Polskie paradoksy dostosowań do unijnej dyrektywy

Już niedługo kilkadziesiąt tysięcy firm w Polsce będzie musiało się dostosować do nowych przepisów w obszarze cyberbezpieczeństwa, jakie nakłada na nich NIS2. Bez zmian w ustawie mogą one wywrzeć negatywny wpływ na gospodarkę, na co zwrócili uwagę uczestnicy dyskusji na konferencji KIKE 2024.

Publikacja: 14.05.2024 07:33

Podczas konferencji KIKE odbył się panel dyskusyjny „Niebezpieczne cyberbezpieczeństwo, czyli co się

Podczas konferencji KIKE odbył się panel dyskusyjny „Niebezpieczne cyberbezpieczeństwo, czyli co się dzieje, gdy ustawodawca zapomina o wpływie regulacji na gospodarkę”

Foto: mat. pras.

NIS2, czyli dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555, której celem jest wzmocnienie cyberbezpieczeństwa w UE, weszła w życie 16 stycznia 2023 r., a 18 października 2024 r. mija termin jej transpozycji do krajowego porządku prawnego.

Podczas konferencji KIKE w Jachrance pod Warszawą odbył się panel dyskusyjny „Niebezpieczne cyberbezpieczeństwo, czyli co się dzieje, gdy ustawodawca zapomina o wpływie regulacji na gospodarkę”, w którym udział wzięli: Maciej Rogalski, przedstawiciel Kancelarii Rogalski i Wspólnicy, Piotr Podgórski, członek zarządu Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców – Przedsiębiorcy.pl, Marcin Zemła, specjalista ds. cyberbezpieczeństwa, ekspert projektu MDS, audytor wiodący ISO 27001 w informatics, oraz Karol Skupień, prezes zarządu Krajowej Izby Komunikacji Ethernetowej. Jak zauważyli dyskutanci, projekt ustawy z 23 kwietnia br., którego zadaniem jest wdrożenie dyrektywy NIS2, budzi sporo niepokoju wśród przedsiębiorstw, bo nowe przepisy dotkną ich w wielu aspektach. Krajowe nadregulacje, znacznie poszerzające obowiązki względem dyrektywy, wymagają uważnego i ponownego przemyślenia oraz konieczności konsultacji społecznych, gdyż w obecnym kształcie mogą prowadzić do negatywnych skutków gospodarczych, w tym utraty konkurencyjności i bankructwa wielu krajowych podmiotów objętych dyrektywą.

NIS2 jest adresowana do podmiotów określanych jako kluczowe i ważne. W przeciwieństwie do kilkuset firm, do których obecnie stosuje się ustawę o krajowym systemie cyberbezpieczeństwa, polski projekt transpondujący NIS2 nakłada obowiązki na ponad 38 tys. podmiotów z 18 sektorów, m.in. administracji publicznej, ochrony zdrowia, bankowości czy zwiazanych z żywnością. To więcej niż w Niemczech, gdzie jest ich 35 tys., czy we Francji (15 tys.).

Środki, jakie podmioty telekomunikacyjne będą musiały wyłożyć na wdrożenia obowiązków wynikających z ustawy, są ogromne i wiele z nich może tego nie udźwignąć. Największe firmy nie mają problemu, bo już dawno wdrożyły normę ISO 26001, której przyjęcie jest równoznaczne ze spełnieniem wymagań ustawy. Jednak pozostałe będą musiały zacząć dostosowania od zerowego audytu. Dzień pracy audytora wyceniany jest na ok. 1 tys. zł. Konieczność zmiany kultury organizacji w związku z systemem zarządzania bezpieczeństwem informacji to kolejne godziny szkoleń i pracy trenerów wyspecjalizowanych w konkretnych regulacjach, za które trzeba zapłacić.

Do tego dochodzą koszty zatrudnienia personelu o odpowiednich kompetencjach, zakupienia sprzętu oraz oprogramowania monitorującego systemy 24 godziny na dobę, na które trzeba wykupić drogie licencje. Jeśli dostawca, z którego usług korzystają podmioty, zostanie uznany za dostawcę wysokiego ryzyka, wygeneruje to kolejne nakłady na konieczną wymianę sprzętu czy oprogramowania ICT. Projektodawca niestety w żaden sposób nie estymuje kosztów związanych z procesem dostosowawczym, jedyne konkretne dane dotyczą kar. Zatem w sytuacji, gdy ceny idą w górę, a budżety są mocno okrojone, tak wysokie koszty dostosowań mogą się stać zabójcze dla firm z sektora MŚP.

Konsekwencje finansowe należy zatem wyliczyć, a projekt powinien być zmieniony, jeżeli w toku konsultacji publicznych przedstawione dane dotyczące kosztów wdrażania zostaną uznane za zbyt wysokie. Trzeba też pamiętać, że zbyt duże koszty implementacji NIS2 zapłacą także użytkownicy końcowi, bo spowodują wzrost cen internetu, które były jednymi z najniższych w Europie.

