Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa nabiera znaczenia wobec kolejnych zawirowań geopolitycznych. Brakuje jednak oceny kosztów, które poniosą reprezentanci 18 sektorów, m.in. energetycznego, ochrony zdrowia czy rolno-spożywczego. Jest też nadregulacją, co może mieć swoje konsekwencje – uznali eksperci w debacie „Czy przepisy o KSC poprawią bezpieczeństwa. Jakie będą mieć wpływ na biznes”
Dr Anna Czarczyńska: To nie jest cios dla chińskiej gospodarki. Odnosząc się do naszego regionu, uważam, że taka decyzja powinna zostać skonsultowana z UE. Polityka wobec Chin powinna być prowadzona bardzo spójnie. Szczególnie że Chiny mogą zastosować odwet. Dla USA nie będzie miał on większego znaczenia. Dla Europy już tak. Szczególnie zaniepokojone mogą czuć się Niemcy, które utrzymują dużą wymianę handlową z Chinami. Jeśli straci niemiecka gospodarka, to konsekwencje poniesie też polska, dla której kraj ten jest największym odbiorcą towarów.
W całej tej sytuacji widzę też korzyści dla Europy. Chińczycy coraz chętniej relokują swoje zakłady, by być bliżej docelowych odbiorców. Po Węgrzech, Polska jest kolejnym krajem, który może w większym stopniu powitać chińskich producentów. Pytanie tylko, czy takie działania nie byłyby ewentualnie blokowane przez UE, w ramach odwetu.
Janusz Piechociński: Przypomnę, że z największej gospodarki świata importujemy dziś niemal wszystko, począwszy od surowców, jak stal, po gotowe wyroby. Decyzja Bidena to kontynuacja działań podjętych w 2018 r. przez Donalda Trumpa. Mimo to wszelkie perturbacje w obszarze wymiany handlowej z tym krajem mogą mieć negatywne konsekwencje dla jego partnerów. W związku z wysokimi cłami wprowadzonymi przez USA na chińskie samochody elektryczne, mogą nas zalać elektryki z Azji, która są dużo tańsze niż produkowane w Europie. To kwestia tańszej produkcji, ale i rządowych dotacji. W Chinach ich produkcją zajmuje się ponad 400 firm. Konsekwencje mogą ponieść europejskie firmy motoryzacyjne. Pytanie, jak zachowa się Komisja Europejska. Podobnie sytuacja wygląda w sektorze bateryjnym. Europa przespała proces wytwarzania w tych obszarach, a dziś może z tego powodu ucierpieć.
Agnieszka Maliszewska: Chiński rynek jest dla nas bardzo ważny w kontekście dalszego rozwijania eksportu. Na skutek pandemii nieco straciliśmy w nim udziały. Ale dziś próbujemy je odzyskać. W przypadku serwatki to kierunek numer jeden dla polskiego mleczarstwa, w globalnej strukturze eksportu. Dlatego z niepokojem obserwujemy to, co dzieje się na rynku światowym. Obawiamy się, że ten konflikt może przełożyć się na nasz sektor. Jak bardzo? Trudno to dziś przewidzieć.
Mikołaj Budzanowski: Nie budujmy sztucznych murów legislacyjnych na linii UE–Chiny. Nadszedł czas na konkurowanie wiedzą, deep-techem, sprawną legislacją wspierającą europejski przemysł, a nie poprzez sztuczne budowanie muru z Chinami, którym będzie wprowadzenie ceł dla obrony lokalnej gospodarki. Polemizowałbym z tezą, zgodnie z którą europejski rynek zostanie zalany samochodami elektrycznymi z Chin. Wypowiedzi liderów krajów UE pokazują, że np. Niemcy, czyli kraj najbardziej zagrożony importem samochodów elektrycznych z Chin, nie opowiada się za ich wprowadzeniem.
Jako globalna firma prowadzimy biznes na rynku europejskim, amerykańskim, ale też budujemy fabryki w Chinach dla lokalnych odbiorców. Jako producenci części samochodowych będziemy w przyszłości korzystać z tego, że coraz więcej samochodów, tym również elektrycznych będzie produkowanych i sprzedawanych na naszym kontynencie. A ponieważ liczy się cena, to będzie wygrywał ten, kto jest lokalnym producentem. My nim jesteśmy. Ale potrzebujemy wsparcia publicznego na rozwój naszych produktów. Zagrożenia dla europejskich producentów upatruję przede wszystkim w energetyce – tu jesteśmy uzależnieni od Chin, stamtąd pochodzą komponenty i surowce do produkcji PV, magazynów energii czy inwerterów.
