Cyberbezpieczeństwo nie może uderzać w polskich przedsiębiorców

Cyberbezpieczeństwo odmieniane jest dzisiaj przez wszystkie przypadki. Pozycję dominującą w tym zakresie, co z jednej strony jest dość naturalne, wiedzie Ministerstwo Cyfryzacji. Problem pojawia się jednak w sytuacji, gdy próba zapewnienia ochrony przed potencjalnymi cyberzagrożeniami realizowana jest kosztem przedsiębiorców i generuje inne, realne niebezpieczeństwa. Ich perspektywa rysuje się w wyniku wejścia w życie przepisów w brzmieniu projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, który został właśnie skierowany na Stały Komitet Rady Ministrów (SKRM) na posiedzenie 12 czerwca.

Ponad 1500 uwag do projektu KSC

Dziś minął ponad rok od chwili, gdy Ministerstwo Cyfryzacji poddało konsultacjom projekt ustawy o KSC. W rezultacie tych konsultacji, których czas przeprowadzenia był bardzo krótki, resort cyfryzacji doczekał się ponad 1500 uwag przesłanych przez różne organizacje i środowiska. W legislacji jest to wynik świadczący niestety o bardzo słabym, pod względem merytorycznym, przygotowaniu danego projektu ustawy. Zwracają na to uwagę zarówno wybitni przedstawiciele nauk prawnych, jak i praktycy, a nawet – co warte podkreślenia – inne ministerstwa, które podkreślają liczne niebezpieczeństwa wynikające z tego projektu. Tych ostatnich nie sanuje zaszczytne hasło walki z cyberzagrożeniami.

Obecnie mamy do czynienia z kolejną wersją projektu ustawy, w wyniku czego powstają problemy z samym zliczeniem odsłon tych propozycji zmiany ustawy. Już tutaj dostrzegamy elementarne błędy w sztuce legislacji, zgodnie z którą projektodawca przy tak obszernych zmianach, powinien przygotować projekt nowej ustawy. Głos w tym zakresie jest wyraźnie słyszalny w środowisku prawniczym. Wydaje się to być jednak marginalny problem, który znacząco ustępuje swoją wagą, niewłaściwej próbie implementacji dyrektywy NIS 2, co w konsekwencji prowadzi do nadregulacji.

KSC uderzy w przedsiębiorców z 18 różnych sektorów gospodarki

Projekt ustawy o KSC stwarza realne ryzyko utraty przez wielu przedsiębiorców konkurencyjności, czy wręcz rysuje realne widmo ogłaszania upadłości przez wiele firm, które zmuszone zostaną do wycofania sprzętu lub oprogramowania ICT, w wyniku uznania ich dostawców za dostawcę wysokiego ryzyka (high risk vendor). Ta procedura zaczerpnięta została z unijnego zestawu środków dla cyberbezpieczeństwa sieci tzw. 5G toolbox, przy czym polski projektodawca całkowicie niezasadnie rozszerzył ją również na inne – niż branża telekomunikacyjna (w tym sieć 5G) – sektory. I jest w tym działaniu niestety niechlubnym prekursorem, bowiem takiego rozszerzenia, przy implementacji dyrektywy NIS 2, nie wprowadziło żadne inne państwo UE. Rozszerzenia, któremu dodatkowo towarzyszyłyby niemerytoryczne, odnoszące się do kryterium państwa pochodzenia, przesłanki uznania danego dostawcy za dostawcę wysokiego ryzyka. Tym samym wszystkie podmioty kluczowe i ważne staną przed perspektywą konieczności pozbycia się swojego sprzętu lub oprogramowania informacyjno-komunikacyjnego (ICT). Są to np. określone w projekcie ustawy podmioty lecznicze, hurtownie farmaceutyczne, podmioty odprowadzające lub oczyszczające ścieki, dostarczające wodę, przedsiębiorstwa zajmujące się gospodarowaniem i przetwarzaniem odpadów, produkcją, przetwarzaniem i dystrybucją żywności.

Nieprecyzyjne i nietechniczne kryteria dot. dostawców wysokiego ryzyka (DWR)

Procedura wymiany sprzętu lub oprogramowania może dotknąć szeroką rzeszę przedsiębiorców, którzy na etapie dokonywania wyboru dostawcy sprzętu lub oprogramowania działali w dobrej wierze i kierowali się profesjonalizmem danego kontrahenta oraz jakością oferowanych przez niego produktów i usług. Nie mieli zatem jakichkolwiek podstaw do tego, aby przewidzieć, że za jakiś czas dostawca ten uznany zostanie w drodze decyzji Ministra Cyfryzacji za dostawcę wysokiego ryzyka. I to w oparciu o nieprecyzyjne, pozatechniczne kryteria. Konsekwencją powyższego będzie konieczność pozbycia się danego sprzętu lub oprogramowania i zakup nowego, a wszelkie koszty związane z tym niejednokrotnie zaawansowanym procesem ponosił będzie dany przedsiębiorca. Wchodziły tu będą w grę również koszty przeszkolenia pracowników, koszty nabycia licencji itp.

Polska potrzebuje przemyślanych regulacji bezpieczeństwa cyfrowego

Brak wskazania w OSR kosztów, które poniosą polscy przedsiębiorcy

Ministerstwo Cyfryzacji, wbrew przyjętym technikom legislacyjnym, nie oszacowało niestety wyżej wspomnianych kosztów w Ocenie Skutków Regulacji. To zadanie zostało przejęte przez organizacje pracodawców, zarówno te branżowe, jak i ponadbranżowe, które w wyniku przeprowadzonych badań i sond ustaliły, że tego rodzaju wydatki wynosiły będą od kilkudziesięciu do nawet kilku miliardów złotych. Zależało to będzie od skali prowadzonego biznesu oraz specyfiki branży. Na koniec, konsekwencje tego poniosą sami konsumenci, gdyż przedsiębiorca zmuszony zostanie do podniesienia cen swoich usług lub towarów, w wyniku poniesionych przez niego kosztów wymiany sprzętu. Projektodawca przyznaje zresztą to sam w Ocenie Skutków Ryzyka.