Według projektu ustawy wdrażającej NIS2, jeżeli dostawca zostanie uznany za dostawcę wysokiego ryzyka, wówczas wszystkie podmioty kluczowe i wszystkie podmioty ważne muszą usunąć konkretne kategorie sprzętu lub oprogramowania pochodzące od takiego dostawcy w ciągu siedmiu lat, a niektórzy przedsiębiorcy telekomunikacyjni – nawet w ciągu czterech lat. Według dyskutantów kryteria uznania dostawcy za high-risk vendor, częściowo zaczerpnięte z regulacji Toolbox 5G, są niejasne i nieprecyzyjne. Jak stwierdza Karol Skupień, prezes zarządu Krajowej Izby Komunikacji Ethernetowej, jedynym kryterium jest tu kryterium polityczne. Lepszym rozwiązaniem byłaby certyfikacja sprzętu i oprogramowania.

Nakazywanie usuwania z sieci urządzeń, które pochodzą od nieodpowiedniego dostawcy, jest ryzykowne i nieekonomiczne. Ten sprzęt ma nieraz wieloletnie gwarancje i jest drogi. Niektóre urządzenia do obsługi sieci światłowodowych, umieszczone w Polsce, nie zostały wymienione i są sprawne.

Drugą, bardzo poważną kwestią jest wpływ założeń ustawy na kwestię bezpieczeństwa. Ma ona w założeniu chronić UE przed sprzętem, który może służyć do ewentualnego wykradania danych przez firmy spoza jej obszaru. Jednak wystarczy kupić w Polsce operatora telekomunikacyjnego, by uzyskać legalny dostęp do wszystkich urządzeń. A mamy w kraju operatorów, których właścicielami są fundusze spoza Unii. Dane Polaków przepływają tam bez włamywania się do sieci. To paradoks, że polskim firmom zabrania się posługiwania sprzętem spoza UE, dobrym i w korzystnej cenie, a nie zakazuje się przekazywania danych korporacjom zagranicznym spoza obszaru europejskiego. Karol Skupień uznaje to za skrajnie niebezpieczne.

Według dyskutantów zasada proporcjonalności jest w przypadku NIS2 absurdalna, bo zakłada, że zgodnie z ustawą podmioty będą ponosić koszty nie swoich błędów. Gdy producent popełni błąd, który spowoduje, że sprzęt przestanie spełniać wymogi regulacji, operator będzie musiał ponieść koszt jego wymiany. A pole manewru jest niewielkie. W Europie w technologii światłowodowej, jest tylko jeden dostawca, który dorównuje jakością sprzętom azjatyckim, ale nie ma on oferty dla małych i średnich operatorów telekomunikacyjnych, jakich w Polsce są tysiące. Brak możliwości stosowania sprzętu spoza Unii spowoduje, że zostaną oni wyeliminowani z rynku. Zatem ustawa nakłada obowiązki nie tylko nieproporcjonalne, ale także nie na te firmy, co trzeba. Ustawodawca zapomina, że w kraju jest 2,5 mln tych małych i średnich przedsiębiorców i ich udział w przychodach Skarbu Państwa jest znaczący.

NIS2, czyli dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555, której celem jest wzmocnienie cyberbezpieczeństwa w UE, weszła w życie 16 stycznia 2023 r., a 18 października 2024 r. mija termin jej transpozycji do krajowego porządku prawnego.

Podczas konferencji KIKE w Jachrance pod Warszawą odbył się panel dyskusyjny „Niebezpieczne cyberbezpieczeństwo, czyli co się dzieje, gdy ustawodawca zapomina o wpływie regulacji na gospodarkę”, w którym udział wzięli: Maciej Rogalski, przedstawiciel Kancelarii Rogalski i Wspólnicy, Piotr Podgórski, członek zarządu Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców – Przedsiębiorcy.pl, Marcin Zemła, specjalista ds. cyberbezpieczeństwa, ekspert projektu MDS, audytor wiodący ISO 27001 w informatics, oraz Karol Skupień, prezes zarządu Krajowej Izby Komunikacji Ethernetowej. Jak zauważyli dyskutanci, projekt ustawy z 23 kwietnia br., którego zadaniem jest wdrożenie dyrektywy NIS2, budzi sporo niepokoju wśród przedsiębiorstw, bo nowe przepisy dotkną ich w wielu aspektach. Krajowe nadregulacje, znacznie poszerzające obowiązki względem dyrektywy, wymagają uważnego i ponownego przemyślenia oraz konieczności konsultacji społecznych, gdyż w obecnym kształcie mogą prowadzić do negatywnych skutków gospodarczych, w tym utraty konkurencyjności i bankructwa wielu krajowych podmiotów objętych dyrektywą.

IT
Polska liderem rozwoju IT w Europie. Kto jest najbardziej poszukiwany
IT
Pracownicy IT z mniejszym wzięciem i zagrożeni przez AI. Ciężki los juniora
IT
Brytyjski gigant oszukany na ogromne sumy. Stworzyli fałszywego dyrektora finansowego
IT
Lawinowo przybywa programistów na swoim. Mają bardzo niepewną przyszłość
IT
Nowi królowie IT. Już nie programiści czy developerzy zarabiają najwięcej
IT
Najnowsze trendy, światowi eksperci i przyszłość biznesu