Obecnie w Sejmie procedowana jest głośna już ustawa o KSC. Wiele mówi się o tym, że polska implementacja dyrektywy NIS2 jest wyjątkowo restrykcyjna, a niektórzy eksperci nazywają to wprost tzw. gold platingiem. Skąd potrzeba wprowadzenia tak restrykcyjnego wdrożenia NIS2 w naszym kraju?
Jeżeli mówimy o implementacji dyrektywy NIS2 (ang. Network and Information Systems Directive 2) związanej z wprowadzeniem w Polsce ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) i pojawiającym się w jakiś sposób zarzutem dotyczącym nadregulacji, czyli tzw. gold platingiem, to nie do końca jako resort cyfryzacji możemy się z taką oceną zgodzić. A to dlatego, że główne zapisy, które pojawiają się w tej ustawie, wprost wynikają z dyrektywy NIS2, a ewentualne doregulowania na gruncie prawa polskiego związane są przede wszystkim z zapewnieniem cyberbezpieczeństwa. Wiemy, że Polska jest krajem w największym stopniu atakowanym w cyberprzestrzeni. W 2025 r. było to ponad 260 tys. cyberincydentów. Dlatego robimy wszystko, aby tę ustawę wdrożyć jak najszybciej. Jesteśmy już dosyć mocno opóźnieni, bo termin na jej wprowadzenie do naszego porządku prawnego upłynął w październiku 2024 r.
Dlaczego go nie dotrzymaliśmy?
Proces legislacyjny trwa tak długo, bo projekt ustawy został mocno przekonsultowany z różnymi środowiskami i stąd też ta nasza szczegółowość dotycząca pewnych rozwiązań, także podziału określonych podmiotów. Chodzi o to, aby ustawa zbytnio nie obciążała przedsiębiorstw, głównie tych małych i średnich, ze względu na podział na podmioty z jednej strony kluczowe, z drugiej strony ważne. Ten podział związany jest m.in., po pierwsze, ze zgłaszaniem określonych incydentów zarówno przez te wszystkie podmioty, tak ważne, jak i kluczowe, a z drugiej ze sporządzaniem audytu. Podmioty kluczowe będą musiały audytować ryzyka związane z cyberzagrożeniami. Różnica dotyczy także wprowadzenia określonej odpowiedzialności zarządów firm, odpowiedzialności ich kierownictwa związanej z niezgłaszaniem tychże incydentów, bo obowiązek ich zgłaszania oczywiście istnieje, ale teraz chodzi o wprowadzenie określonych kar i sankcji finansowych.
Wokół ustawy słychać liczne głosy sprzeciwu ze strony organizacji branżowych i przedsiębiorców, głównie dotyczące kosztów związanych z wprowadzeniem KSC. Jakie faktycznie koszty poniosą przedsiębiorcy?
Jeżeli chodzi o koszty, które mogą ponieść firmy, to będą one związane głównie z audytem, który będzie wymagany przede wszystkim od podmiotów kluczowych i sporządzaniem listy określonych rodzajów ryzyka. Oczywiście, tak jak mówiłem, obowiązek ten spoczywał na tych firmach już wcześniej. Będzie on także dotyczył firm i może z tym związane są głównie obawy sektora małych i średnich przedsiębiorstw, które są w systemie dotyczącym ochrony infrastruktury krytycznej, a więc tych, które mogą być dostawcami określonych usług. Faktycznie te koszty po ich stronie będą gdzieś występować, ale mogą oczywiście te usługi outsourcować. Dla nas, jako dla Polski, dla Ministerstwa Cyfryzacji, cyberbezpieczeństwo i generalnie bezpieczeństwo Polek i Polaków jest najważniejsze i dlatego musimy w jakiś sposób zadziałać regulacyjnie w tym zakresie.
Czy jednak zbyt restrykcyjne prawo nie będzie przeciwskuteczne i nie ograniczy konkurencyjności polskiej gospodarki?
Mówiąc o konkurencyjności naszej gospodarki i firm w zakresie wprowadzenia dyrektywy NIS2, musimy zwrócić uwagę, że dyrektywa będzie dotyczyła wszystkich krajów Unii Europejskiej i przedsiębiorstw funkcjonujących na obszarze całej UE. Czy ta konkurencyjność w jakiś sposób będzie obniżona? Moim zdaniem nie, i oczywiście także nie w ocenie Ministerstwa Cyfryzacji, gdyż w jakiś sposób produkty, które będą dostarczone, pewność zawierania określonych usług, podwyższą ich standard i jakość. Na tę jakość będziemy stawiać przede wszystkim. Można oczywiście zadać pytanie dotyczące konkurencyjności związanej z ceną określonych produktów w krajach poza Unią Europejską. Tu jednak pojawia się kwestia wyboru między bezpieczeństwem i jakością oferowanych produktów a określonymi rodzajami ryzyka, które są związane także z potencjalnymi cyberatakami.
Wiele mówi się też o potencjalnych retorsjach handlowych ze strony Chin. Należy się obawiać konsekwencji dla naszego sektora rolnego, w szczególności w zakresie eksportu polskiego drobiu do Państwa Środka?
Często pojawia się taki zarzut medialny i pewien lobbing dotyczący tzw. dostawców wysokiego ryzyka. I w tym kontekście pojawiają się Chiny. Ma to związek z sytuacją dotyczącą „5G Cybersecurity toolbox” i sprawą, która cały czas toczy się w sądzie pomiędzy Szwecją a firmą Huawei, w którym to przypadku firma Huawei została uznana za dostawcę wysokiego ryzyka i Szwecja niejako zabroniła kupowania czy montowania produktów tej firmy przez operatorów.