Nietransparentny proces i polityczne kryteria eliminacji DWR

Należy podkreślić, że zaprezentowany w projekcie ustawy o KSC mechanizm dostawcy wysokiego ryzyka w oparciu o nieostre przesłanki, w tym kryterium państwa pochodzenia, może skutkować nakazem wyeliminowania sprzętu, który de facto jest sprawny i bezpieczny oraz posiada certyfikaty. Stawiało to będzie podmioty, uznane w projekcie ustawy o KSC, za podmioty kluczowe lub ważne przed koniecznością wyboru nowych produktów lub oprogramowania od innego dostawcy. Należy zauważyć, że często będzie to sprzęt znacznie droższy. Może również zajść i takie zjawisko, że jedynie dotychczasowy dostawca (uznany za dostawcę wysokiego ryzyka) był swoistego rodzaju monopolistą, który oferował dany produkt i brak jest w tym zakresie konkurencji.

Decyzja o uznaniu danego dostawcy za dostawcę wysokiego ryzyka będzie mogła zostać podjęta na podstawie opinii Kolegium ds. Cyberbezpieczeństwa, którego przewodniczącym jest Prezes Rady Ministrów, a członkami m.in. odpowiedni ministrowie. Taka procedura zaburza zasady transparentności. Dalece niepokojące jest to, że od wspomnianej decyzji nie będzie przysługiwał wniosek o ponowne rozpatrzenie sprawy w trybie przepisów kodeksu postępowania administracyjnego, na co również zwracaliśmy uwagę Ministerstwu Cyfryzacji. Należy podkreślić, że decyzja ta będzie miała rygor natychmiastowej wykonalności. Projektodawca nie przewiduje zatem możliwości dokonania np. naprawy danego sprzętu. Nie reguluje swoistego rodzaju postępowania sanacyjnego. Tutaj ma nastąpić całkowita wymiana całego sprzętu lub oprogramowania.

Co więcej dostawca uznany za dostawcę wysokiego ryzyka nigdy nie pozna całego uzasadnienia decyzji, gdyż będzie ona w części niejawna. Powodowało to będzie problemy w sprecyzowaniu środka odwoławczego. Z udziału w procedurze uznania danego dostawcy za dostawcę wysokiego ryzyka, co do zasady wyłączone będą podmioty kluczowe lub ważne, a także organizacje społeczne. To budzi daleko idący niepokój, na co wielokrotnie zwracana była uwaga Ministerstwu Cyfryzacji.

Nadregulacja, za którą zapłacą przedsiębiorcy

Założenia projektu ustawy o KSC są nieproporcjonalne do założonych celów, rzeczywistych potrzeb i możliwości finansowych wielu przedsiębiorców. Stoimy przed realną perspektywą naruszenia zasady niedyskryminacji, proporcjonalności, zasady harmonizacji unijnej oraz pewności prawa. Projekt ustawy w obecnym brzmieniu pozostaje w sprzeczności z ostatnio wyrażonymi postulatami eliminacji nadregulacji, które wynikają z raportu Mario Draghiego. Wprowadzenie przy procedurze dostawcy wysokiego ryzyka kryteriów opartych na państwie pochodzenia dostawców prowadziło będzie do utraty konkurencyjności polskich przedsiębiorców wobec firm z innych państw, w których ustawodawstwie nie przewidziano tak restrykcyjnych regulacji, w tym nie rozszerzono na tyle sektorów procedury uznania danego dostawcy za dostawcę wysokiego ryzyka. Projekt ustawy o KSC rodzi zatem bardzo poważne konsekwencje dla kilkudziesięciotysięcznej rzeszy podmiotów objętych tą ustawą.

Polscy przedsiębiorcy popierają ideę walki z cyberzagrożeniami, zwłaszcza w obliczu wydarzeń geopolitycznych, które mają dziś miejsce na arenie światowej, a w szczególności za naszą wschodnią granicą. Zapewnienie cyberbezpieczeństwa powinno odbywać się jednak w poszanowaniu swobody działalności gospodarczej, zasady proporcjonalności oraz zasad konstytucyjnych tak, aby jedne wartości nie stawały w podrzędnej roli w stosunku do innych.

Apelujemy zatem, aby Ministerstwo Cyfryzacji możliwie jak najszybciej wyeliminowało newralgiczne uwagi i wprowadziło zmiany które zapewnią polskim firmom bezpieczeństwo ich funkcjonowania oraz pewność prowadzenia biznesu. To bezpieczeństwo jest również niezmiernie ważne dla naszego kraju.

Piotr Podgórski

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję

Źródło: Dziennik Gazeta Prawna

Piotr Podgórski

radca prawny, członek zarządu Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl

Zobacz wszystkie artykuły tego autora

Cyberbezpieczeństwo nie może uderzać w polskich przedsiębiorców »

Tematy: technologie przedsiębiorcy KSC cyberbezpieczeństwo

Newsletter

Drukuj

Skopiuj link

Zgłoś błąd na stronie

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

Jest nieaktualna

Jest niedokładna

Nie dotyczy informacji, których szukam

Inny powód