Krajowy System Cyberbezpieczeństwa (KSC) musi poczekać na dyrektywę NIS 2.
Federacja Przedsiębiorców Polskich (FPP) apeluje o wstrzymanie prac nad nowelizacją Krajowego Systemu Cyberbezpieczeństwa (KSC) do czasu przyjęcia europejskiej dyrektywy NIS 2. Dodatkowo projekt nowelizacji KSC budzi kontrowersje zarówno w zakresie nowych obowiązków dla przedsiębiorstw, jak i braku odpowiednich konsultacji społecznych. Raport CALPE wskazuje, że skutki wdrożenia zmiany ustawy mogą wpłynąć nawet na kilkadziesiąt tysięcy mikro, małych, średnich i dużych przedsiębiorstw. W takiej sytuacji koszty wdrożenia mogą wynosić nawet kilka miliardów złotych rocznie, wobec szacowanej w OSR średniej rocznej wartości na poziomie 700 milionów złotych. Ponadto jedna ze zmian dotyczy wprowadzenia mechanizmu, który pozwala uznać dowolnego dostawcę za dostawcę wysokiego ryzyka. Mechanizm ten może zostać uznany za niezgodny z prawem UE, Konstytucją, a także podstawowymi zasadami postępowania administracyjnego[1].
„Wkrótce ma wejść w życie dyrektywa NIS 2, która zastąpi w całości dyrektywę NIS. Debata i głosowanie nad chwaleniem dyrektywy zostały zaplanowane w Parlamencie Europejskim na 10 listopada 2022[2]. NIS 2 istotnie zmieni regulacyjny krajobraz cyberbezpieczeństwa. Kluczowe jest, aby w pracach nad jej implementacją uniknąć pośpiechu. Istotnym elementem będzie też przeprowadzenie szerokich konsultacji społecznych. Tymczasem w Polsce trwają prace nad znowelizowaniem polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa. Kolejne wersje projektu budzą liczne kontrowersje. Co istotne, wątpliwości budzi też zakres i sposób prowadzenia konsultacji społecznych. Powstaje też pytanie, czy to rzeczywiście dobry kierunek wobec nieuchronnej konieczności wdrożenia wymogów NIS 2. Może się okazać, że nowa wersja krajowych przepisów za chwilę będzie wymagać kolejnych zmian. W aktualnej wersji projektu nowelizacji KSC w większości nie wprowadzono zmian postulowanych przez stronę społeczną i licznych ekspertów. Kontynuowanie prac w obecnym kształcie doprowadzi do powstania podwójnych standardów KSC oraz NIS2 oraz koniecznością kolejnej nowelizacji KSC w sposób implementujący treść NIS2 w niedługim czasie. Dlatego rekomendujemy wstrzymanie prac nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa w jej obecnym kształcie. Najefektywniejszym rozwiązaniem byłoby połączenie prac nad nowelizacją KSC oraz strumienia prac wdrażającego postanowienia dyrektywy NIS 2. Takie racjonalne podejście przyjęły Czechy, gdzie prace nad lokalnymi rozwiązaniami dotyczącymi cyberbezpieczeństwa zostały oficjalne odwołane i rząd zainicjował proces implementacji NIS2, w celu terminowej transpozycji dyrektywy[3]” – podkreśla Arkadiusz Pączka, wiceprzewodniczący Federacji Przedsiębiorców Polskich (FPP).
„Nowelizacja KSC nie odnosi się w żaden sposób do wielu rozwiązań projektowanych w NIS 2. Przepisy trzeba będzie ponownie zmienić w związku z implementacją tej dyrektywy. Po uchwaleniu na poziomie unijnym, dyrektywa NIS 2 istotnie zmieni regulacyjny krajobraz cyberbezpieczeństwa w UE. Nie należy czekać do końca terminu jej implementacji (21 miesięcy od publikacji oficjalnym dzienniku urzędowym), ale jak najszybciej przystąpić do prac legislacyjnych związanych z wdrożeniem jej wymogów. Głównym celem NIS 2 jest doprowadzenie do większej harmonizacji przepisów dotyczących cyberbezpieczeństwa na terenie UE. Ma to zapobiec przyjmowaniu różnych standardów i wymogów przez państwa członkowskie. Zgodnie z NIS 2 ocena ryzyka m.in. usług i produktów ICT wykonywana będzie na szczeblu UE i przy udziale przedstawicieli poszczególnych państw członkowskich. Takie rozwiązanie pozwala na koordynację działań oraz – co szczególnie istotne – budowanie jednolitych standardów w zakresie cyberbezpieczeństwa w całej UE” – mówi Wojciech Piszewski, Counsel w kancelarii Maruta Wachta, specjalizujący się m.in. w zagadnieniach compliance, prawa ochrony danych osobowych i e-commerce.
„We wrześniu 2020 r. Minister Cyfryzacji przedstawił projekt nowelizacji KSC. Prace nad nim trwają już prawie dwa lata, a projekt podlegał zasadniczym zmianom. Wbrew dobrym praktykom i postanowieniom Regulaminu pracy Rady Ministrów nie wszystkie zmiany wprowadzane w ramach prac nad nowelizacją KSC poddano konsultacjom społecznym. Zmiany proponowane w nowelizacji KSC zdecydowanie wykraczają poza „drobne legislacyjne poprawki” i dotyczą obowiązków uczestników krajowego systemu cyberbezpieczeństwa – co rodzi istotne koszty dla przedsiębiorstw. Liczba przepisów, w których Projekt nowelizacji KSC wymienia nowe zadania i obowiązki to łącznie 181 przepisów. Projektowane rozwiązania nie będą odnosiły się wyłącznie do dużych przedsiębiorców – ale obejmą i spowodują najbardziej dotkliwe konsekwencje finansowe dla mniejszych przedsiębiorców, nie mogących sobie pozwolić na rozwinięte wsparcie w procesie wdrażania” – dodaje Marcin Serafin, partner w kancelarii Maruta Wachta, specjalista w zakresie prawa nowych technologii oraz ochrony danych i informacji.
[1] CYBERBEZPIECZEŃSTWO – krajobraz regulacyjny przed implementacją dyrektywy NIS 2 – RAPORT KANCELARII MARUTA WACHTA w ramach Centrum Analiz Legislacyjnych i Polityki Ekonomicznej (CALPE), październik 2022
[2] https://www.europarl.europa.eu/doceo/document/OJQ-9-2022-11-10_EN.html
[3] https://icv.vlada.cz/assets/ppov/brs/cinnost/zaznamy-z-jednani/usn-41-22.pdf
