Zbliża się decydujący moment we wdrożeniu do polskiego prawodawstwa Dyrektywy NIS2. Wszystko rozstrzygnie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa. Obawy co do katastrofalnych dla polskich przedsiębiorców skutków nowych regulacji jest wiele, co wyrażają eksperci, organizacje branżowe i ministerstwa.
Już za dwa tygodnie mija termin, w którym w Polsce powinny zacząć obowiązywać regulacje nazywane popularnie Dyrektywą NIS2. Została ona uchwalona 14 grudnia 2022 r. i weszła w życie 16 stycznia 2023 r. Nowe przepisy powinny być stosowane we wszystkich krajach Unii Europejskiej od 18 października 2024 r. Polska jednak wciąż nie wywiązała się z tego zobowiązania. Na 7 października zaplanowano konferencję prasową Krzysztofa Gawkowskiego, wicepremiera i ministra cyfryzacji oraz Pawła Olszewskiego, wiceministra cyfryzacji, poświęconą cyberbezpieczeństwu i kolejnemu etapowi prac nad ustawą o Krajowym Systemie Cyberbezpieczeństwa (KSC). To właśnie jej nowelizacja ma wprowadzić w Polsce regulacje Dyrektywy NIS2. Podczas konferencji mają zostać omówione prace nad projektem.
Dodatkowo na poniedziałek zaplanowano również spotkanie z ekspertami z Departamentu Cyberbezpieczeństwa Ministerstwa Cyfryzacji, na którym zostaną omówione szczegóły projektu i proponowane rozwiązania.
Nie zmienia to jednak faktu, że Polska nie zdąży na czas wprowadzić nowych przepisów.
Kogo obejmą nowe regulacje
Wśród najważniejszych zmian, wprowadzanych przez NIS2, są, jak wymieniało Ministerstwo Infrastruktury w swoim opracowaniu: objęcie nią podmiotów kluczowych oraz istotnych (nowy podział), rozszerzenie zakresu m.in. o administrację publiczną, sektor żywności, gospodarkę ściekową, przemysł, zarządzanie odpadami i przestrzeń kosmiczną, szersze potraktowanie niektórych sektorów (m.in. w odniesieniu do infrastruktury cyfrowej), nałożenie większych wymagań w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowania poziomu cyberbezpieczeństwa oraz efektywnego wykorzystywania szyfrowania. Dyrektywa NIS2 wprowadza również odpowiedzialność kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie i m.in. wzmacnia rolę Europejskiej Agencji ds. Cyberbezpieczeństwa. Za podmiot kluczowy i ważny co do zasady mogą być uznane firmy będące co najmniej średnim przedsiębiorstwem, są jednak wyjątki. Chodzi m.in. o sytuację, gdy zakłócenie świadczonej usługi mogłoby mieć znaczący wpływ na porządek, bezpieczeństwo lub zdrowie publiczne.
Polska nadregulacja i surowe kary
Niezależnie od zapisów Dyrektywy NIS2, które można uznać za wyjście naprzeciw zmianom, jakie niesie ze sobą transformacja cyfrowa i potrzebom większej troski o cyberbezpieczeństwo, wielu ekspertów wskazuje na nadregulację (goldplating), do jakiej może dojść przy wdrażaniu zapisów do polskiego prawa.
Konsultacje publiczne nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa zakończyły się 24 maja 2024 roku. Najnowszy raport poświęcony projektowi nowych przepisów przedstawiła na początku września firma doradcza EY. Wśród przykładowych obszarów, gdzie regulacje zostały rozbudowane w porównaniu z unijną regulacją, wskazano m.in. rozszerzenie katalogu sektorów kluczowych, wprowadzenie krajowej procedury uznania dostawcy za dostawcę wysokiego ryzyka (DWR), zwiększenie wysokości kar finansowych, wprowadzenie mechanizmu polecenia zabezpieczającego, rozszerzenie odpowiedzialności osobistej członków władz organizacji oraz zobowiązanie CSIRT (Computer Emergency Response Team, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) do współpracy ze służbami specjalnymi.
