Bezpieczeństwo sieci informatycznych wzbudza ostatnio wiele emocji w związku z licznymi atakami hakerskimi ze Wschodu, ale też z planowanymi zamianami prawa dotyczącymi tych spraw. Według opublikowanego we wtorek projektu ustawy o krajowym systemie certyfikacji bezpieczeństwa, nadzorem nad wydawaniem stosownych dokumentów w tym zakresie ma się zajmować Polskie Centrum Akredytacji, ściśle współpracujące z ministrem ds. cyfryzacji. Jednak to nie usuwa obaw dotyczących innego projektu, opublikowanego przed kilkoma tygodniami. Ma on wdrażać europejską dyrektywę 2022/2555, zwaną NIS 2, dotyczącą zapewnienia cyberbezpieczeństwa dla niektórych podmiotów.
Kosztowne procedury, słone kary
Projekt polskiej ustawy określa, tak jak dyrektywa, tzw. podmioty kluczowe, które są zobowiązane do uzyskania certyfikatów bezpieczeństwa cybernetycznego. Jednak zakres tych podmiotów jest szerszy, niż w dyrektywie. Obejmuje m.in. jednostki samorządu terytorialnego, wyższe uczelnie, hurtownie farmaceutyczne, wytwórców produktów leczniczych oraz apteki.
Zgodnie natomiast z dyrektywą NIS 2 status podmiotów kluczowych przysługuje tylko tym podmiotom, które prowadzą działalność badawczo-rozwojową w zakresie produktów leczniczych, podmiotom produkującym leki i pozostałe wyroby farmaceutyczne, a także wyroby medyczne, które uznane są za mające kluczowe znaczenie podczas stanu zagrożenia zdrowia publicznego.
Przeciwko takim zapisom projektu zaprotestowali pracodawcy, pracownicy i samorządowcy z Wojewódzkiej Rady Dialogu Społecznego w województwie mazowieckim. W swoim stanowisku z 15 maja wskazują, że rozszerzenia katalogu tzw. podmiotów kluczowych będzie dotyczyło 18 sektorów gospodarki i łącznie ponad 38 tys. podmiotów.
Jak zauważa Rada, takie rozszerzenie nie jest uzasadnione i łączy się m.in. z cyklicznymi (co dwa lata) audytami bezpieczeństwa, wiążącymi się ze znacznymi kosztami. Co więcej – jak wskazuje Rada – za niespełnienie wymogów grożą drakońskie kary, sięgające 10 mln euro lub 2 proc. rocznych przychodów.
