17.10.2024 r. mija termin na implementację dyrektywy NIS2 w sprawie cyberbezpieczeństwa. Jednak liczba uwag krytycznych, jakie spłynęły do projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, sugeruje, iż trudno będzie go dotrzymać.
Ogromne wątpliwości budzą przepisy, zgodnie z którymi minister cyfryzacji będzie mógł uznać w drodze decyzji administracyjnej dostawcę określonego sprzętu lub systemu za „dostawcę wysokiego ryzyka”. Zgodnie z projektowanym art. 67b ust. 18 taka decyzja z mocy prawa będzie miała skutek natychmiastowej wykonalności. Efektem jej wydania będzie nakaz pozbycia się przez przedsiębiorców i inne instytucje uznane za „podmioty kluczowe” lub „podmioty ważne” tych sprzętów i oprogramowania.
Wątpliwości konstytucyjne
Jak zauważa prof. Marcin Wiącek, rzecznik praw obywatelskich, od takiej decyzji przysługuje co prawda skarga do WSA, ale ustawodawca wykluczył możliwość przeprowadzenia rozprawy, a wyrok z pełnym uzasadnieniem ma dostać tylko minister, natomiast skarżący jedynie uzasadnienie w okrojonej wersji.
– W tym zakresie ograniczenia te mogą naruszać prawo do uczciwego procesu sądowego – sygnalizuje RPO, który uważa taką procedurę za nieproporcjonalne ograniczenie wolności gospodarczej.
Możliwe są bowiem przypadki, gdy minister zakwalifikuje jakiś sprzęt jako niebezpieczny, przedsiębiorca wstrzyma jego dystrybucję i wymieni, ponosząc koszty, a po rozpoznaniu sprawy przez WSA i NSA okaże się, iż decyzja ministra była bezprawna. W takim wypadku – jak wyjaśnia RPO – przedsiębiorca formalnie wygra, ale utraconych korzyści z wstrzymanej dystrybucji oraz wydatków na nowy sprzęt nikt mu nie zwróci.
Zdaniem RPO rygor natychmiastowej wykonalności ex lege może zostać uznany za sprzeczny z zasadą proporcjonalności, a procedura odwoławcza jest niezgodna z prawem do skutecznego środka odwoławczego.
Z kolei projektowany art. 53 ust. 8 ustawy o k.s.c. wprowadza sankcje pozwalające organom nadzoru cyberbezpieczeństwa na zawieszenie, ograniczenie lub cofnięcie koncesji do czasu usunięcia przez podmioty zobligowane do stosowania się wymagań ustawy stwierdzonych uchybień lub zaprzestania naruszeń.
Co więcej, jak zwraca uwagę ISSA Polska, stowarzyszenie ds. bezpieczeństwa systemów informatycznych, takie brzmienie przepisu umożliwia również wykreślenie podmiotu z rejestru (np. z rejestru przedsiębiorców telekomunikacyjnych Urzędu Komunikacji Elektronicznej), co w praktyce może oznaczać natychmiastowe zaprzestanie prowadzenia działalności przez daną firmę. – Tak drastyczne uprawnienia nadzorcze mogą prowadzić do nadmiernie surowych konsekwencji dla podmiotów, które dopuściły się stosunkowo niewielkich naruszeń, jak np. nieprzeprowadzenie audytu bezpieczeństwa – zwraca uwagę stowarzyszenie.
Nadregulacja
Także Ministerstwo Rozwoju i Technologii stoi na stanowisku, iż projektowane wdrożenie unijnych przepisów w niektórych obszarach wydaje się nadmiarowe.
– Szczególnie w zakresie nałożenia na polskich przedsiębiorców większych obowiązków niż na ich odpowiedników z innych państw członkowskich. W średniej i dłuższej perspektywie może to oznaczać stworzenie im gorszych warunków prowadzenia działalności gospodarczej – czytamy w stanowisku ministerstwa. Resort wskazuje, iż koszty wymiany sprzętu lub systemu np. w sektorze prywatnym mogą być liczone w setkach milionów złotych.
– Może to oznaczać konieczność podjęcia przez przedsiębiorców niezamierzonych inwestycji, które następnie przełożą się na zmniejszone wpływy do budżetu państwa w podatku dochodowym, gdyż dla firm koszt wymiany sprzętu będzie kosztem uzyskania przychodu. Wyższe koszty prowadzenia działalności będą miały przełożenie też na inne branże, co dalej może skutkować zmniejszeniem poziomu inwestycji w Polsce – przestrzega MRiT.