Jeżeli idzie o rozszerzenie katalogu sektorów, to jak wskazują eksperci EY, w porównaniu z NIS2 nowelizacja zmienia kwalifikację trzech, z „ważnych” na „kluczowe”, co oznacza dla nich bardziej rygorystyczny nadzór i zwiększone wymogi regulacyjne. Zmiana dotyczy branż: chemicznej (produkcja, wytwarzanie, dystrybucja), żywnościowej (produkcja, przetwarzanie, dystrybucja), produkcyjnej (wyroby medyczne, elektronika, maszyny). W niektórych przypadkach nowelizacja dokonuje także rozszerzenia w ramach sektora na podmioty, które na gruncie Dyrektywy nie są nią objęte (m.in. jednostki samorządu terytorialnego, uczelnie publiczne czy PAN i tworzone przez nich jednostki).
W porównaniu z Dyrektywą, sektor „Energia” został rozszerzony o podsektor wydobycia minerałów (podmioty prowadzące działalność w zakresie wydobycia węgla), a podsektor ropy naftowej został zmieniony na ropę naftową i paliwa, aby objąć podmioty prowadzące działalność w zakresie produkcji, magazynowania lub transportu paliw. Ponadto, „Energię” powiększono o podsektor „dostawcy i usługi dla sektora energii” obejmujący dostawców usług zarządzanych w zakresie cyberbezpieczeństwa dla podmiotów kluczowych lub ważnych w sektorze energii – wskazuje EY.
Kary, zgodnie z projektem polskiej ustawy, mogą być nakładane w przypadku niezgodności z jej wymogami, jak również za niewypełnienie obowiązku usunięcia sprzętu dostarczanego przez DWR. Przewidziano też sankcję za stworzenie zagrożenia dla bezpieczeństwa państwa. Maksymalna kara wynosi 100 mln zł. W unijnej regulacji podmiot kluczowy za naruszenie wymagań dyrektywy może ponieść karę do 10 mln euro (ok. 43 mln zł według aktualnego kursu), a podmiot ważny - 7 mln euro (ok. 30 mln zł).
Polecenie zabezpieczające zobowiązuje podmioty kluczowe i ważne do podjęcia określonych działań w sytuacji incydentu krytycznego (np. obowiązek aktualizacji planów ciągłości działania, wdrożenie poprawek w zakresie bezpieczeństwa czy wycofanie z użytkowania pewnych produktów ICT) i wchodzi w życie natychmiast po ogłoszeniu.
Nowelizacja zmienia terminologię NIS2 w zakresie odpowiedzialności kierownictwa podmiotów objętych regulacją. Zmieniono określenie „organy zarządzające” na „kierownika jednostki”. Zmiana potencjalnie pozwala na objęcie karami za niezgodność z ustawą o KSC nie tylko najwyższego kierownictwa, ale również kierowników poszczególnych działów - wskazuje raport EY.
Jego autorzy surowo oceniają wymóg współpracy CSIRT ze służbami specjalnymi oraz innymi organami, takimi jak np. Urząd Lotnictwa Cywilnego czy Komisja Nadzoru Finansowego. „Taka wymiana informacji może prowadzić do daleko idącej ingerencji w wolność prowadzenia działalności gospodarczej” – wskazują.
