Komisja Europejska zaostrza cyberprzepisy. Mniej czasu dla telekomów

Komisja Europejska przyjęła we wtorek zmiany do obowiązujących przepisów o cyberbezpieczeństwie – tzw. Ustawę o Cyberbezpieczeństwie 2 (tzw. CSA 2). Unijny organ proponuje zaostrzenie podejścia do dostawców sprzętu telekomunikacyjnego. Uważa, że zyski z tego tytułu będą wyższe niż koszty.

Do 3 lat na usunięcie kluczowych komponentów sieci komórkowych

W polskim Sejmie trwają prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażającą do polskiego prawa unijne przepisy. Jednym z zarzutów przeciwników nowelizacji jest wybieganie przepisów poza ramy obowiązujące w UE. Tymczasem Komisja Europejska, której szefuje Ursula von der Leyen, opublikowała we wtorek pakiet zmian do obowiązującego unijnego prawa.

Czytaj więcej

Biznes

Jest raport służb na temat lobbingu wokół KSC. Mają go poznać posłowie

Wiceminister cyfryzacji Paweł Olszewski chce pokazać posłom informacje służb na temat lobbingu pr...

– Dzięki nowemu pakietowi cyberbezpieczeństwa będziemy dysponować środkami, które pozwolą nam nie tylko lepiej chronić nasze krytyczne łańcuchy dostaw (technologii informacyjno-komunikacyjnych), ale także pozwolą nam zdecydowanie zwalczać cyberataki – skomentowała w komunikacie Henna Virkkunen, szefowa unijnego resortu technologii.

Jedną ze zmian zaproponowanych przez KE jest możliwość wykluczenia firmy spoza UE lub należącej do podmiotów spoza UE z rynku telekomunikacyjnego i informatycznego (ICT).

Jak podano, propozycja zakłada, że operatorzy komórkowi w tzw. okresie przejściowym będą mieli nie więcej niż 36 miesięcy na usunięcie kluczowych komponentów ICT zakupionych od podmiotów uznanych za dostawców wysokiego ryzyka.

Dla porównania, nowelizacja ustawy o KSC przewiduje na to 4 lata, a do całkowitego usunięcia sprzętu dostawcy wysokiego ryzyka przez wszystkie zobowiązane podmioty miałoby dojść w ciągu 7 lat od decyzji w tej kwestii.

Oszczędności mają sięgnąć do 15,3 mld euro

KE podobne okresy przejściowe ma ustalić także dla sieci stacjonarnych i łączności satelitarnej w formie rozporządzeń.

Komisja zastrzega sobie także możliwość kolejnych zmian i wyznaczania okresów przejściowych dla nowych generacji sieci komórkowych.

Opisując koszty proponowanych zmian KE podała, że według jej wyliczeń, operatorzy komórkowi, którzy będą objęci obowiązkiem wycofania sprzętu w ciągu 5 lat, poniosą koszt od 3,4 do 4,3 mld euro. Uważa natomiast, że inwestycje dostawców zaufanych mogą urosnąć nawet o 2 mld euro rocznie.

„Jednocześnie oczekuje się, że usprawnione i ograniczone obowiązki w zakresie zgodności przyniosą przedsiębiorstwom oszczędności do 15,3 mld euro w ciągu pięciu lat” – wyliczyła KE.

„Ponadto poprawa ogólnej pozycji Unii w zakresie cyberbezpieczeństwa i suwerenności technologicznej oraz stymulowanie innowacji i konkurencyjności przyniosłyby znaczne korzyści dla ogółu społeczeństwa, organów publicznych i przedsiębiorstw. Oczekuje się, że w dłuższej perspektywie w dużej mierze zrekompensuje to początkowe wydatki” – dodano.

18 kluczowych sektorów z nowymi obowiązkami

Komisja oszacowała także koszty, które ponieść ma unijna organizacja ds. cyberbezpieczeństwa – ENISA oraz poszczególne kraje.

„Przejście na proponowany preferowany wariant ram regulacyjnych pociągnie za sobą koszty, zarówno dla ENISA związane z realizacją nowych zadań (szacowane na kwotę do 161,3 mln euro w ciągu pięciu lat), jak i dla organów publicznych w całej Unii związane z nadzorem (szacowane na kwotę do 80 mln euro w ciągu pięciu lat, z uwzględnieniem stosownych oszczędności kosztów)” – czytamy.