Arkadiusz Pączka: Zgodzę się, że element konkurencyjności przez innowacje, a nie cła, będzie wyzwaniem dla nowej KE. A jeśli chodzi o ustawę o KSC, to mamy kolejną wersje nowelizacji, która jest najbardziej restrykcyjnym wdrożeniem dyrektywy NIS2. Dotknie co najmniej 18 branż, czyli najwięcej w UE, nie tylko tych, o których myśli się przy wprowadzaniu tego rodzaju zapisów, czyli telekomunikacyjnej czy energetycznej. Będzie oddziaływać też m.in. na sektory takie jak: ochrona zdrowia, transport, produkcja żywności i rolnictwo. Takie podejście przełoży się na koszty dla przedsiębiorców, którzy w większości nie mają świadomości nowych obowiązków, gdyż nawet nie zostali zaproszeni do konsultacji społecznych. Tymczasem w ocenie skutków regulacji wspomniano wyraźnie, że nie można oszacować kosztów, jakie poniosą polscy przedsiębiorcy. Pozostaje więc pytanie, na ile przełoży się to na konkurencyjność polskich przedsiębiorców. Rozumiem, że bezpieczeństwo, także to cyfrowe, jest dziś niezwykle ważne. Ale nie może to przyćmiewać tego, że mamy do czynienia z nadregulacją o niepoliczonych kosztach, która wpłynie na konkurencyjność polskiej gospodarki, a docelowo na konsumenta. Dodatkowo budzi wątpliwości w kontekście konstytucyjności proponowanych rozwiązań. Zwłaszcza w kontekście politycznych kryteriów adresowanych do dostawców spoza UE. Nie chodzi o to, żeby być prymusem w zakresie wdrożenia tej ustawy na tle innych państw Unii, ale żeby zrobić to z najmniejszym uszczerbkiem dla przedsiębiorców będących kołem napędowym polskiej gospodarki.
Mariusz Busiło: Podkreślę, że dziś mamy przepisy regulujące cyberbezpieczeństwo. To ustawa o KSC, są też normy wdrażane przez prywatne i publiczne przedsiębiorstwa. Prawdą jest też, że mamy do czynienia z 18. już próbą znowelizowania tych przepisów, którą wymusza dyrektywa NIS2, a która powinna być w Polsce zaimplementowana od 18 października br. Zgadzam się z tezą, że nowelizacja jest konieczna. Jednak jej wdrożenie przekracza istniejące potrzeby, do tego w sposób nieoparty na wiedzy i analizie, chociażby w zakresie kosztów oceny skutków regulacji. Krytyczne dla mnie jest to, że z najnowszego projektu przeniesiono do innej ustawy, która idzie osobnym trybem, postanowienia dotyczące certyfikacji bezpieczeństwa. Za to zostały zapisy dotychczas bardzo krytykowane. Myślę o postępowaniu w sprawie uznania za dostawcę wysokiego ryzyka (HRV), które w obecnej wersji będzie dotyczyło ponad 35 tys. podmiotów, a nie jak do tej pory największych telekomów. Mamy nowy rząd, który powinien zająć się projektem nowelizacji od podstaw. Tymczasem mam wrażenie, że obecny projekt to kompilacja 17 poprzednich, przygotowany pod presją transpozycji NIS2 w Polsce.
Michał Lewandowski: W bankach od lat obowiązują przepisy, które nakładają obowiązek zapewnienia odpowiedniego poziomu bezpieczeństwa. Jeśli chodzi o sektor ochrony zdrowia, w którym dziś działam, to mogę powiedzieć, że Medicover mocno inwestuje w cyberbezpieczeństwo. Ale patrząc na przykład na program Ministerstwa Zdrowia, którego celem było dofinansowanie podniesienia poziomu cyberbezpieczeństwa w podmiotach, które mają podpisane kontrakty z NFZ, to problemem okazało się brak zasobów po stronie tych podmiotów.
Dziś, kiedy wprowadzamy dodatkowe regulacje, na które oczekuje ok. 1200 podmiotów z ochrony zdrowia zobowiązanych do wdrożenia dodatkowych zabezpieczeń, realizacja tego planu może być w pewnym stopniu problematyczna. Choć zmiany w tym zakresie i inwestycje są z pewnością konieczne, szczególnie w branży medycznej.
Mariusz Busiło: Mamy regulacje w zakresie cyberbezpieczeństwa, choć nie mamy wdrożonej dyrektywy NIS2. I choć cyberataki bardzo się nasiliły od wybuchu wojny w Ukrainie, to dobrze sobie z nimi radzi biznes, banki, firmy telekomunikacyjne. Nie słyszymy, że padają jakieś systemy. Nie znaczy to, że należy zwlekać z nowelizacją. Ale trzeba ją przeprowadzić tak, by nie pogorszyć naszej konkurencyjności, nie nałożyć dodatkowych obowiązków administracyjnych. Czy nasze dane są lepiej chronione, po tym jak wdrożono RODO. Chodzi o to, by nie powtórzyć tego błędu. To czysto represyjna regulacja, która nie ma wiele wspólnego z edukacją, z inwestycjami i stworzeniem pewnych sieci współpracy walki z cyberzagrożeniami.