Ważna jest również kwestia dostawców wysokiego ryzyka. Projekt ustawy określa ich jako dostawców technologii, usług ICT, sprzętu lub oprogramowania, których działalność, pochodzenie kapitału, powiązania z rządami spoza UE i NATO czy historia zgodności z międzynarodowymi standardami bezpieczeństwa mogą stwarzać zagrożenie dla bezpieczeństwa narodowego lub integralności systemów informatycznych. Jak zauważają eksperci EY, Polska to jedno z nielicznych państw UE, które zdecydowało się wdrożyć mechanizm dotyczący DWR w ramach implementacji Dyrektywy, mimo że termin ten nie występuje w przepisach unijnych, a pochodzi z tzw. soft law. Zaliczenie dostawcy do tej kategorii w ramach procedury określonej w nowelizacji opierać się ma na ocenie ryzyka, dokonywanej przez ministra cyfryzacji. Kryteria obejmują aspekty techniczne i nietechniczne. Te pierwsze dotyczą m.in. historii incydentów bezpieczeństwa czy zidentyfikowanych podatności. Te drugie skupiają się na zagrożeniach ekonomicznych, wywiadowczych, terrorystycznych, wpływie państw spoza UE i NATO, ochronie danych osobowych oraz powiązaniach z podmiotami objętymi sankcjami międzynarodowymi. Warto podkreślić, że po zaliczeniu dostawcy do grona DWR, kluczowe i ważne podmioty muszą zaprzestać użytkowania dostarczanych przez niego produktów, usług i procesów ICT. Duzi operatorzy telekomunikacyjni mają na to 4 lata, a pozostałe podmioty 7 lat. W międzyczasie mogą używać istniejących produktów jedynie do napraw i modernizacji – wyliczają autorzy raportu.
Ostrzegają ministerstwa, eksperci, przedsiębiorcy
W ramach uzgodnień międzyresortowych projektu nowelizacji, Ministerstwo Rozwoju i Technologii zwróciło między innymi uwagę na możliwe konsekwencje przyjęcia nowelizacji ustawy w obecnym kształcie i jej przyszły wpływ na relacje handlowe i inwestycyjne z państwami spoza Europejskiego Obszaru Gospodarczego i NATO. Jak czytamy w przedstawionym stanowisku, można się spodziewać utrudnienia prowadzonych przez MRiT oraz Polską Agencji Inwestycji i Handlu działań na rzecz przyciągnięcia do Polski inwestycji z tych państw oraz otwarcia ich rynków np. dla polskiej żywności i kosmetyków. „Zbyt rozbudowane i rygorystyczne obowiązki nakładane na wszystkich przedsiębiorców mogą negatywnie wpływać na działalność gospodarczą polskich przedsiębiorców na tle pozostałych państw członkowskich Unii Europejskiej. Ważnym aspektem, który należy rozważyć w kontekście interesów polskiego eksportu do państw spoza EOG i NATO jest w ocenie MRiT definicja HRV, która kładzie nacisk na względy geograficzne w technicznej certyfikacji. Należy rozważyć, w jaki sposób usunięcie całych kategorii sprzętu i oprogramowania dostawców spoza EOG i NATO wpłynęłoby na konkurencję w poszczególnych sektorach gospodarki i poziom cen usług dla obywateli” – czytamy w opinii MRiT. Na procedurę HRV (High Risk Vendor), dotyczącą wyłaniania dostawców wysokiego ryzyka, zwracał też uwagę Rzecznik Praw Obywatelskich.
MRiT stwierdza również m.in. „W OSR (ocenie skutków regulacji – red.) należy też wziąć pod uwagę większe obciążenia finansowe dla podmiotów we wszystkich 18 sektorach ujętych w załącznikach 1 i 2 do projektu ustawy, czyli dla wszystkich ok. 38 000 podmiotów z uwagi na konieczność wymiany sprzętu lub oprogramowania szacowane np. w sektorze prywatnym w setkach milionów złotych”.
Autorzy raportu EY podsumowali swoją analizę tak: „Zwiększenie obciążenia regulacyjnego dla biznesu wiąże się z wyższym ryzykiem. Przykładowo polskie podmioty będą podlegały surowszym wymogom, niż ich konkurenci z innych państw europejskich. Będą mogły zostać na nich nałożone dużo wyższe kary za niezgodność z regulacją wdrażającą NIS2. Wybrany przez Polskę model harmonizacji będzie stanowił bardzo duże wyzwanie dla biznesu”.
