Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa w znaczny sposób rozszerza liczbę podmiotów zobligowanych do stosowania zawartych w niej wymogów co do bezpieczeństwa sieci i systemów informacyjnych. Dziś dotyczy to firm działających w sektorach takich jak energetyka, transport, zdrowie, bankowość, rynki finansowe, zaopatrzenie w wodę oraz oczywiście infrastruktura cyfrowa.
Polskie firmy będą zmuszone do korzystania z ograniczonej liczby dostawców
Unijne przepisy nakazują rozszerzenie tego katalogu o podmioty z takich branż jak produkcja wyrobów medycznych, żywności, chemikaliów, zarządzanie usługami ICT (technologie informacyjno-komunikacyjne), usługi pocztowe czy badania naukowe.
Chodzi m.in. o konieczność przeprowadzania audytów bezpieczeństwa systemów informatycznych.
Tymczasem, jak zwracają uwagę Pracodawcy RP w procesie konsultacji nie została zapewniona reprezentacja każdego z tych sektorów, co powoduje, że są w niewielkim stopniu świadome tego, jakie obciążenia będą na nie nałożone.
Wątpliwości budzi procedura uznawania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka DWR (mało przejrzysta procedura, brak możliwości ponownego rozpatrzenia sprawy czy natychmiastowa wykonalność decyzji). Potencjalnymi DWR są firmy, które mogą być pod kontrolę państw spoza UE i NATO, jak np. chińskie. A to, zdaniem pracodawców RP może oznaczać ograniczenie dostępności technologii.