Mikołaj Budzanowski: Jest złota zasada, zgodnie z którą, jeśli nie wiemy, ile to będzie kosztowało, to tego nie róbmy. A w OSR nie ma mowy o kosztach. Z drugiej strony mamy konflikt za wschodnią granicą, który narasta. Trzeba się też przygotować, że będzie coraz więcej konfliktów zbrojnych na świecie, a one sprzyjają cyberatakom. Do tego będą dotyczyły procesów produkcyjnych, ponieważ przemysł digitalizuje swoje usługi oraz stosuje sztuczną inteligencję w swoich procesach. Dlatego konieczność ochrony danych wzrasta, zwłaszcza w obszarach energetyki, produkcji przemysłowej, gdzie zachowanie ciągłości dostaw jest niezwykle ważne. To oznacza, że kolejne przepisy są niezbędne. Tymczasem mamy następny projekt, nie do końca skonsultowany z przemysłem. Do tego nie mamy przewidzianych w naszych budżetach inwestycji w tym obszarze. Muszą więc powstać publiczne instrumenty finansowe, wspierające realizację projektów w sektorze cybersecurity.
Janusz Piechociński:Zwrócę uwagę, że hasło bezpieczeństwo tworzy przestrzeń do lobbingu na niespotykaną skalę. Można wyeliminować pewne technologie uznane za niebezpieczne, a w ich miejsce wytworzyć popyt na te uznawane za bezpieczne. A autorzy projektu nie zawsze mają świadomość, czego on dotyka. Więc, skoro 1 stycznia zaczyna się polska prezydencja w UE, to czy polskie środowisko działające w obszarze cyber nie powinno przygotować wytycznych dla naszych polityków, którzy będą przez pół roku inspirować debatę europejską. Dodam, że my generalnie niepotrzebnie za często wychodzimy poza zakres tego, co proponuje Komisja Europejska, co kończy się gwałtownymi podwyżkami kosztów.
Agnieszka Maliszewska:Zgadzam się, że dziś mamy nadregulację przepisów, na czym cierpi też nasz sektor. Do tego nawet na etapie konsultacji nie jesteśmy informowani o wdrażaniu nowych zapisów. Dobrym przykładem jest ustawa o KSC.
Dr Anna Czarczyńska: Rzeczywiście koszty nie są policzone i pewnie trudno byłoby je oszacować. Ale z drugiej strony, gdy patrzymy na macierz ryzyka, to ewentualne wystąpienie masowych incydentów krytycznych na dużą skalę w całej przestrzeni europejskiej doprowadziło do naprawdę wysokich kosztów. A te są jeszcze bardziej niepoliczalne niż wdrożenia poszczególnych dyrektyw. To, co mnie niepokoi to to, że małe i średnie przedsiębiorstwa nie są kompletnie przygotowane na wdrożenie cyberbezpieczeństwa. Tymczasem, jak wynika z badań, w razie ataku 60 proc. przedsiębiorstw znika.
Arkadiusz Pączka: To prawda, że świadomość przedsiębiorców na temat projektu jest znikoma. Przede wszystkim dlatego, że nie jest konsultowany ze wszystkimi sektorami, jak deklarował minister cyfryzacji. Panuje przekonanie, że gdy mówimy o przepisach z zakresu cyberbezpieczeństwa, to dotyczą one przedsiębiorstw telekomunikacyjnych. Tymczasem nowelizacja ustawy dotyka szeregu branż, 18 sektorów gospodarki, 40 tys. podmiotów. I może się okazać, że dopiero gdy wejdzie w życie, niektóre z nich dowiedzą się, że są zobligowane do ogromnych inwestycji. To pokazuje, że ten projekt wymaga szerszej debaty. Szczególnie że nie jest to wyłącznie ustawa o bezpieczeństwie, ale też o pewnych rozwiązaniach gospodarczych, będzie wpływała na łańcuchy dostaw dla wielu branż. Dziś biznes oczekuje stabilnego otoczenia prawnego, a projekt nowelizacji w to się nie wpisuje.
Michał Lewandowski: Brak oszacowania kosztów sprawia, że dziś komukolwiek trudno się przygotować do nowelizacji ustawy. Nie ma też konkretów, jak np. w rozporządzeniu DORA, które już obowiązuje, co pozostawia pole do interpretacji. Nie mówię już o tym, że z wdrożeniem nowych zapisów będzie problem w wielu sektorach z powodu braku zasobów ludzkich i finansowych.
Mariusz Busiło: Ustawa jest potrzebna, ale ona powinna wszystkie złogi usuwać, czyli na przykład poprawiać komunikację między instytutami i instytucjami, które pracują w Polsce nad cyberbezpieczeństwem. Nie powinna wprowadzać kar. Powinna uporządkować certyfikację, wprowadzić pomoc państwa dla najmniejszych w dostosowaniu się do regulacji.