Swoje obawy związane z polskimi regulacjami zgłaszali również w toku prac nad opublikowaną w kwietniu br. wersją ustawy przedstawiciele organizacji przedsiębiorców. Wśród wymienianych zagrożeń jest problem z dostosowaniem się do rozbudowanych przepisów, zwłaszcza przez niewielkie firmy, w tym mikroprzedsiębiorstwa. Konsekwencją może też być wzrost cen produktów i usług, w tym dostępu do internetu, co jest jednym z kluczowych czynników rozwojowych kraju.
- Mamy nadzieję, że druga wersja projektu będzie poddana konsultacjom społecznym. One tylko pomogą temu projektowi, nie są krytyką ale pomocą w stworzeniu regulacji, którą biznes zaakceptuje i zrozumie. Po pierwszej wersji widzieliśmy, jak dużo jest uwag, krytycznych, ale też i merytorycznych, związanych z projektem. Uwagi wpływały do naszej organizacji sukcesywnie, mam wrażenie, że kolejne branże dowiadywały się, że będą objęte tą regulacją – mówi Arkadiusz Pączka, wiceprzewodniczący Federacji Przedsiębiorców Polskich.
Zwraca on uwagę na zakres podmiotowy regulacji bo, jak mówi, w stanowiskach wielu organizacji wybrzmiewał zarzut, że było on zbyt szeroki. Drugą palącą kwestią były koszty związane z wprowadzeniem nowego prawa a trzecią kwestia dostawców wysokiego ryzyka. Wiceszef FPP ma nadzieję, że kolejna wersja rozwieje wątpliwości, będzie związana z rdzeniem dyrektywy i nie postawi Polski w roli pioniera w UE jeśli chodzi o rugowanie niektórych dostawców.
- Z duża nadzieją czekam na kolejną wersję projektu – deklaruje Arkadiusz Pączka.
Mariusz Gerałtowski, prezes zarządu Polskiego Stowarzyszenia Menedżerów Logistyki i Zakupów, zwraca uwagę na ważny aspekt w kontekście dostawców wysokiego ryzyka.
– Na nową ustawę patrzymy przez pryzmat bezpieczeństwa ale również kosztów, w związku z tym, że nasza organizacja reprezentuje osoby kupujące dla firm technologie. Obecna w projekcie ustawy instytucja Dostawcy Wysokiego Ryzyka stwarza zagrożenie znaczącego wzrostu kosztów. Nawet jeśli nie są oni dzisiaj wskazani, to już obserwujemy efekt mrożący w firmach, kalkulujących związane z tym ryzyko. Szczególnie, że konsekwencje są poważne, bo mowa nie tylko o zakupie, ale i wymianie wcześniej nabytych rozwiązań. Mamy do czynienia z zakłócaniem konkurencyjności przez wyłączanie z przetargów dostawców potencjalnie obciążonych tym ryzykiem. Oznacza to, że ich konkurenci mają większą swobodę. Już dzisiaj widzimy rosnącą arogancję dostawców windujących ceny technologii, o kilkadziesiąt, a nawet o kilkaset procent w przypadku oprogramowania – mówi Mariusz Gerałtowski.
Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej, podkreśla, że nadregulacja jest i ewidentna, i bardzo szkodliwa.