Inna sprawa, że, jak mówi Jarosław Bartniczuk z Business Centre Club, największym problemem dla przedsiębiorców będą koszty dostosowania się do nowych wymogów. – Jednak nie do końca jest tak, iż te nakłady będzie można traktować jako koszt, bo podniesienie poziomu cyberbezpieczeństwa oznacza zniwelowanie potencjalnych strat. Summa summarum może to być korzystne finansowo dla niektórych przedsiębiorstw czy spółek, które dzięki temu będą mogły uniknąć ataków, blokad, wykradania danych czy ich szyfrowania. A to skutkuje przecież albo koniecznością płacenia okupu, albo odtwarzania zasobów. Tyle tylko, iż inwestycja w cyberbezpieczeństwo to jest potencjalny zysk – tłumaczy ekspert. Podaje przykład ubezpieczenia samochodu, które jest kosztem do momentu wystąpienia szkody, bo wtedy okazuje się, iż zyskiem.
ABW mówi: nie
Projekt przewiduje utworzenie nowych sektorowych zespołów cyberbezpieczeństwa (CSIRT). Pierwotnie unijne regulacje wymagały, by działały w obszarze energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę oraz infrastruktury cyfrowej. Teraz katalog podmiotów wchodzących w skład Krajowego Systemu Cyberbezpieczeństwa ma być rozszerzony o kolejne branże (>patrz: ramka).
Za cyberbezpieczeństwo w sektorze „administracja publiczna” (m.in. ministerstwa, sądy, ZUS czy NFZ) ma odpowiadać Agencja Bezpieczeństwa Wewnętrznego, a za pozostałe Ministerstwo Cyfryzacji. Tyle tylko, iż ABW się do nowych zadań nie pali, ponieważ nie do ich realizacji służba ta została powołana. Nie ma też na to sił i środków.
– Wzięcie odpowiedzialności przez Agencję za bezpieczeństwo funkcjonowania ok. tysiąc podmiotów z sektora „administracja publiczna” oraz co najmniej 2 tys. wykorzystywanych przez nie systemów teleinformatycznych (wstępny szacunek) nie było przedmiotem wcześniejszych uzgodnień z agencją ani z ministrem-koordynatorem służb specjalnych – czytamy w stanowisku ABW.
Także inne podmioty administracji rządowej akcentują problem wysokich kosztów. Zdaniem Ministerstwa Nauki nie zostaną one w pełni sfinansowane z KPO. Z kolei, jak wskazują przedstawiciele resortu infrastruktury, podległe mu Państwowe Gospodarstwo Wodne Wody Polskie oraz Instytut Meteorologii i Gospodarki Wodnej – w myśl ustawy zaliczane do tzw. podmiotów kluczowych – będą musiały wydać miliony na zakup lub wymianę urządzeń i specjalistyczne oprogramowanie. Same Wody Polskie będzie to kosztować minimum 21,5 mln zł rocznie.
– Tym samym niezbędne jest zapewnienie odpowiednich środków dla całej administracji publicznej w celu prawidłowego i terminowego wdrożenia przepisów projektu ustawy – wskazuje Piotr Malepszak, podsekretarz stanu w Ministerstwie Infrastruktury.
Poza tym podmioty uznane za najważniejsze (zarówno jednostki publiczne, jak i duże przedsiębiorstwa) będą musiały w ciągu 12 miesięcy przeprowadzić audyt bezpieczeństwa swoich systemów informatycznych (a kolejne co dwa lata), którego koszty szacowane są na kilkaset tysięcy złotych. Niewywiązanie się z obowiązków nałożonych na podmiot najważniejszy skutkować może nałożeniem wysokich kar pieniężnych.
A te – jak zauważa Ministerstwo Sprawiedliwości – są tak wysokie, iż mogą przekroczyć cały budżet instytucji publicznej. Dlatego MS postuluje zróżnicowanie sankcji na te nakładane na instytucje publiczne i na firmy. Takie zróżnicowanie ma miejsce np. w przypadku kar przewidzianych za łamanie przepisów RODO.
Etap legislacyjny: konsultacje i opiniowanie
Co przynosi implementacja dyrektywy
Nowelizacja ustawy o k.s.c. przewiduje m.in:
- rozszerzenie katalogu podmiotów Krajowego Systemu Cyberbezpieczeństwa o nowe sektory gospodarki (ścieki, zarządzanie ICT, przestrzeń kosmiczna, poczta, produkcja, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności);
- nałożenie obowiązków z zakresu środków zarządzania ryzykiem na podmioty najważniejsze i podmioty ważne w cyberbezpieczeństwie, w celu zapewnienia bezpieczeństwa sieci i systemów informatycznych;
- wprowadzenie odpowiedzialności kierowników tych podmiotów za realizację zadań z zakresu cyberbezpieczeństwa;
- wprowadzenie możliwości zgłaszania incydentów przez podmioty najważniejsze i podmioty ważne, dzięki systemu teleinformatycznego, do adekwatnych zespołów CSIRT sektorowych i CSIRT poziomu krajowego;
- wprowadzenie nowych kar pieniężnych m.in. za niewdrożenie systemu zarządzania bezpieczeństwem informacji.