Cyberbezpieczeństwo? Mnie to nie dotyczy. Tak zapewne myśli większość społeczeństwa i grubo się myli. W październiku zacznie obowiązywać ważna unijna dyrektywa. Polska dopiero ją wdraża, a projekt przygotowany przez Ministerstwo Cyfryzacji krytykują na potęgę wszyscy, od przedsiębiorców, przez instytucje publiczne, po konsumentów. Każdy ostrzega przed tragicznymi skutkami: upadłością firm i wzrostem cen, choć każdy uważa, że w obecnej sytuacji geopolitycznej nowe przepisy są potrzebne, i to od zaraz – stwierdzi serwis Businessinside.com.pl
Od 18 października, zacznie być stosowana dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. Do tego dnia każde państwo Unii, w tym Polska, powinno przygotować własne przepisy, przekładające unijne zasady do krajowych przepisów. Co do zasady dyrektywa i krajowe ustawy mają zwiększyć poziom cyberbezpieczeństwa w porównaniu do NIS, czyli pierwszej dyrektywy, co w obecnej sytuacji wojny za naszą wschodnią granicą jest niezbędne i oczywiste. Liczba ataków cyfrowych i incydentów cyberbezpieczeństwa w Polsce jest bezprecedensowa i stale rośnie. W 2022 r. odnotowano 30 tys. incydentów, a w 2023 r. o 50 tys. więcej. Polska wciąż jest jednak na etapie projektu, za który odpowiada Ministerstwo Cyfryzacji. Obecnie wszyscy z niepokojem czekają na opublikowanie wersji projektu, co miało nastąpić po wakacjach. Choć zbliża się termin wejścia w życie dyrektywy, to projektu brak, choć resort zapewnia, że na przełomie września i października trafi do odpowiednich komitetów – czytamy w wyjaśnieniu.
Chodzi o nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Te przepisy są znane stąd, że zmuszą określone firmy do wycofanie ze swoich systemów produktów dostawcy wysokiego ryzyka z krajów trzecich. W tym kontekście mówi się dużo o Chinach i ich producentach, głównie firmie Huawei i ZTE Corporation. Problem w tym, że jak zauważają autorzy uwag do projektu, zmiany proponowane przez MC są zbyt restrykcyjne, kosztowne i mogą prowadzić do odwrotnych skutków niż zamierzone. Opinie przesłało ponad sto różnych podmiotów, od prywatnych, po publiczne.
— Tak wysokie zaangażowanie w proces legislacyjny nie dziwi. Szacuje się bowiem, że zmiany mogą dotknąć niemal 40 tys. podmiotów — tłumaczy Karolina Idziak z Grant Thornton.
W znacznej większości opinii pojawia się jeden wniosek: zmiany są zbyt restrykcyjne i kosztowne oraz wykraczają mocno ponad dyrektywę, a także regulacje w innych krajach, o cym mówi też wrześniowy raport EY pt. „Implentacja Dyrektywy NIS2 w Polsce na tle wybranych państw UE”. Efekt? Wzrost cen, upadek firm. O co chodzi?
Obecnie w krajowym systemie bezpieczeństwa (KSC) mamy do czynienia z operatorami usług kluczowych (OUK), którzy są wyznaczani na podstawie decyzji administracyjnej z siedmiu sektorów: energetyka, transport, bankowość, finanse, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja oraz infrastruktura cyfrowa Na liście OUK figuruje 397 podmiotów, w tym dużych kopalń, zakładów energetycznych, szpitali ze Szpitalnym Oddziałem Ratunkowym. One muszą szczególnie przygotować się na cyberataki, mają więc więcej kosztownych obowiązków itp. – stwierdzono
Dyrektywa wprowadza dwie nowe kategorie podmiotów: kluczowe i ważne, ale co ważniejsze obejmuje znacznie więcej sektorów. Do obecnych ośmiu kluczowych dochodzą sektory: telekomunikacyjny, administracja publiczna. Podmioty ważne będą z sektora dostawców usług cyfrowych i sześciu nowych: usługi pocztowe i kurierskie; gospodarowanie odpadami; produkcja, wytwarzanie i dystrybucja chemikaliów; produkcja, przetwarzanie i dystrybucja żywności; produkcja, badania naukowe. W sumie dyrektywa NIS2 obejmie w Polsce blisko 40 tys. firm, w tym dużych i średnich. To oznacza, że więcej przedsiębiorstw będzie musiało spełniać wymogi dyrektywy, niezależnie od ich dotychczasowego doświadczenia w obszarze cyberbezpieczeństwa.
