Branża obawia się nadregulacji KSC

Polska nadal nie wdrożyła do krajowego prawa wymagań dyrektywy NIS2, które powinny obowiązywać już w 2024 r., a procedowany projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa wciąż budzi spór o skalę i skutki regulacji. We wtorek 16 grudnia temat wrócił na posiedzeniu sejmowej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii, gdzie zderzyły się argumenty rządu, branży oraz ekspertów prawnych i gospodarczych.

W centrum dyskusji znalazła się instytucja Dostawców Wysokiego Ryzyka, czyli mechanizm pozwalający ograniczać użycie określonych produktów i usług w infrastrukturze. Wiceminister cyfryzacji Paweł Olszewski przekonywał, że wdrożenie NIS2 jest kluczowe dla bezpieczeństwa państwa, wskazując przy tym na skalę incydentów w Polsce i podkreślając, że decyzje mają wynikać z wieloetapowej procedury z udziałem kolegium do spraw cyberbezpieczeństwa i możliwością odwołania do sądu. Jednocześnie zaznaczył, że projekt ma dotyczyć konkretnych produktów i usług, a nie całych firm.

Część ekspertów kwestionowała jednak narrację o pozycji Polski w światowych statystykach zagrożeń, a mocniej wybrzmiały obawy o wpływ projektowanych rozwiązań na rynek i konkurencyjność gospodarki. Prof. Artur Nowak Far wskazywał, że zbyt daleko idące różnice między polską implementacją a rozwiązaniami w innych państwach UE mogą uderzyć w małe i średnie firmy oraz prowadzić do niekorzystnych zjawisk rynkowych, które osłabią pozycję polskich przedsiębiorstw. Prof. Marek Chmaj zwracał uwagę na szeroki katalog podmiotów objętych ustawą w porównaniu z NIS2, ryzyko niedostatecznego zróżnicowania obowiązków i dotkliwe kary, które dla mniejszych organizacji mogą być trudne do udźwignięcia bez okresu przejściowego.

Najczęściej powtarzające się zarzuty dotyczyły nieostrych kryteriów uznania dostawcy za wysokiego ryzyka i obaw o stabilność planowania inwestycji, kosztów wymiany infrastruktury, postulatów wydłużenia czasu na dostosowanie się do nowych wymogów, a także ryzyka nadmiernej biurokracji. W trakcie posiedzenia padły też argumenty o możliwej nadregulacji, w tym o bardzo dużej liczbie podmiotów, które mogą zostać objęte obowiązkami, oraz o potrzebie skupienia się bardziej na redukcji incydentów niż na mechanicznej wymianie urządzeń. Z kolei prezes PIIT Andrzej Dulka poparł kierunek prac, ale akcentował wagę kolejnego etapu, czyli przygotowania aktów wykonawczych, w którym branża powinna uczestniczyć, aby rozwiązania były wykonalne w praktyce.

Pełna treść artykułu znajduje się tutaj.