Nadregulacja w nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa uderzy nie tylko w podmioty spoza UE, lecz także w małe i średnie polskie firmy, nakładając jednocześnie obowiązki na prawie 40 tys. podmiotów z 18 branż, takich jak m.in.: telekomunikacja, administracja publiczna, energetyka, bankowość, ochrona zdrowia i branża spożywcza. Może to zaburzyć konkurencyjność i znacząco podnieść ceny usług, nie mówiąc już o kosztach, jakie poniosą przedsiębiorcy – takie wnioski płyną z dyskusji na konferencji KIKE 2024
Ponad dwa tygodnie temu został opublikowany projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. De facto jest to wersja implementująca do polskiego prawa przepisy wynikające z unijnej dyrektywy NIS2. Dyrektywa ma służyć zwiększeniu bezpieczeństwa sieci i systemów teleinformatycznych w krajach Unii Europejskiej. W październiku 2024 r. mija termin wdrożenia tej dyrektywy przez państwa unijne.
Okazuje się, że polskie przepisy mogą być niezwykle restrykcyjne, bezpośrednio uderzać w polskich przedsiębiorców, tworzyć niejasną sytuację na rynku z politycznym tłem, a dla konsumentów mogą oznaczać nic więcej, jak tylko podwyżkę cen usług internetowych. Tak stwierdzili przedstawiciele mniejszych i średnich podmiotów oraz eksperci rynku telekomunikacyjnego, biorący udział w panelu dyskusyjnym „Niebezpieczne cyberbezpieczeństwo, czyli co się dzieje, gdy ustawodawca zapomina o wpływie regulacji na gospodarkę” zorganizowanym przez Krajową Izbę Komunikacji Ethernetowej w ramach branżowej konferencji. Kością niezgody jest m.in. dostawca wysokiego ryzyka, czyli możliwość wskazywania bezpośrednio przez polityków listy podmiotów oferujących sprzęt lub usługi, które mogą zagrażać bezpieczeństwu państwa, obywateli, konsumentów.
Nowelizacja prawa – dla kogo?
Do kogo adresowana jest ta nowelizacja?
– Jeżeli weźmiemy pod uwagę kryteria podane w projekcie, to de facto każdy przedsiębiorca telekomunikacyjny co najmniej będzie zaliczony do podmiotów ważnych. Według moich wyliczeń na bazie dokumentu – Ocena skutków regulacji, może to być ponad 38,3 tys. firm podzielonych na 18 sektorów, takich jak: zdrowie, administracja publiczna, odpady – zauważył podczas debaty prof. Maciej Rogalski, przedstawiciel Uczelni Łazarskiego oraz kancelarii prawnej Rogalski i Wspólnicy.
Tymczasem w Niemczech to jest 35 tys. podmiotów, w Hiszpanii 25 tys., we Francji 15 tys. Wynika z tego wprost, że w Polsce ta liczba jest całkiem duża, biorąc pod uwagę wielkość gospodarek czy liczbę ludności.
– Skoro ta nowelizacja wprowadza pewnego rodzaju mechanizmy kontrolne i będzie bardziej ścisła, jako praktyk nie zgodzę się, że to dotknie tylko 39 tys. podmiotów. Z wielu przepisów, które ta nowela ze sobą niesie, wynika, że to będzie znacznie szerszy obraz i obawiam się ogromnej rewolucji na rynku, wywrócenia go do góry nogami pod kątem cen internetu dla klienta końcowego – zauważył Marcin Zemła, specjalista ds. cyberbezpieczeństwa, ekspert projektu MdS Spółka z o.o.
Koszty poniosą przedsiębiorcy
Nowe wymogi dla firm to wyższe koszty. Audyt dla mikroprzedsiębiorcy to nie mniej niż 4 tys. zł. Do tego dochodzą koszty roczne nadzoru, koszty zatrudnienia personelu, zakupienia sprzętu, oprogramowanie monitorującego 24 godziny na dobę.
– Koszty takiego oprogramowania to jest nawet 120 tys. zł rocznie za licencję. To nie są drobne pieniądze dla niektórych podmiotów, a zwłaszcza dla podmiotów publicznych, gdzie budżety w dobie inflacji są obcinane, a zadania rosną, i to jest dla mnie przerażająca rzecz. W którymś momencie to nie może się udać – oceniał Marcin Zemła.
Tymczasem małe firmy korzystają w dużej mierze ze sprzętu z Azji, który jest cenowo bardzo konkurencyjny pod względem jakości. Tu jednak pojawił się problem, ponieważ chińscy dostawcy sprzętu mogą być zgodnie z nowymi przepisami blokowani jako dostawcy wysokiego ryzyka.