— Upraszczając, obejmie ona tysiące firm w Polsce, które muszą mieć czas na przygotowanie się do nowych wymagań — podkreśliła Jolanta Malak, dyrektor Fortinet w Polsce.
Zgodnie z projektem nowelizacji w Polsce ma być więcej sektorów kluczowych niż przewiduje NIS2. Chodzi o branże chemiczną, żywnościową i produkcję (m.in. wyrobów medycznych, komputerów, urządzeń elektrycznych i maszyn). Unijne przepisy określają je jako ważne, a w polskim projekcie uznano je za kluczowe. To duża różnica, bo wiąże się z surowszymi wymaganiami bezpieczeństwa i zwiększeniem kosztów niezależnie od rozmiaru podmiotu. Skalę wyzwań pokazuje fakt, że Wody Polskie ustawa będzie kosztować minimum 21,5 mln zł rocznie, a budżet państwa ok. 300 mln zł w pierwszym roku tylko na administrację publiczną - wskazano.
Co prawda dyrektywa określa minimalne wymagania i inne kraje też przewidują odstępstwa, ale nie tak drastyczne. Przykładowo Czechy dodały sektor zbrojeniowy, Niemcy chcą mieć oddzielną procedurę dla administracji - napisano.
Ponadto podmioty kluczowe mogą być kontrowane zawsze, a ważne, dopiero jak się coś niepokojącego wydarzy. Skutki?
- Nadmierne obciążenia regulacyjne mogą wpłynąć negatywnie na konkurencyjność polskich producentów żywności na rynku europejskim, gdzie inne kraje mogą przyjąć mniej restrykcyjne podejście do klasyfikacji podmiotów w swoich krajowych transpozycjach dyrektywy NIS2 - ostrzegł Andrzej Gantner, wiceprezes Polskiej Federacji Producentów Żywności.
Co do zasady o byciu podmiotem kluczowym czy ważnym ma decydować wielkość firmy. W teorii to dobre rozwiązanie, ale mogą nimi zostać nawet spółki córki, świadczące usługi jedynie dla spółki matki, bo pod uwagę mają być brane dane całej grupy. Jak zwrócił uwagę Tomasz Fugiel, wiceprezes Grupy Zasada, to spowoduje, że liczna grupa podmiotów zostanie zakwalifikowana jako podmiot kluczowy lub ważny jedynie ze względu na powiązania wewnątrzkorporacyjne, co stanowi zagrożenie dla bytu i funkcjonowania wielu podmiotów gospodarczych.
Część firm zostanie jednak podmiotem kluczowym, niezależnie od wielkości, co bulwersuje autorów uwag. A przykładowo podmioty kluczowe będą musiały co dwa lata przeprowadzić kosztowny audyt cyberbezpieczeństw – czytamy w informacji.
— Takie rozwiązanie może skutkować nadmiernym obciążeniem małych i mikroprzedsiębiorstw, które mogą nie być w stanie sprostać wymaganym standardom ze względu na swoje ograniczone zasoby
— zwracał uwagę Tony Housh, prezes Amerykańskiej Izby Handlowej w Polsce. Podmiotami kluczowymi niezależnie od wielkości będą, np. dostawcy usług z zakresu cyberbezpieczeństwa. Tu na rynku działa dużo małych, jednoosobowych firm, które raczej nie będą mieć środków na wdrożenie odpowiednich polityk, procedur, w tym systemu zarządzania bezpieczeństwa informacji. Prawnicy z kancelarii Konieczny Wierzbicki uważają, że taki zapis może mocno ograniczyć dostęp do tego rynku dla tego typu podmiotów, a nawet go zamknąć - zaznaczono.
