Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa w znaczny sposób rozszerza liczbę podmiotów zobligowanych do stosowania zawartych w niej wymogów co do bezpieczeństwa sieci i systemów informacyjnych. Dziś dotyczy to firm działających w sektorach takich jak energetyka, transport, zdrowie, bankowość, rynki finansowe, zaopatrzenie w wodę oraz oczywiście infrastruktura cyfrowa.
Polskie firmy będą zmuszone do korzystania z ograniczonej liczby dostawców
Unijne przepisy nakazują rozszerzenie tego katalogu o podmioty z takich branż jak produkcja wyrobów medycznych, żywności, chemikaliów, zarządzanie usługami ICT (technologie informacyjno-komunikacyjne), usługi pocztowe czy badania naukowe.
Chodzi m.in. o konieczność przeprowadzania audytów bezpieczeństwa systemów informatycznych.
Tymczasem, jak zwracają uwagę Pracodawcy RP w procesie konsultacji nie została zapewniona reprezentacja każdego z tych sektorów, co powoduje, że są w niewielkim stopniu świadome tego, jakie obciążenia będą na nie nałożone.
Wątpliwości budzi procedura uznawania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka DWR (mało przejrzysta procedura, brak możliwości ponownego rozpatrzenia sprawy czy natychmiastowa wykonalność decyzji). Potencjalnymi DWR są firmy, które mogą być pod kontrolę państw spoza UE i NATO, jak np. chińskie. A to, zdaniem pracodawców RP może oznaczać ograniczenie dostępności technologii.
– Polskie firmy będą zmuszone do korzystania z ograniczonej liczby dostawców, co nie tylko zwiększy koszty, ale także zmniejszy dostęp do najnowszych technologii. To stawia polskie przedsiębiorstwa w niekorzystnej sytuacji w porównaniu do firm z innych krajów UE, które mają swobodę wyboru miedzy szeroką gamą dostawców technologicznych – twierdzi Rafał Dutkiewicz, prezes Pracodawców RP w opinii do projektu nowelizacji.
Jako przykład podje sytuacje na rynku 5G, w którym dwóch dostawców europejskich (szwedzki Ericsson i fińska Nokia) ma pozycję wiodącą, a trzecią pozycję zajmuje chińska spółka Huawei.
– W takiej sytuacji wykluczenie trzeciego dostawcy z uwagi na państwo pochodzenia kreuje duopol, który uniemożliwia realną konkurencję. Z podobną sytuacją będziemy mieć do czynienia w innych sektorach. W najbardziej skrajnych przypadkach może dojść do sytuacji, w której konkretny podmiot uznany za DWR jest jedynym dostawcą danego rozwiązania – wskazuje prezes Pracodawców RP. Na takie ryzyko narażone będą sektory wysoce wyspecjalizowane, gdzie sprzęt lub oprogramowanie jest dostarczane przez mały krąg podmiotów.
Ograniczenia przewidziane w projekcie będą hamować zdolność polskich firm do innowacji
Uznanie danej firmy za DWR spowoduje konieczność wycofania jej produktów przez podmioty z sektorów objętych ustawą. Zdaniem Pracodawców RP żaden inny kraj unijny nie wprowadził tak daleko idących w skutkach rozwiązań legislacyjnych.
– Jedynym państwem, którego projekt zbliża się rozwiązaniami do polskiej propozycji implementacji są Niemcy. Jednakże nawet niemiecki projekt aktu implementującego NIS 2 ogranicza możliwość wykluczenia dostawców w 10 sektorach (a nie jak w Polsce – 18 sektorów), a dodatkowo nie uwzględnia w kryterium pochodzenia państw należących do NATO (odnosi się wyłączeni do Europejskiego Obszaru Gospodarczego) – czytamy w stanowisku.
Zdaniem Pracodawców RP, ograniczenia przewidziane w projekcie będą hamować zdolność polskich firm do innowacji.
– Analizujemy uwagi zgłoszone w trakcie konsultacji publicznych i współpracujemy z różnymi organizacjami, które podzieliły się swoimi opiniami. Chcemy znaleźć najlepsze rozwiązania, które wzmocnią bezpieczeństwo w sieci w naszym kraju. Zależy nam, aby jak najlepiej dostosować projekt na poziomie rządowym – mówi Monika Dębkowska z biura prasowego Ministerstwa Cyfryzacji Jak dodaje, następna wersja projektu oraz dalsze prace w komitetach Rady Ministrów odbędą się po wakacjach.
Etap legislacyjny: konsultacje
Czytaj więcej:
