Piotr Podgórski: Projekt wysokiego ryzyka, czyli o nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

Jak bumerang wraca dzisiaj niezmiernie głośny temat rządowego projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), który właśnie trafił pod obrady Sejmu. Rozgłos nadany został tutaj niestety w negatywnym tego słowa znaczeniu, a to z uwagi na wyjątkowo liczne merytoryczne zastrzeżenia i uwagi, jakie zgłoszone zostały przez środowisko przedsiębiorców i reprezentujących je organizacji, przedstawicieli nauki, ekspertów, organizacje branżowe, a nawet przez inne resorty rządowe. Krytyka dotyczy w dużej mierze kwestii nadregulacji projektu ustawy w stosunku do dyrektywy NIS2, którą zobowiązani byliśmy implementować do 17 października 2024 r. Zwłokę w tym zakresie rządzący paradoksalnie tłumaczą koniecznością odnoszenia się do wzmiankowanych wyżej uwag, co ich zdaniem wydłuża proces legislacyjny. Zapominają o tym, że u ich podstaw leżał błędnie przygotowany projekt ustawy. Do tego zresztą zdaje się przyznawać sam projektodawca, prezentując chociażby w ciągu ostatniego roku kilka nowych projektów ustawy. Nie uwzględniają one jednak krytycznych zastrzeżeń.

Czytaj więcej

Opinie Prawne

Tomasz Zalewski: Włoska lekcja cyberbezpieczeństwa

Zamiast korzystać z doświadczeń innych państw powielamy błędy zaobserwowane już podczas wdrażania...

W wyniku kolejnych odsłon projektu nowelizacji UKSC, które przerastały objętościowo sam pierwotny akt prawny, powstały spore problemy z przejrzystością tego dokumentu. To niedopuszczalna technika legislacyjna, która powinna być wyeliminowana, poprzez zaprezentowanie całkowicie nowego projektu ustawy, a nie projektu o zmianie UKSC.

Nowe obowiązki dla 38 tys. podmiotów

Od samego początku środowiska przedsiębiorców podnosiły zastrzeżenia do katalogu podmiotów kluczowych i ważnych, które polski projektodawca rozszerzył w stosunku do definicji tychże podmiotów, zawartej w dyrektywie NIS2. Zakresem regulacji ustawy objętych ma być ponad 38 tys. podmiotów, choć wielu ekspertów podnosi, że jest to liczba niedoszacowana. Liczni przedsiębiorcy, świadomi z jednej strony konieczności walki z cyberzagrożeniami, wyrażają daleko idące obawy związane z koniecznością poniesienia gigantycznych kosztów dostosowania się do wymogów proponowanego aktu prawnego. Nałożone na nich zostaną liczne obowiązki, poczynając od konieczności samoidentyfikacji we własnym zakresie, czy kwalifikują się jako podmiot kluczowy lub ważny (art. 7c projektu UKSC). To bardzo trudne zadanie, które w przypadku błędnej diagnozy wywoła negatywne skutki dla danego przedsiębiorcy. Do tego dochodzą obowiązki w zakresie wdrożenia systemu zarządzania bezpieczeństwem informacji, poprzez prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu, wprowadzenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych czy zbieranie informacji o cyberzagrożeniach.

Co więcej, podmioty te zobowiązane będą do przeprowadzania audytów bezpieczeństwa, czy też weryfikacji łańcuchów dostaw oraz relacji między dostawcami i usługodawcami. To jedynie wybrane obowiązki, jakie nałożone zostaną na podmioty kluczowe i ważne. Ich realizacja powierzona została kierownikowi podmiotu kluczowego, z jednoczesnym obciążeniem go obowiązkami w obszarze decyzyjnym, finansowym, personalnym oraz compliance. Wspomniane obowiązki, co do zasady, należy wdrożyć w terminie sześciu miesięcy, co jest zdecydowanie zbyt krótkim okresem.