Ponadto do wykazu podmiotów minister będzie mógł wpisać dany podmiot z urzędu, a wówczas niezależnie od wielkości, firma będzie miała bardzo mało czasu na dostosowanie się do wymogów ustawy - dodano.
Kolejna, może nawet ważniejsza zmiana, dotyczy dostawców nowych technologii, sprzętu lub oprogramowania, którzy nie gwarantują cyberbezpieczeństwa. Mają zostać wyeliminowani z rynku, jeśli nie usuną ze swoich usług, produktów.
— To będzie rewolucja — mówił Krzysztof Gawkowski, wicepremier i minister cyfryzacji, kierując projekt do konsultacji. Z opinii nadesłanych przez ponad sto podmiotów wynika jednak, że ta rewolucja może "pożreć własne dzieci".
Zgodnie z projektem minister cyfryzacji będzie mógł uznać w drodze decyzji administracyjnej dostawcę określonego sprzętu lub oprogramowania za "dostawcę wysokiego ryzyka". W praktyce podmioty objęte ustawą będą zobowiązane do usunięcia ich ze swoich produktów i usług. Duzi operatorzy telekomunikacyjni mają na to cztery lata, a pozostałe podmioty siedem lat.
— Gdyby postanowienia ustawy zostały wdrożone i operatorzy telekomunikacyjni musieliby wymieniać sprzęt w niej określony, to cena dostępu do Internetu w Polsce mogłaby wzrosnąć nawet dwukrotnie — alarmuje Bogdan Łaga z Polskiej Izby Komunikacji Elektronicznej. Tu może paść kontrargument, że firmy jak zwykle przesadzają, a w obecnej sytuacji geopolitycznej cyberbezpieczeństwo powinno być na pierwszym miejscu. Przed wzrostem cen ostrzega jednak także Federacja Konsumentów. Dlaczego? Okazuje się, że Polska jako jedyny kraj zobowiązuje do wykluczenia dostawców wysokiego ryzyka ze wszystkich sektorów objętych NIS2.
— Polska proponuje najbardziej restrykcyjne regulacje w UE. Jako jedyne państwo da możliwość wykluczenia dostawców ze wszystkich 18 sektorów, a nie z 5G, czy samej telekomunikacji. Takie podejście może prowadzić do znaczących kosztów dla konsumentów, zarówno w kontekście finansowym, jak i jakościowym — napisała Monika Kosińska-Pyter, prezes Federacji Konsumentów.
I zwraca uwagę, że zastąpienie dotychczasowej infrastruktury jest bardzo drogie. Nie udaje się to w pełni w USA, które od lat starają się wyrugować z rynku chińskie firmy technologiczne, bo koszty idą w miliardy dolarów, a tylko dla infrastruktury 5G.
— W przypadku zastępowania urządzeń lub oprogramowania dla wszystkich podmiotów ważnych i kluczowych z 18 sektorów, w tym sektorów "newralgicznych" dla konsumentów takich jak dostawcy usług cyfrowych, gospodarka odpadami, usługi pocztowe, produkcja urządzeń elektrycznych, samochodów, produkcja i przetwarzanie żywności, ścieki i woda, należy szacować ten koszt na wielokrotnie wyższy. Taki wzrost kosztów przekładałby się wyraźnie i negatywnie na portfel przeciętnego konsumenta — przekonywała Monika Kosińska-Pyter.
To nie jedyny problem zgłaszany w trakcie konsultacji – stwierdzono w informacji.
Decyzja ministra o uznaniu danego dostawcy za dostawcę wysokiego ryzyka (DWR) ma być natychmiast wykonalna. W efekcie przedsiębiorcy i inne instytucje uznane za podmioty kluczowe lub ważne będą się musiały pozbyć tych sprzętów i oprogramowania, wymienić je na inne. A jak zauważa prof. Marcin Wiącek, rzecznik praw obywatelskich, od takiej decyzji przysługuje co prawda skarga do WSA, ale ustawodawca wykluczył możliwość przeprowadzenia rozprawy, a wyrok z pełnym uzasadnieniem ma dostać tylko minister, natomiast skarżący jedynie uzasadnienie w okrojonej wersji – czytamy dalej.
