Przepisy o cyberbezpieczeństwie wpłyną na konkurencyjność polskiej gospodarki

Polska w sposób najszerszy i najbardziej restrykcyjny zamierza wdrożyć dyrektywę NIS 2 oraz zalecenia 5G Toolbox – wynika z raportu EY. Stwarza to obawy o nadregulację, która może ograniczyć konkurencyjność.

Publikacja: 06.03.2025 07:13

Przepisy o cyberbezpieczeństwie wpłyną na konkurencyjność polskiej gospodarki

Foto: Adobe Stock

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wciąż nie został zatwierdzony przez rząd. Niemniej sposób, w jaki Ministerstwo Cyfryzacji zamierza implementować za jego pomocą unijną dyrektywę NIS 2 (która ustanawia nowe, bardziej rygorystyczne ramy prawne w zakresie cyberbezpieczeństwa) oraz rekomendacje 5G Toolbox (które mają ograniczyć ryzyka związanego z rozwojem i eksploatacją sieci 5G), od początku budził zastrzeżenia związane z nadmiarowością rozwiązań.

Regulacje NIS2 i 5G Toolbox w Polsce – co wynika z raportu

Eksperci EY przeanalizowali sposób implementacji unijnych przepisów w Polsce w porównaniu z innymi krajami UE. Z raportu „Regulacje NIS2 i 5G Toolbox w Polsce. Analiza wdrożenia i porównanie z państwami UE” wynika, że Polska w sposób najszerszy i najbardziej restrykcyjny chce wdrożyć ograniczenia i wymagania w zakresie cyberbezpieczeństwa.

Główna różnica pod kątem implementacji polega na tym, że Polska – w przeciwieństwie do innych krajów UE – rozszerzyła przepisy dotyczące dostawców wysokiego ryzyka (HRV) nie tylko na sieci 5G, ale na wszystkie sektory objęte dyrektywą NIS2, tj. m.in. energię, transport, bankowość i infrastrukturę rynków finansowych, ochronę zdrowia, infrastrukturę cyfrową, usługi pocztowe, przetwarzanie i dystrybucję żywności oraz badania naukowe.

– Takie podejście wpływa na dynamikę rynku technologicznego, koszty wdrożenia oraz innowacyjność gospodarki cyfrowej – czytamy we wspomnianym raporcie.

Organy państwa będą mogły wyeliminować z rynku niebezpieczny sprzęt i usługi (HRV)

Kluczowym elementem nowelizacji przygotowanej przez MC jest implementacja instytucji dostawcy wysokiego ryzyka, która umożliwi organom państwa eliminację z rynku niebezpiecznego sprzętu i usług (HRV). Chodzi o dostawcę sprzętu lub oprogramowania, który stwarza poważne zagrożenie dla bezpieczeństwa państwa, obronności, bezpieczeństwa i porządku publicznego lub zdrowia i życia ludzi. Efektem ma być zakaz wprowadzenia produktów lub usług od takich dostawców i konieczność wycofania już użytkowanego sprzętu lub oprogramowania w okresie siedmiu lat. Obowiązek ten nie będzie dotyczył przedsiębiorców komunikacji elektronicznej, których przychody nie przekraczają 10 mln zł.

Jak wynika z raportu, tylko cztery państwa (Dania, Estonia, Litwa, Portugalia) przewidują możliwość usunięcia zainstalowanego sprzętu z infrastruktury bez możliwości wprowadzenia środków naprawczych. Ponadto Polska opracowuje regulacje pozwalające na usunięcie już użytkowanego sprzętu bez możliwości usunięcia stwierdzonych podatności. Poza tym autorzy opracowania (Justyna Wilczyńska-Baraniak, Alicja Guzy i Szymon Skalski) wskazują, że Polska jako jedyny kraj w Europie planuje wdrożenie 5G Tolboox w 18 sektorach gospodarki. – Żadne z państw nie wprowadza zaleceń 5G Toolbox w infrastrukturze innej niż telekomunikacyjna – wskazują eksperci EY.

Czytaj więcej

Nowe technologie w ryzach prawnych. Czy w 2025 r. zmierzymy się z przepisami na miarę RODO?

Na drugim biegunie są takie kraje, jak Bułgaria, Grecja, Słowenia, Austria, Luksemburg, Finlandia, Czechy, Cypr, Węgry, Chorwacja i Malta, które wdrażają europejskie wytyczne w minimalnym stopniu.

– W dobie rosnących zagrożeń cybernetycznych oraz rozwoju technologii 5G unijne regulacje, takie jak dyrektywa NIS2 i wytyczne 5G Toolbox, miały stać się fundamentem ochrony infrastruktury krytycznej. Widoczne są jednak znaczące różnice w modelach krajowej implementacji. Brak jednolitych standardów może utrudniać współpracę w zakresie nadzoru nad podmiotami objętymi NIS2 i zwiększać koszty wdrożenia u poszczególnych operatorów. A niski stopień koordynacji działań na poziomie UE utrudnia zharmonizowanie standardów bezpieczeństwa – mówi Justyna Wilczyńska-Baraniak, adwokatka, partnerka EY Law, liderka EY EMEIA Cyber Law.

Jak dodaje, w efekcie przepisy dotyczące ograniczania dostępu niektórych dostawców do rynku i wycofywania sprzętu mogą wpływać na decyzje inwestycyjne w sektorze ICT, podnosząc koszty dostosowania infrastruktury.

Termin implementacji dyrektywy NIS2 upłynął 17 października 2024 roku.

Etap legislacyjny: czeka na przyjęcie przez rząd

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wciąż nie został zatwierdzony przez rząd. Niemniej sposób, w jaki Ministerstwo Cyfryzacji zamierza implementować za jego pomocą unijną dyrektywę NIS 2 (która ustanawia nowe, bardziej rygorystyczne ramy prawne w zakresie cyberbezpieczeństwa) oraz rekomendacje 5G Toolbox (które mają ograniczyć ryzyka związanego z rozwojem i eksploatacją sieci 5G), od początku budził zastrzeżenia związane z nadmiarowością rozwiązań.

Regulacje NIS2 i 5G Toolbox w Polsce – co wynika z raportu

Pozostało jeszcze 89% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Nieruchomości
NSA wydał kluczowy wyrok ws. zamku w Stobnicy
Sądy i trybunały
Barbara Piwnik: Niedopuszczalne nadużywanie wyłączenia sędziego
Praca, Emerytury i renty
13. emerytura nie dla wszystkich seniorów. Te grupy nie otrzymają świadczenia
Prawo karne
Prokuratura ujawniła przyczynę śmierci Barbary Skrzypek
Prawo drogowe
Będzie pułapka na łamiących zakaz prowadzenia aut. Może złamać wiele karier
Materiał Promocyjny
Konieczność transformacji energetycznej i rola samorządów
Sądy i trybunały
Sędzia od lat nie pisze uzasadnień wyroków. Resort Bodnara reaguje
Materiał Promocyjny
Sezon motocyklowy wkrótce się rozpocznie, a Suzuki rusza z 19. edycją szkoleń