– Wszystkie koszty, które te podmioty będą musiały ponieść, w wyniku konieczności dostosowania się do nowego projektu ustawy, są dla nich przerażające, nie mówiąc już o kosztach, które te podmioty zapewne będą musiały ponieść wskutek uznania, że ich dostawcą jest dostawca wysokiego ryzyka. To kolejne gigantyczne kwoty, które są związane z pozbyciem się danego sprzętu, oprogramowania i procesów ICT. Projektodawca w OSR to trywializuje, informując, że na to jest siedem lat, ale już nie wspomina o całym procesie nabywania nowych produktów, o tym jak ta wymiana ma wyglądać, nie estymuje więc w żaden sposób kosztów z tym związanych – zauważył podczas debaty Piotr Podgórski, radca prawny, członek zarządu Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl.
Polityczne kryteria wykluczające
Przedstawiciele branży jasno wskazują, że nie rozumieją koncepcji określania dostawców wysokiego ryzyka, która jest przyjęta w nowej ustawie, a w zasadzie we wszystkich 18 jej wersjach.
– Ta koncepcja nie ma żadnego sensu. Wiele mówi się o tym, że nieznane są kryteria oceny dostawców wysokiego ryzyka. Ja uważam, że są znane. Po prostu jest jedno, jedyne kryterium – polityczne – stwierdził Karol Skupień, prezes zarządu Krajowej Izby Komunikacji Ethernetowej.
Jasnym kryterium mogłaby być certyfikacja zamiast banowania firm. Eksperci wskazują, że dyrektywa NIS2 sugeruje pewne rozwiązania, wprowadzanie mechanizmów, ale poprzez certyfikację. Jeśli ktoś chce zyskać pewien poziom jakości czy bezpieczeństwa to wystarczy uzyskanie certyfikatu, czyli umiejętność wykazania, że jego sprzęt spełnia określone warunki. Taki sposób certyfikowania pozwalałby firmom telekomunikacyjnym czy firmom usługowym, które korzystają z tego sprzętu, potwierdzić, że sprzęt będzie dobrej jakości i bezpieczny.
– Przemysł stosuje normy ISO od lat 90, w szczególności tam, gdzie chodzi o ludzkie życie. Na przykład w kopalniach mamy w ten sposób certyfikowane urządzenia takie jak czujniki metanu. Nic nie stoi na przeszkodzie, żebyśmy jako państwo polskie wykorzystali tego typu zapisy, tego typu normy jako obowiązek dla producentów sprzętu telekomunikacyjnego. Dla mnie to jest lepsza droga niż odgórna, niejasna decyzja ministra – stwierdził Marcin Zemła.
W ocenie eksperta lista, na którą można wpisać firmy, które popełniają jakiś błąd – nie zawsze to musi być działanie szpiegowskie – nie jest złym pomysłem. Należy jednak stworzyć zasady, które pozwalają się bronić tym przedsiębiorcom.
– Popełniłeś błąd — wpisujemy cię tymczasowo na listę dostawców wysokiego ryzyka, masz jakiś czas na usunięcie błędów i my to sprawdzimy. Byłoby to bardziej sprawiedliwe niż wpisywanie na taką listę na zawsze – proponuje.
Polskie firmy niekonkurencyjne
Jedną z kluczowych kwestii podnoszonych przez kontestatorów nowego prawa jest zaburzenie konkurencyjności na rodzimym i unijnym rynku.
– Politycy uważają, że firmy i tak wymieniają co kilka lat sprzęt. Jest to nieprawda, ponieważ wiele urządzeń ma gwarancje długoletnie, nawet i po kilkanaście lat. To jest często sprzęt bardzo drogi, nie wymienia się go co pięć lat wbrew pozorom, wiele urządzeń do obsługi sieci światłowodowych, które zostały umieszczone w Polsce, nigdy nie zostało wymienionych, pracują przez cały czas od początku, kiedy zostały zainstalowane, i pewnie przez następne 30 lat spokojnie będą pracować. Niektóre elementy tych urządzeń oczywiście są wymieniane – informował prezes KIKE.
Jak twierdzi, regulacji w takim kształcie nie ma we Francji, nie ma w Niemczech. Jak to wpłynie na polski rynek?
– Jeśli jakiś sprzęt zostanie zakazany w Polsce, ale będzie można go używać w Niemczech, we Francji, to nasi konkurenci, czyli firmy niemieckie, zwyczajnie przeniosą sobie ten sprzęt do innego kraju i będą go dalej używać, bo będzie tam to legalne. Tylko polscy przedsiębiorcy zostaną bez możliwości reakcji – dodaje Karol Skupień.
Czy dostawca wysokiego ryzyka rzeczywiście może być niebezpieczny? Załóżmy, że rzeczywiście ktoś chciałby wykradać dane Polaków i byłby spoza Unii Europejskiej. Czy musiałby produkować sprzęt, włamywać się na konta?
– Jest łatwiejszy sposób, wystarczy kupić w Polsce operatora telekomunikacyjnego i mieć legalny dostęp do sprzętu. Możemy mieć superbezpieczny sprzęt z USA czy Europy, i legalnie mieć do niego login oraz hasło i dane wykradać. To jest coś, o czym wszyscy milczą – podsumowywał prezes KIKE. TJ