– W tym zakresie ograniczenia te mogą naruszać prawo do uczciwego procesu sądowego – sygnalizuje RPO, który uważa taką procedurę za nieproporcjonalne ograniczenie wolności gospodarczej. Możliwe są bowiem przypadki, gdy minister zakwalifikuje jakiś sprzęt jako niebezpieczny, przedsiębiorca wstrzyma jego dystrybucję i wymieni, ponosząc koszty, a po rozpoznaniu sprawy przez WSA i NSA okaże się, że decyzja ministra była bezprawna. Jak zauważa RPO, choć przedsiębiorca formalnie wygra, to utraconych korzyści ze wstrzymanej dystrybucji oraz wydatków na nowy sprzęt nikt mu nie zwróci.
Dlatego też obliczu wskazania całkowicie niemerytorycznych kryteriów ustalania DWR oraz z uwagi na brak jakiejkolwiek przewidywalności tego procesu, pojawił się postulat utworzenia funduszu rekompensat dla mikro-, małych i średnich firm. Projektodawca tymczasem nie przewiduje żadnej formy rekompensaty z tytułu konieczności wycofania sprzętów DWR – wskazano w treści.
W większości uwag pojawia się spostrzeżenie, że projektodawca nie przedstawił analiz i szacunków kompleksowego wpływu ustawy na gospodarkę.
Jak wynika z raportu EY Polska jest jednak jednym z nielicznych krajów, które dopiero wdrażają zbiór środków mających wzmacniających wymogi bezpieczeństwa sieci komórkowych, czyli tzw. 5G
Toolbox z 2020 r. a po drugie wprowadza kryterium państwa pochodzenia - napisano.
Za niewywiązanie się z obowiązków wynikających z dyrektywy NIS2 mogą zostać nałożone wysokie kary finansowe, zarówno na same podmioty kluczowe i ważne, jak i ich szefów. Maksymalna kara może wynieść 600 proc. otrzymywanego przez ukaranego wynagrodzenia. Jeśli podmiot kluczowy lub ważny narusza przepisy, grozi mu kara nawet 10 mln euro lub 2 proc. Maksymalna kar dla podmiotu ważnego to siedem milionów euro lub 1,4 proc. obrotu. W polskim projekcie jest dodatkowa kara do 100 mln zł za stworzenie bezpośredniego zagrożenia dla bezpieczeństwa państwa lub zdrowia ludzi – podano dalej
Michał Kanownik, prezes Związku Cyfrowa Polska zwrócił uwagę, że maksymalne kwoty kar przewidziane w polskim projekcie ustawy są takie same jak w NIS2, a w dwóch przypadkach nawet wyższe. Chodzi o karę w wysokości od 500 zł do 100 tys. zł za każdy dzień opóźnienia w wykonaniu nałożonych obowiązków. Dodatkowo projekt wprowadza sankcje pozwalające organom nadzoru cyberbezpieczeństwa na zawieszenie, ograniczenie lub cofnięcie koncesji do czasu usunięcia przez podmioty zobligowane do stosowania się wymogów ustawy stwierdzonych uchybień lub zaprzestania naruszeń.
— Przewidziane kary mogą być nieproporcjonalne w stosunku do naruszeń. Wysokie kary za nieznaczne uchybienia mogą prowadzić do nadmiernej represji i nieproporcjonalnego obciążenia podmiotów kluczowych lub ważnych. Ponadto przyznanie organom władzy możliwości nakładania wysokich kar oraz decydowania o zawieszeniu lub cofnięciu licencji może prowadzić do ryzyka arbitralności i nadużycia władzy — ocenił Michał Kanownik w uwagach.
I zaznaczył, że obecne warunki geopolityczne, niesłychana skala zagrożeń cyfrowych i stale rosnąca liczba incydentów wymagają niezwłocznej, ale i precyzyjnej, reakcji ustawodawcy – podano w podsumowaniu. (jmk)
Foto: Business Insider // Song_about_summer / Shutterstock
Źródło: Businessinsider.com.pl