- Naszym zdaniem ma ona podłoże polityczne, opiera się na próbie amerykanizacji sprzętu. Chodzi tak naprawdę o walkę polityczną między USA i Chinami, która nas, Polaków, w ogóle nie powinna dotyczyć. Ciągłe opowiadanie bajek, jak niebezpieczny jest sprzęt chiński, w Polsce nie ma żadnego uzasadnienia. Nie ma na to dowodów. Nakaz wyrzucania sprzętu chińskiego, pod pretekstem dostawców wysokiego ryzyka, jest oszustwem, dokonywanym na koszt Polaków. Ministerstwo Cyfryzacji twierdzi, że sprzęt chiński jest niebezpieczny a amerykański bezpieczny, tymczasem nasze doświadczenia są dokładnie przeciwne. Jako lokalni polscy przedsiębiorcy mieliśmy w telekomunikacji w ostatnich latach bardzo wiele ataków związanych ze sprzętem, prawie zawsze – amerykańskim – mówi Karol Skupień.
Dodaje, że w przypadku technologii radiowych, gdzie jest dużo oprogramowania amerykańskiego, a także izraelskiego, również ataków było bardzo wiele, setki tysięcy w przypadku polskich przedsiębiorców.
- Kolejnym oszustwem jest mówienie, że 5G Toolbox, dokument unijny musi być wdrożony. Po pierwsze nie musi, a po drugie, z samej nazwy miał on dotyczyć tylko sieci 5G. Polskie wdrożenie rozszerza go na sieci kablowe, koncentryczne, ethernetowe, światłowodowe, gdzie zagrożenia są innej natury. To działanie wbrew bezpieczeństwu polskich przedsiębiorców, na które nie przedstawia się żadnego uzasadnienia. To polityczne opowiadanie głupot bez związku z bezpieczeństwem państwa – ocenia Karol Skupień
Wykluczenia, które nie umykają uwadze Chin
Pewnym preludium do tego, co może nastąpić, były wydarzenia wokół Programu Współpracy w Cyberbezpieczeństwie (PWCyber), realizowanego przez Ministerstwo Cyfryzacji. Jego celem jest wzmocnienie krajowego systemu cyberbezpieczeństwa. Tworzy on platformę współpracy, w ramach której firmy technologiczne, krajowe i zagraniczne, a także organizacje, dzielą się doświadczeniami związanymi z bezpieczeństwem cyfrowych procesów i podniesieniem świadomości użytkowników w zakresie zagrożeń cyfrowych. PWCyber funkcjonuje od 2019 r. i ma charakter partnerstwa publiczno-prywatnego.
Jak wskazało Ministerstwo Cyfryzacji, „program ze względu na konieczność budowania zaufanych relacji z partnerami technologicznymi, równolegle do relacji z państwami, z których te firmy pochodzą, jest otwarty dla firm z państw: Unii Europejskiej, Organizacji Traktatu Północnoatlantyckiego oraz państw partnerskich NATO”. Rzecz w tym, że Polska od pewnego czasu prowadzi ważny dialog z Chinami. W centrum uwagi są dwie kwestie: rozwoju relacji gospodarczych – w tym handlowych – i bezpieczeństwa. Dla nikogo w Europie nie jest tajemnicą, że Chiny mogą odegrać rolę w zakończeniu wojny w Ukrainie. Natomiast Chińczycy podkreślają: nie akceptujemy jakiejkolwiek dyskryminacji w relacjach – i tu pojawia się kwestia nowelizacji polskiej ustawy oraz traktowania dostawców z tego kraju. Jak wynika z nieoficjalnych informacji, Chińczycy zwrócili również uwagę na zakaz przystąpienia do programu PWCyber.
Co ciekawe, w przesłanej w ramach konsultacji opinii do projektu nowelizacji, Ministerstwo Spraw Zagranicznych upomniało się o uwzględnienie roli ministra m.in. w zapewniania spójności prac związanych z międzynarodową współpracą w dziedzinie cyberbezpieczeństwa z celami i zadaniami polskiej polityki zagranicznej.
______________________________________________
Pełna nazwa
Akt prawny nazywany Dyrektywą NIS2, to Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.
______________________________________________
Cel KSC
Krajowy System Cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.
______________________________________________
Materiał z serwisu partnerskiego CYFROWA GOSPODARKA