Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wciąż nie został zatwierdzony przez rząd. Niemniej sposób, w jaki Ministerstwo Cyfryzacji zamierza implementować za jego pomocą unijną dyrektywę NIS 2 (która ustanawia nowe, bardziej rygorystyczne ramy prawne w zakresie cyberbezpieczeństwa) oraz rekomendacje 5G Toolbox (które mają ograniczyć ryzyka związanego z rozwojem i eksploatacją sieci 5G), od początku budził zastrzeżenia związane z nadmiarowością rozwiązań.
Regulacje NIS2 i 5G Toolbox w Polsce – co wynika z raportu
Eksperci EY przeanalizowali sposób implementacji unijnych przepisów w Polsce w porównaniu z innymi krajami UE. Z raportu „Regulacje NIS2 i 5G Toolbox w Polsce. Analiza wdrożenia i porównanie z państwami UE” wynika, że Polska w sposób najszerszy i najbardziej restrykcyjny chce wdrożyć ograniczenia i wymagania w zakresie cyberbezpieczeństwa.
Główna różnica pod kątem implementacji polega na tym, że Polska – w przeciwieństwie do innych krajów UE – rozszerzyła przepisy dotyczące dostawców wysokiego ryzyka (HRV) nie tylko na sieci 5G, ale na wszystkie sektory objęte dyrektywą NIS2, tj. m.in. energię, transport, bankowość i infrastrukturę rynków finansowych, ochronę zdrowia, infrastrukturę cyfrową, usługi pocztowe, przetwarzanie i dystrybucję żywności oraz badania naukowe.
– Takie podejście wpływa na dynamikę rynku technologicznego, koszty wdrożenia oraz innowacyjność gospodarki cyfrowej – czytamy we wspomnianym raporcie.
Czytaj więcej:
Zgodnie z nowymi przepisami dyrektywy NIS 2, które Polska powinna była wdrożyć do 17 października 2024 roku, tysiące podmiotów prywatnych oraz publ...
Pro
Organy państwa będą mogły wyeliminować z rynku niebezpieczny sprzęt i usługi (HRV)
Kluczowym elementem nowelizacji przygotowanej przez MC jest implementacja instytucji dostawcy wysokiego ryzyka, która umożliwi organom państwa eliminację z rynku niebezpiecznego sprzętu i usług (HRV). Chodzi o dostawcę sprzętu lub oprogramowania, który stwarza poważne zagrożenie dla bezpieczeństwa państwa, obronności, bezpieczeństwa i porządku publicznego lub zdrowia i życia ludzi. Efektem ma być zakaz wprowadzenia produktów lub usług od takich dostawców i konieczność wycofania już użytkowanego sprzętu lub oprogramowania w okresie siedmiu lat. Obowiązek ten nie będzie dotyczył przedsiębiorców komunikacji elektronicznej, których przychody nie przekraczają 10 mln zł.
Jak wynika z raportu, tylko cztery państwa (Dania, Estonia, Litwa, Portugalia) przewidują możliwość usunięcia zainstalowanego sprzętu z infrastruktury bez możliwości wprowadzenia środków naprawczych. Ponadto Polska opracowuje regulacje pozwalające na usunięcie już użytkowanego sprzętu bez możliwości usunięcia stwierdzonych podatności. Poza tym autorzy opracowania (Justyna Wilczyńska-Baraniak, Alicja Guzy i Szymon Skalski) wskazują, że Polska jako jedyny kraj w Europie planuje wdrożenie 5G Tolboox w 18 sektorach gospodarki. – Żadne z państw nie wprowadza zaleceń 5G Toolbox w infrastrukturze innej niż telekomunikacyjna – wskazują eksperci EY.
Czytaj więcej
W 2024 r. weszło w życie kilka kluczowych aktów z prawa nowych technologii: przede wszystkim rozporządzenie o usługach cyfrowych, dyrektywa NIS2 or...
Na drugim biegunie są takie kraje, jak Bułgaria, Grecja, Słowenia, Austria, Luksemburg, Finlandia, Czechy, Cypr, Węgry, Chorwacja i Malta, które wdrażają europejskie wytyczne w minimalnym stopniu.
– W dobie rosnących zagrożeń cybernetycznych oraz rozwoju technologii 5G unijne regulacje, takie jak dyrektywa NIS2 i wytyczne 5G Toolbox, miały stać się fundamentem ochrony infrastruktury krytycznej. Widoczne są jednak znaczące różnice w modelach krajowej implementacji. Brak jednolitych standardów może utrudniać współpracę w zakresie nadzoru nad podmiotami objętymi NIS2 i zwiększać koszty wdrożenia u poszczególnych operatorów. A niski stopień koordynacji działań na poziomie UE utrudnia zharmonizowanie standardów bezpieczeństwa – mówi Justyna Wilczyńska-Baraniak, adwokatka, partnerka EY Law, liderka EY EMEIA Cyber Law.
Jak dodaje, w efekcie przepisy dotyczące ograniczania dostępu niektórych dostawców do rynku i wycofywania sprzętu mogą wpływać na decyzje inwestycyjne w sektorze ICT, podnosząc koszty dostosowania infrastruktury.
Termin implementacji dyrektywy NIS2 upłynął 17 października 2024 roku.
Etap legislacyjny: czeka na przyjęcie przez rząd