Koszty dla biznesu nie są znane

Nietrudno zanegować fakt, że powinności te wiązały się będą z koniecznością rozbudowy działów informatycznych oraz zatrudnieniem ekspertów o wysoce wyspecjalizowanej wiedzy. A wszystko to odbywać się będzie na ryzyko danego podmiotu i jego koszt. Tego ostatniego niestety nie jest w stanie oszacować nawet sam projektodawca. Warto tutaj nadmienić, że zgodnie z oceną skutków regulacji (OSR) szacuje się, że wdrożenie zmian w UKSC obciąży budżet państwa kwotą ponad 6,5 miliarda złotych w perspektywie 10 lat. To jednak wydatki, które poniesie wyłącznie administracja publiczna. Nie ma bowiem żadnych szacunków kosztów, jakie poniosą polscy przedsiębiorcy z tego tytułu.

Czytaj więcej:

Nawigator prawny Poradnik

Dostawca wysokiego ryzyka – kto zapłaci?

Nowa procedura uznania dostawcy sprzę...

Pro

Ponadto, w tak długim czasie, w jakim trwały prace nad projektem ustawy – nie przeprowadzono jakichkolwiek działań adaptujących przyszłe podmioty kluczowe i ważne do wdrożenia obowiązków. Przedsiębiorcy zrzeszeni w naszej organizacji nie mają świadomości obowiązków wynikających z UKSC. Nie otrzymaliśmy informacji o żadnych szkoleniach, zbiorach dobrych praktyk, czy materiałach pomocniczych. Nie przedstawiono narzędzi, które ułatwiłyby samoidentyfikację podmiotów, w celu weryfikacji, czy dany podmiot kwalifikuje się jako kluczowy lub ważny. Nie dziwi zatem fakt, że liczni przedsiębiorcy patrzą na ten projekt z ogromną dezorientacją, a wręcz z przerażeniem.

Wielomilionowe sankcje i przeregulowanie

Konsekwencje za uchybienie wyżej wskazanym obowiązkom są bardzo restrykcyjne i wiążą się z ryzykiem nałożenia kar finansowych nawet w wielomilionowych kwotach. Karą administracyjną może być również wstrzymanie koncesji, a nawet działalności podmiotu kluczowego.

Projekt nowelizacji UKSC niesie ze sobą bardzo poważne ryzyko zachwiania konkurencyjności wielu przedsiębiorców, a to wskutek konieczności wycofania na własny koszt używanego przez nich sprzętu i oprogramowania ICT, których dostawcy zostaną uznani za tzw. dostawców wysokiego ryzyka (DWR). Procedura ta zaczerpnięta została przez polskiego projektodawcę z unijnego zestawu narzędzi 5G Toolbox, będącego zbiorem niewiążących zaleceń. Polski projektodawca postanowił przetransferować 5G Toolbox do projektu UKSC i można to uznać za poprawny zabieg. Jednak sposób tej transformacji jest niewłaściwy, gdyż rozszerza działanie zaleceń adresowanych wyłącznie do operatorów sieci 5G na wszystkie sektory, o których mówi projekt nowelizacji UKSC oraz na produkty cyfrowe dostępne w Polsce, które nie mają żadnego związku z telekomunikacją. Zabieg ten będzie niezwykle kosztowny dla polskich przedsiębiorców, a koszty te nie są możliwe do oszacowania, co potwierdza sam ustawodawca wskazując w OSR, że: „ (…) Nie jest możliwe w tej chwili wskazanie kosztów, jakie poniosą podmioty kluczowe i podmioty ważne w związku z wycofaniem produktów ICT, usług ICT i procesów ICT pochodzących od dostawców wysokiego ryzyka, ponieważ nie można w tej chwili przewidzieć, jaką decyzję wyda minister właściwy do spraw informatyzacji i w związku z tym jakie koszty poniosą podmioty zobowiązane do wycofania sprzętu.”

Utrata konkurencyjności polskich firm

Sposób transpozycji dyrektywy NIS2 jest precedensowy w porównaniu z metodologią dokonania implementacji tej dyrektywy w innych państwach UE lub przygotowanych przez te państwa projektach aktów prawnych. Stąd, podmioty uznane za kluczowe lub ważne utracą konkurencyjność wobec np. przedsiębiorców unijnych, nieobjętych tak dalece restrykcyjnymi przepisami, co godzi w unijną zasadę niedyskryminacji. Skutkowało to będzie znaczącym spadkiem płynności finansowej, a w skrajnych przypadkach nawet bankructwem danego przedsiębiorcy.