Bezpieczeństwo sieci informatycznych wzbudza ostatnio wiele emocji w związku z licznymi atakami hakerskimi ze Wschodu, ale też z planowanymi zamianami prawa dotyczącymi tych spraw. Według opublikowanego we wtorek projektu ustawy o krajowym systemie certyfikacji bezpieczeństwa, nadzorem nad wydawaniem stosownych dokumentów w tym zakresie ma się zajmować Polskie Centrum Akredytacji, ściśle współpracujące z ministrem ds. cyfryzacji. Jednak to nie usuwa obaw dotyczących innego projektu, opublikowanego przed kilkoma tygodniami. Ma on wdrażać europejską dyrektywę 2022/2555, zwaną NIS 2, dotyczącą zapewnienia cyberbezpieczeństwa dla niektórych podmiotów.
Kosztowne procedury, słone kary
Projekt polskiej ustawy określa, tak jak dyrektywa, tzw. podmioty kluczowe, które są zobowiązane do uzyskania certyfikatów bezpieczeństwa cybernetycznego. Jednak zakres tych podmiotów jest szerszy, niż w dyrektywie. Obejmuje m.in. jednostki samorządu terytorialnego, wyższe uczelnie, hurtownie farmaceutyczne, wytwórców produktów leczniczych oraz apteki.
Zgodnie natomiast z dyrektywą NIS 2 status podmiotów kluczowych przysługuje tylko tym podmiotom, które prowadzą działalność badawczo-rozwojową w zakresie produktów leczniczych, podmiotom produkującym leki i pozostałe wyroby farmaceutyczne, a także wyroby medyczne, które uznane są za mające najważniejsze znaczenie podczas stanu zagrożenia zdrowia publicznego.
Przeciwko takim zapisom projektu zaprotestowali pracodawcy, pracownicy i samorządowcy z Wojewódzkiej Rady Dialogu Społecznego w województwie mazowieckim. W swoim stanowisku z 15 maja wskazują, iż rozszerzenia katalogu tzw. podmiotów kluczowych będzie dotyczyło 18 sektorów gospodarki i łącznie ponad 38 tys. podmiotów.
Jak zauważa Rada, takie rozszerzenie nie jest uzasadnione i łączy się m.in. z cyklicznymi (co dwa lata) audytami bezpieczeństwa, wiążącymi się ze znacznymi kosztami. Co więcej – jak wskazuje Rada – za niespełnienie wymagań grożą drakońskie kary, sięgające 10 mln euro lub 2 proc. rocznych przychodów.
Trzeba dopracować projekt
Jak zauważa Katarzyna Kęska, adwokat w kancelarii Kieszkowska Rutkowska Kolasiński, dyrektywa NIS 2 przewiduje pewne minimum zakresu podmiotów, które muszą spełniać warunki cyberbezpieczeństwa i uzyskiwać stosowne certyfikaty.
– Jednak daje ona krajom członkowskim prawo do ustanowienia choćby szerszego zakresu tych podmiotów niż przewidziany w dyrektywie. Jednak definicja tzw. podmiotu kluczowego, zobowiązanego do spełnienia tych wymogów, obejmuje średnie firmy, a nie obejmuje małych – zauważa ekspertka.
Dodaje, iż tym samym mali przedsiębiorcy, prowadzący np. apteki, nie powinni się obawiać dodatkowych kosztów. – Poza tym, dziś mamy do czynienia z projektem, który pozostało konsultowany i wciąż może ulec zmianom, także podczas prac sejmowych – zastrzega adw. Katarzyna Kęska.
Z kolei Piotr Podgórski, radca prawny, członek zarządu Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl wskazuje, iż polski projekt wdrożenia dyrektywy NIS 2 wprowadza niebezpieczny mechanizm uznania danego dostawcy sprzętu lub usług dla podmiotu kluczowego lub ważnego za dostawcę wysokiego ryzyka.
– Uznaniowość ta oparta jest również na niemierzalnych kryteriach, którym podlegają dostawcy z państw spoza UE i NATO. W efekcie dany podmiot może zostać zobowiązany, na własny koszt, do pozbycia się sprzętu dostarczonego przez dostawcę wysokiego ryzyka. Spowoduje to osłabienie konkurencyjności podmiotów kluczowych i ważnych, nie mówiąc o konsekwencjach gospodarczych w skali międzynarodowej – argumentuje ekspert.
Jak jednak zauważa Piotr Podgórski, drugi projekt, dotyczący certyfikacji systemów bezpieczeństwa, jest już krokiem w dobrą stronę.
– To adekwatny kierunek. Certyfikacja zapewni gwarancję bezpieczeństwa funkcjonowania podmiotów kluczowych i ważnych w obrocie gospodarczym – przyznaje.
Etap legislacyjny: konsultacje publiczne
MINISTER SKONTROLUJE PROCEDURY
Bezpieczeństwo uporządkowane
Certyfikacją cyberbezpieczeństwa będą się zajmowały podmioty upoważnione przez Polskie Centrum Akredytacji. Certyfikaty te będą automatycznie honorowane na całym obszarze Unii Europejskiej. Ministerstwo Cyfryzacji zapewnia w uzasadnieniu projektu ustawy, iż ułatwi to działania przedsiębiorcom z różnych krajów. Do tej pory certyfikacja w obszarze cyberbezpieczeństwa była obszarem nieuregulowanym, w którym miały zastosowanie ogólne zasady prawa cywilnego i prawa umów.
Według projektu minister cyfryzacji będzie dysponował uprawnieniami do przeprowadzania kontroli u podmiotów krajowego systemu cyberbezpieczeństwa, do badania produktów podlegających certyfikacji oraz uzyskiwania od tych podmiotów informacji związanych z certyfikowanymi produktami. Będzie również uczestniczył w pracach na forum Unii Europejskiej z tym związanych, zwłaszcza w ramach Europejskiej Grupy Certyfikacji Cyberbezpieczeństwa.
Ustawa ma wejść w życie po upływie miesiąca od daty ogłoszenia w Dzienniku Ustaw.