramach europejskich programów certyfikacji cyberbezpieczeństwa.
Patrząc z jednej strony – nie ma tu wprost mowy o wykluczeniach podmiotów spoza UE i NATO. Z drugiej – są one inaczej traktowane ze względu na kraj pochodzenia.
Podczas opiniowania projektu ustawy Minister Rozwoju i Technologii zwrócił uwagę na możliwe konsekwencje przyjęcia nowelizacji ustawy w obecnym kształcie i jej przyszłego wpływu na relacje handlowe oraz inwestycyjne z państwami spoza EOG i NATO.
– W przypadku przyjęcia nowelizacji można się spodziewać utrudnienia prowadzonych przez MRiT i PAIH działań na rzecz przyciągnięcia do Polski inwestycji z państw spoza EOG i NATO oraz otwarcia tych rynków np. dla polskiej żywności i kosmetyków – wskazano.
Ministerstwo Cyfryzacji odpowiedziało: „projekt ustawy nie przewiduje przepisów wymierzonych w podmioty z krajów trzecich, a jedynie postanowienia niezbędne dla zapewnienia bezpieczeństwa narodowego. Rozwiązania te mają charakter niedyskryminacyjny i opierają się na obiektywnych, opisanych w ustawie kryteriach. Należy podkreślić, że ochrona bezpieczeństwa narodowego jest priorytetem i uzasadnia wprowadzenie określonych ograniczeń m.in. w ramach systemu Światowej Organizacji Handlu”.
Lista wątpliwości związanych z procesem uznania za dostawcę wysokiego ryzyka jest dłuższa, obejmuje m.in. kwestie proceduralne i konsekwencje takiej decyzji.
Dostawca, który zyska miano „wysokiego ryzyka”, nie będzie mógł sprzedawać swoich produktów i usług w Polsce. Ale jego klienci również znajdą się w trudnej sytuacji, relacje w tym przypadku buduje się na długie lata. Może też dojść do efektu mrożącego. Odbiorcy, antycypując, który dostawca może mieć kłopoty, będą go omijać. Ograniczy to konkurencyjność na rynku i może prowadzić do podniesienia cen, a zatem i kosztów ponoszonych przed odbiorców produktów i usług. Nie jest dla nikogo tajemnicą, że wagę całej sprawie nadaje kwestia firm z Chin. Po pierwsze są to znaczący gracze na rynku a po drugie, chińskie władze wysyłają wyraźne sygnały, że nie pogodzi się z ich dyskryminacją.
Wysokie kary i koszty dla samorządów
Inne wątpliwości to obciążenia finansowe i operacyjne dla polskich firm związane z wejściem nowelizacji ustawy w życie czy brak wyłączeń dla jednostek samorządu terytorialnego (JST).
– Mimo że Dyrektywa NIS 2 przewiduje możliwość wyłączenia jej stosowania dla lokalnych jednostek administracji publicznej, polski projekt utrzymuje pełen obowiązek wdrożenia ustawy przez JST. To oznacza, że samorządy, często dysponujące ograniczonymi zasobami, będą musiały ponosić znaczne koszty wdrożeniowe – mówi jeden z ekspertów.
Kolejnym dyskusyjnym punktem jest brak proporcjonalności w nowych obowiązkach i nie uwzględnienie proporcjonalności w odniesieniu do kosztów ich wdrożenia a wręcz dodanie nowych, takich jak uwierzytelnianie wieloskładnikowe czy zarządzanie aktywami.
W procesie opiniowania minister rozwoju zwrócił uwagę, że propozycja wdrożenia dyrektywy „wydaje się w niektórych przestrzeniach nadmiarowa, szczególnie w zakresie nałożenia na polskich przedsiębiorców większych obowiązków niż na ich odpowiedników z innych państw członkowskich. W średniej i dłuższej perspektywie może to oznaczać gorsze warunki prowadzenia działalności gospodarczej w porównaniu z innymi państwami członkowskimi UE. W OSR (ocenie skutków regulacji – red.) należy też wziąć pod uwagę większe obciążenia finansowe dla podmiotów we wszystkich 18 sektorach”. Ministerstwo Cyfryzacji częściowo uwzględniło tę uwagę, łagodząc wymogi w przypadku podmiotów ważnych.
– Na skutek uwag, obniżono wymagania dla podmiotów z sektorów produkcji ogółem, produkcji chemikaliów, produkcji żywności – wskazano w prezentacji projektu ustawy.
Innym dyskusyjnym punktem jest zaostrzenie kar dla kierowników (do sześciokrotności wynagrodzenia). Mogą być one nakładane np. za braki w dokumentacji lub niewdrożenie odpowiednich struktur cyberbezpieczeństwa. Jak wskazują eksperci, wysokość tych kar może odstraszać niektórych specjalistów przed podejmowaniem pracy w podmiotach objętych regulacją, co pogorszy ich jakość działania.
Materiał z serwisu partnerskiego CYFROWA GOSPODARKA