Rewolucja w cyberbezpieczenstwie. Czy rzad pograzy polskie firmy

Chodzi o nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Te przepisy są znane stąd, że zmuszą określone firmy do wycofanie ze swoich systemów produktów dostawcy wysokiego ryzyka z krajów trzecich. W tym kontekście mówi się dużo o Chinach i ich producentach, głównie firmie Huawei i ZTE Corporation. Problem w tym, że jak zauważają autorzy uwag do projektu, zmiany proponowane przez MC są zbyt restrykcyjne, kosztowne i mogą prowadzić do odwrotnych skutków niż zamierzone. Opinie przesłało ponad sto różnych podmiotów, od prywatnych, po publiczne. — Tak wysokie zaangażowanie w proces legislacyjny nie dziwi. Szacuje się bowiem, że zmiany mogą dotknąć niemal 40 tys. podmiotów — tłumaczy Karolina Idziak z Grant Thornton. W znacznej większości opinii pojawia się jeden wniosek: zmiany są zbyt restrykcyjne i kosztowne oraz wykraczają mocno ponad dyrektywę, a także regulacje w innych krajach, o cym mówi też wrześniowy raport EY pt. „Implentacja Dyrektywy NIS2 w Polsce na tle wybranych państw UE”. Efekt? Wzrost cen, upadek firm. O co chodzi? Nowe wymogi dla blisko 40 tys. firm Obecnie w krajowym systemie bezpieczeństwa (KSC) mamy do czynienia z operatorami usług kluczowych (OUK), którzy są wyznaczani na podstawie decyzji administracyjnej z siedmiu sektorów: energetyka, transport, bankowość, finanse, ochrona zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja oraz infrastruktura cyfrowa One muszą szczególnie przygotować się na cyberataki, mają więc więcej kosztownych obowiązków itp. Dyrektywa wprowadza dwie nowe kategorie podmiotów: kluczowe i ważne, ale co ważniejsze obejmuje znacznie więcej sektorów. Do obecnych ośmiu kluczowych dochodzą sektory: telekomunikacyjny, administracja publiczna. Podmioty ważne będą z sektora dostawców usług cyfrowych i sześciu nowych: . To oznacza, że więcej przedsiębiorstw będzie musiało spełniać wymogi dyrektywy, niezależnie od ich dotychczasowego doświadczenia w obszarze cyberbezpieczeństwa. — Upraszczając, obejmie ona tysiące firm w Polsce, które muszą mieć czas na przygotowanie się do nowych wymagań — podkreśla Jolanta Malak, dyrektor Fortinet w Polsce. Nieprecyzyjne kryteria zdecydują o przyszłości firmy Z (m.in. wyrobów medycznych, komputerów, urządzeń elektrycznych i maszyn). Unijne przepisy określają je jako ważne, a w polskim projekcie uznano je za kluczowe. To duża różnica, bo wiąże się z surowszymi wymaganiami bezpieczeństwa i zwiększeniem kosztów niezależnie od rozmiaru podmiotu. Skalę wyzwań pokazuje fakt, że Co prawda dyrektywa określa minimalne wymagania i inne kraje też przewidują odstępstwa, ale nie tak drastyczne. Przykładowo Czechy dodały sektor zbrojeniowy, Niemcy chcą mieć oddzielną procedurę dla administracji. Ponadto podmioty kluczowe mogą być kontrowane zawsze, a ważne, dopiero jak się coś niepokojącego wydarzy. Skutki? - , gdzie inne kraje mogą przyjąć mniej restrykcyjne podejście do klasyfikacji podmiotów w swoich krajowych transpozycjach dyrektywy NIS2 - ostrzega Andrzej Gantner, wiceprezes Polskiej Federacji Producentów Żywności. Co do zasady o byciu podmiotem kluczowym czy ważnym ma decydować wielkość firmy. W teorii to dobre rozwiązanie, ale mogą nimi zostać nawet spółki córki, świadczące usługi jedynie dla spółki matki, bo pod uwagę mają być brane dane całej grupy. Jak zwraca uwagę Tomasz Fugiel, wiceprezes Grupy Zasada, to spowoduje, że A przykładowo podmioty kluczowe będą musiały co dwa lata przeprowadzić kosztowny audyt cyberbezpieczeństw — Takie rozwiązanie może skutkować nadmiernym obciążeniem małych i mikroprzedsiębiorstw, które mogą nie być w stanie sprostać wymaganym standardom ze względu na swoje ograniczone zasoby — zwraca uwagę Tony Housh, prezes Amerykańskiej Izby Handlowej w Polsce. Tu na rynku działa dużo małych, jednoosobowych firm, które raczej nie będą mieć środków na wdrożenie odpowiednich polityk, procedur, w tym systemu zarządzania bezpieczeństwa informacji. Prawnicy z kancelarii Konieczny Wierzbicki uważają, że Ponadto do wykazu podmiotów minister będzie mógł wpisać dany podmiot z urzędu, a wówczas niezależnie od wielkości, firma będzie miała bardzo mało czasu na dostosowanie się do wymogów ustawy. Dostawcy wysokiego ryzyka groźni nie tylko dla telekomów Mają zostać wyeliminowani z rynku, jeśli nie usuną ze swoich usług, produktów. — — mówił , wicepremier i minister cyfryzacji, kierując projekt do konsultacji. Z opinii nadesłanych przez ponad sto podmiotów wynika jednak, że ta rewolucja może "pożreć własne dzieci". Zgodnie z projektem minister cyfryzacji będzie mógł uznać w drodze decyzji administracyjnej dostawcę określonego sprzętu lub oprogramowania za "dostawcę wysokiego ryzyka". W praktyce podmioty objęte ustawą będą zobowiązane do usunięcia ich ze swoich produktów i usług. Duzi operatorzy telekomunikacyjni mają na to cztery lata, a pozostałe podmioty siedem lat. — — alarmuje Bogdan Łaga z Polskiej Izby Komunikacji Elektronicznej. Tu może paść kontrargument, że firmy jak zwykle przesadzają, a w obecnej sytuacji geopolitycznej cyberbezpieczeństwo powinno być na pierwszym miejscu. Dlaczego? Okazuje się, że Polska jako jedyny kraj zobowiązuje do wykluczenia dostawców wysokiego ryzyka ze wszystkich sektorów objętych NIS2. — Takie podejście może prowadzić do znaczących kosztów dla konsumentów, zarówno w kontekście finansowym, jak i jakościowym — pisze Monika Kosińska-Pyter, prezes Federacji Konsumentów. I zwraca uwagę, że zastąpienie dotychczasowej infrastruktury jest bardzo drogie. — W przypadku zastępowania urządzeń lub oprogramowania dla wszystkich podmiotów ważnych i kluczowych z 18 sektorów, w tym sektorów "newralgicznych" dla konsumentów takich jak dostawcy usług cyfrowych, gospodarka odpadami, usługi pocztowe, produkcja urządzeń elektrycznych, samochodów, produkcja i przetwarzanie żywności, ścieki i woda, należy szacować ten koszt na wielokrotnie wyższy. Taki wzrost kosztów przekładałby się wyraźnie i negatywnie na portfel przeciętnego konsumenta — przekonuje Monika Kosińska-Pyter. To nie jedyny problem zgłaszany w trakcie konsultacji. Decyzja ministra wysokiego ryzyka W efekcie przedsiębiorcy i inne instytucje uznane za podmioty kluczowe lub ważne będą się musiały pozbyć tych sprzętów i oprogramowania, wymienić je na inne. A jak zauważa prof. Marcin Wiącek, rzecznik praw obywatelskich, od takiej decyzji przysługuje co prawda skarga do WSA, ale ustawodawca wykluczył możliwość przeprowadzenia rozprawy, a wyrok z pełnym uzasadnieniem ma dostać tylko minister, natomiast skarżący jedynie uzasadnienie w okrojonej wersji. – W tym zakresie ograniczenia te mogą naruszać prawo do uczciwego procesu sądowego – sygnalizuje RPO, który uważa taką procedurę za nieproporcjonalne ograniczenie wolności gospodarczej. Możliwe są bowiem przypadki, gdy minister zakwalifikuje jakiś sprzęt jako niebezpieczny, przedsiębiorca wstrzyma jego dystrybucję i wymieni, ponosząc koszty, a po rozpoznaniu sprawy przez WSA i NSA okaże się, że decyzja ministra była bezprawna. obliczu wskazania całkowicie niemerytorycznych kryteriów ustalania DWR oraz z uwagi na brak jakiejkolwiek przewidywalności tego procesu, pojawił się postulat utworzenia funduszu rekompensat dla mikro-, małych i średnich firm. Projektodawca tymczasem nie przewiduje żadnej formy rekompensaty z tytułu konieczności wycofania sprzętów DWR. zbiór środków mających wzmacniających wymogi bezpieczeństwa sieci komórkowych, czyli tzw. 5G Toolbox z 2020 r. a po drugie wprowadza kryterium państwa pochodzenia. W Polsce najwyższe kary za naruszenia Za niewywiązanie się z obowiązków wynikających z dyrektywy NIS2 mogą zostać nałożone wysokie kary finansowe, zarówno na same podmioty kluczowe i ważne, jak i ich szefów. Maksymalna kara może wynieść 600 proc. otrzymywanego przez ukaranego wynagrodzenia. Jeśli podmiot kluczowy lub ważny narusza przepisy, grozi mu kara Michał Kanownik, prezes Związku Cyfrowa Polska zwraca uwagę, że Chodzi o karę w wysokości od 500 zł do 100 tys. zł za każdy dzień opóźnienia w wykonaniu nałożonych obowiązków. Dodatkowo projekt wprowadza sankcje pozwalające organom nadzoru cyberbezpieczeństwa na zawieszenie, ograniczenie lub cofnięcie koncesji do czasu usunięcia przez podmioty zobligowane do stosowania się wymogów ustawy stwierdzonych uchybień lub zaprzestania naruszeń. — Ponadto przyznanie organom władzy możliwości nakładania wysokich kar oraz decydowania o zawieszeniu lub cofnięciu licencji może prowadzić do ryzyka arbitralności i nadużycia władzy — ocenia Michał Kanownik w uwagach. I zaznacza, źe obecne warunki geopolityczne, niesłychana skala zagrożeń cyfrowych i stale rosnąca liczba incydentów wymagają niezwłocznej, ale i precyzyjnej, reakcji ustawodawcy.