Nowelizacja przepisów dotyczyć ma w sumie 18 kluczowych sektorów, wśród których znaleźć mają się systemy wykrywania, pojazdy autonomiczne, elektrownie i magazyny energii, wodociągi, drony i systemy antydronowe, usługi medyczne, produkcja półprzewodników, przemysł kosmiczny.

KE chce wprowadzić nową definicję przedsiębiorstw małych i średnich, co ma sprawić, że mniejsza liczba firm podlegać będzie proponowanym zmianom.

Jak zauważa agencja Reutersa, ograniczenia dotyczące dostawców z krajów uznanych za stwarzające zagrożenie dla cyberbezpieczeństwa wejdą w życie dopiero po przeprowadzeniu formalnej oceny ryzyka przez Komisję lub co najmniej trzy kraje UE.

Reuters przywołuje też komentarze chińskiego koncernu Huawei oraz organizacji sektora telekomunikacyjnego Connect Europe, którym nie podobają się przyjęte propozycje. Według Connect Europe koszty mają być większe niż te wskazane przez KE i iść w wiele miliardów euro. Organizacja wezwała KE do zmiany treści propozycji w trakcie dalszych prac. 

Czytaj więcej

Opinie i komentarze

Wiceminister cyfryzacji: Cyberbezpieczeństwo Polek i Polaków jest najważniejsze

Polska jest krajem w największym stopniu atakowanym w cyberprzestrzeni. W 2025 r. było to ponad 2...

Krytycznie wobec nowych propozycji KE wypowiedziała się także organizacja samych operatorów komórkowych i sektora mobilnego – GSMA. 

„Oprócz braku proporcjonalności proponowanych środków, nierealistyczne harmonogramy grożą znacznymi zakłóceniami w świadczeniu usług dla użytkowników, a także wysokimi dodatkowymi kosztami” – czytamy w komunikacie organizacji, do której należą także dostawcy sprzętu. 

Aby propozycje KE weszły w życie, muszą zostać wynegocjowane z krajami członkowskimi i zatwierdzone przez Parlament Europejski.

Jak propozycja KE wpłynie na krajowe przepisy? Mamy komentarz Ministerstwa Cyfryzacji 

Marcin Wysocki, zastępca dyrektora departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji uważa, że propozycja KE nie powinna zahamować sejmowych prac nad krajowymi przepisami. Zapewnił też, że dla resortu pakiet zmian nie stanowi niespodzianki. – Ministerstwo Cyfryzacji uczestniczyło w pracach nad rewizją Aktu o Cyberbezpieczeństwie i przedstawiało swoje stanowisko co do kierunku potrzebnych zmian. Propozycja przekazana przez Komisję jest zgodna z naszymi propozycjami – poinformował nas Marcin Wysocki.

– Zanim te propozycje staną się przepisami prawa, minie trochę czasu. Ponadto przepisy te mogą jeszcze ulec znaczącym zmianom, więc należy kontynuować prace nad obecnym projektem nowelizacji KSC. Niezmiennie obowiązuje nas też obowiązek jak najszybszego wdrożenia dyrektywy NIS2 – dodał Marcin Wysocki.

– Polskie prawo będzie mogło być dostosowane do nowego CSA2, gdy CSA2 zostanie oficjalnie przyjęte i opublikowane w Dzienniku Urzędowym UE, a wtedy też będzie znana ostateczna treść tych przepisów – zapowiedział. 

– Faktem jest, że propozycja Komisji Europejskiej potwierdza przyjęty przez nas kierunek. Nie możemy traktować systemu cyberbezpieczeństwa wycinkowo, musimy traktować go kompleksowo. Mamy raporty unijne, z których wynika, że ryzykowni dostawcy mogą dostarczać sprzęt i oprogramowanie dla różnych sektorów. Zarówno państwa członkowskie, jak i Unia Europejska muszą mieć narzędzia prawne, aby ograniczać ryzyko związane z dostawcami wysokiego ryzyka. Dlatego nowelizacja KSC, jak i przedstawiony projekt nowego aktu o cyberbezpieczeństwie pozwalają identyfikować dostawców wysokiego ryzyka dla różnych sektorów. Naiwne jest myślenie, że w jednym z sektorów z pewnością nie będzie ryzykownych dostawców. Państwo i Unia muszą mieć możliwości zbadania tego i mitygacji ryzyka w najpoważniejszych – z perspektywy bezpieczeństwa państwa – przypadkach – przekonuje dyrektor.