Nowe obowiązki w cyberbezpieczeństwie – ryzyko nadregulacji

W obliczu rosnących zagrożeń w przestrzeni cyfrowej Polska podejmuje kroki w celu wzmocnienia swojego systemu cyberbezpieczeństwa.

Publikacja: 23.05.2024 16:00

Nowe obowiązki w cyberbezpieczeństwie – ryzyko nadregulacji

Foto: mat. pras.

Opinia: EY

Opublikowany pod koniec kwietnia projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC)1) jest odpowiedzią na wymóg wdrożenia NIS22), stanowiącej europejski fundament dla zwiększenia odporności infrastruktury krytycznej i poprawy ogólnego poziomu cyberbezpieczeństwa.

Podejmowane działania zmierzają nie tylko do zabezpieczenia przedsiębiorstw przed cyberatakami, ale również zapewnienia bezpieczeństwa danych obywateli i instytucji państwowych. Nowe regulacje są niezbędne w dynamicznie zmieniającym się świecie cyfrowym, lecz niosą ze sobą wyzwania finansowe i organizacyjne dla biznesu. Z tego względu istotne jest, aby w pracach nad regulacją uwzględniono nie tylko potrzeby bezpieczeństwa, ale również wpływ na gospodarkę i konkurencyjność polskich przedsiębiorstw. Już na etapie procesu legislacyjnego należy zważyć potrzebę ochrony z interesami gospodarczymi, zapewniając, że nowe przepisy będą zarówno skuteczne, jak i proporcjonalne do zagrożeń, które mają zwalczać, i rozmiaru podmiotów, które mają je wdrożyć.

Kosztowne obowiązki ustawowe

Projekt wprowadza szereg nowych rozwiązań i obowiązków, rozszerzając katalog podmiotów na nowe sektory i usługi cyfrowe. Wśród najważniejszych zmian można wymienić obowiązek raportowania incydentów cybernetycznych, przeprowadzania regularnych audytów bezpieczeństwa, ocen ryzyka czy wdrożenie zaawansowanych środków ochronnych. Wysokie koszty związane ze zmianą oraz długotrwały proces mogą być barierą dla mniejszych firm. Z tego względu kluczowe jest przeanalizowanie kosztów związanych z wdrożeniem regulacji.

Bezpośrednie koszty zmian będą zróżnicowane w zależności od wielkości oraz specyfiki działalności przedsiębiorstwa. Podstawowym wydatkiem, z którym będą musieli się liczyć przedsiębiorcy, będzie zakup lub aktualizacja systemów IT (w tym zaawansowanych rozwiązań zabezpieczających). Koszty te mogą się wahać od kilkudziesięciu tysięcy złotych dla małych firm po kwoty liczone w milionach dla dużych korporacji, przetwarzających znaczący wolumen danych. Inwestycje w szkolenia pracowników z zakresu cyberbezpieczeństwa są kolejnym istotnym elementem kosztów nadchodzących zmian. Szkolenia będą niezbędne, aby personel mógł skutecznie zarządzać systemami i reagować na incydenty. Również nowy obowiązek związany z cyklicznym prowadzeniem audytów bezpieczeństwa będzie dodatkowym wydatkiem.

Pośrednie koszty wynikające z konieczności zmian mogą być trudniejsze do zmierzenia, ale nie będą mniej istotne. Konieczność dokonania transformacji systemów i procedur może prowadzić do tymczasowych przestojów operacyjnych, które mogą się odbić na przychodach. Wprowadzenie nowych wymogów jest wyzwaniem także w kontekście niedoboru specjalistów ds. cyberbezpieczeństwa.

Konieczna analiza kosztów i korzyści

Procedura uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka w projekcie nowelizacji nie jest uregulowana w NIS2, jednak ustawodawca zdecydował się na jej wprowadzenie we wszystkich 18 sektorach. Decyzja wydana wobec dostawcy zmusi do reorganizacji łańcuchów dostaw i wymiany sprzętu lub oprogramowania, pochodzącego przykładowo od dostawcy z Argentyny, Brazylii, Chin, Indii, Izraela, Korei Południowej, Japonii albo innego państwa spoza UE lub NATO.

Na wymianę będzie przewidziany z góry określony czas – co do zasady będzie to siedem lat od dnia wydania decyzji wobec dostawcy. Rygorystyczne terminy na wycofanie produktów mogą prowadzić do przyspieszonych decyzji zakupowych, nie uwzględniają też czasu amortyzacji sprzętu. To dodatkowo obciąży budżet przedsiębiorców.

Z tego względu konieczne jest przeprowadzenie szczegółowej analizy kosztów i korzyści związanych z projektowaną regulacją już na etapie procesu legislacyjnego. Taka analiza powinna uwzględniać zarówno bezpośrednie, jak i pośrednie koszty, z którymi będą musieli się zmierzyć gracze na rynku. Zwłaszcza że przewidziany w projekcie termin na wdrożenie obowiązków jest krótki (sześć miesięcy) i jednolity dla wszystkich podmiotów, niezależnie od rozmiaru.

Kolejne kroki w procesie legislacyjnym

Dzisiaj (24 maja) kończą się konsultacje publiczne, do których zostało zaproszonych 60 podmiotów. Niestety, wiele sektorów nie zostało uwzględnionych (m.in. brak reprezentantów dla sektora produkcji, przetwarzania i dystrybucji żywności czy dla sektora produkcji wyrobów medycznych). Przeprowadzenie dostatecznie szerokich konsultacji publicznych jest kluczowe, aby zebrać opinie i doświadczenia ze wszystkich sektorów gospodarki – zwłaszcza tych, które po raz pierwszy będą podlegać wymogom związanym z cyberbezpieczeństwem. To dla nich wdrożenie regulacji będzie największym wyzwaniem.

W celu uniknięcia tworzenia barier w handlu wewnętrznym UE i zapewnienia polskim przedsiębiorstwom równych warunków konkurencji Polska powinna dążyć do harmonizacji swoich przepisów z regulacjami przyjętymi w innych państwach członkowskich. Wprowadzenie elastyczności w procesie wdrażania nowych wymogów, w tym stopniowe wdrażanie i wsparcie dla małych i średnich przedsiębiorstw, może pomóc w rozłożeniu kosztów w czasie i ułatwić adaptację do nowych regulacji.

—Autorka jest adwokatką, partnerką EY Law, liderką zespołu prawa własności intelektualnej, technologii i danych osobowych

1) Projekt opublikowany 24 kwietnia 2024 roku pod adresem: https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/902927_projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-niektorych-innych-ustaw.html [data dostępu: 15.05.2024].

2) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS2).

Opinia: EY

Opinia: EY

Opublikowany pod koniec kwietnia projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC)1) jest odpowiedzią na wymóg wdrożenia NIS22), stanowiącej europejski fundament dla zwiększenia odporności infrastruktury krytycznej i poprawy ogólnego poziomu cyberbezpieczeństwa.

Pozostało 96% artykułu
Barometr polskiego biznesu
Niepewność i zmiana stały się dla firm normą
Materiał partnera
Polska w UE – 20 lat rozwoju. Raport SGH
Barometr polskiego biznesu
Unijny zastrzyk gotówki paliwem dla inwestycji
Materiał partnera
Raportowanie ESG: warto przygotować się już dziś
Akcje Specjalne
Mapa drogowa do neutralności klimatycznej
Materiał partnera
Alior Bank stawia na pracowników
Barometr polskiego biznesu
AI zaprząta głowy przedsiębiorcom