Federacja Przedsiębiorców Polskich (FPP) apeluje o wstrzymanie prac nad nowelizacją Krajowego Systemu Cyberbezpieczeństwa (KSC) do czasu przyjęcia europejskiej dyrektywy NIS 2.
Dodatkowo projekt nowelizacji KSC budzi kontrowersje zarówno w zakresie nowych obowiązków dla przedsiębiorstw, jak i braku odpowiednich konsultacji społecznych. Raport CALPE wskazuje, że skutki wdrożenia zmiany ustawy mogą wpłynąć nawet na kilkadziesiąt tysięcy mikro, małych, średnich i dużych przedsiębiorstw. W takiej sytuacji koszty wdrożenia mogą wynosić nawet kilka mld zł rocznie, wobec szacowanej w OSR średniej rocznej wartości na poziomie 700 mln zł.
Ponadto jedna ze zmian dotyczy wprowadzenia mechanizmu, który pozwala uznać dowolnego dostawcę za dostawcę wysokiego ryzyka. Mechanizm ten może zostać uznany za niezgodny z prawem UE, Konstytucją, a także podstawowymi zasadami postępowania administracyjnego.
- Wkrótce ma wejść w życie dyrektywa NIS 2, która zastąpi w całości dyrektywę NIS. Debata i głosowanie nad chwaleniem dyrektywy zostały zaplanowane w Parlamencie Europejskim na 10 listopada br. NIS 2 istotnie zmieni regulacyjny krajobraz cyberbezpieczeństwa. Kluczowe jest, aby w pracach nad jej implementacją uniknąć pośpiechu. Istotnym elementem będzie też przeprowadzenie szerokich konsultacji społecznych. Tymczasem w Polsce trwają prace nad znowelizowaniem polskiej ustawy o KSC. Kolejne wersje projektu budzą liczne kontrowersje. Co istotne, wątpliwości budzi też zakres i sposób prowadzenia konsultacji społecznych. Powstaje też pytanie, czy to rzeczywiście dobry kierunek wobec nieuchronnej konieczności wdrożenia wymogów NIS 2. Może się okazać, że nowa wersja krajowych przepisów za chwilę będzie wymagać kolejnych zmian. W aktualnej wersji projektu nowelizacji KSC w większości nie wprowadzono zmian postulowanych przez stronę społeczną i licznych ekspertów. Kontynuowanie prac w obecnym kształcie doprowadzi do powstania podwójnych standardów KSC oraz NIS2 oraz konieczności kolejnej nowelizacji KSC w sposób implementujący treść NIS2 w niedługim czasie. Dlatego rekomendujemy wstrzymanie prac nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa w jej obecnym kształcie. Najefektywniejszym rozwiązaniem byłoby połączenie prac nad nowelizacją KSC oraz strumienia prac wdrażającego postanowienia dyrektywy NIS 2. Takie racjonalne podejście przyjęły Czechy, gdzie prace nad lokalnymi rozwiązaniami dotyczącymi cyberbezpieczeństwa zostały oficjalne odwołane i rząd zainicjował proces implementacji NIS2, w celu terminowej transpozycji dyrektywy - podkreśla Arkadiusz Pączka, wiceprzewodniczący FPP.
- (…)Głównym celem NIS 2 jest doprowadzenie do większej harmonizacji przepisów dotyczących cyberbezpieczeństwa na terenie UE. Ma to zapobiec przyjmowaniu różnych standardów i wymogów przez państwa członkowskie. Zgodnie z NIS 2 ocena ryzyka m.in. usług i produktów ICT wykonywana będzie na szczeblu UE i przy udziale przedstawicieli poszczególnych państw członkowskich. Takie rozwiązanie pozwala na koordynację działań oraz - co szczególnie istotne - budowanie jednolitych standardów w zakresie cyberbezpieczeństwa w całej UE - mówi Wojciech Piszewski, Counsel w kancelarii Maruta Wachta, specjalizujący się m.in. w zagadnieniach compliance, prawa ochrony danych osobowych i e-commerce.
- We wrześniu 2020 r. Minister Cyfryzacji przedstawił projekt nowelizacji KSC. Prace nad nim trwają już prawie dwa lata, a projekt podlegał zasadniczym zmianom. Wbrew dobrym praktykom i postanowieniom Regulaminu pracy Rady Ministrów nie wszystkie zmiany wprowadzane w ramach prac nad nowelizacją KSC poddano konsultacjom społecznym. Zmiany proponowane w nowelizacji KSC zdecydowanie wykraczają poza „drobne legislacyjne poprawki” i dotyczą obowiązków uczestników krajowego systemu cyberbezpieczeństwa - co rodzi istotne koszty dla przedsiębiorstw. Liczba przepisów, w których Projekt nowelizacji KSC wymienia nowe zadania i obowiązki to łącznie 181 przepisów - dodaje Marcin Serafin, partner w kancelarii Maruta Wachta, specjalista w zakresie prawa nowych technologii oraz ochrony danych i informacji.
