KSC - biznes boi się o koszty wprowadzenia nowych przepisów

Dziennik Gazeta Prawna zorganizował debatę dotyczącą kontrowersji wokół zmiany ustawy o KSC.

Według Dziennika Gazeta Prawna nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa nabiera znaczenia wobec kolejnych zawirowań geopolitycznych. Brakuje jednak oceny kosztów, które poniosą reprezentanci 18 sektorów, m.in. energetycznego, ochrony zdrowia czy rolno-spożywczego. Jest też nadregulacją, co może mieć swoje konsekwencje. Tak uznali eksperci w debacie „Czy przepisy o KSC poprawią bezpieczeństwa. Jakie będą mieć wpływ na biznes”.

Oto kilka wybranych pytań i odpowiedzi z tej debaty.

Z jej pełną treścią można zapoznać się tutaj

Prezydent USA Joe Biden podniósł gwałtownie cła na import chińskich towarów, w tym pojazdy elektryczne, chipy komputerowe czy produkty medyczne. Pekin zapowiedział odwet. Czy może na tym ucierpieć Europa, w tym Polska?

Dr Anna Czarczyńska: To nie jest cios dla chińskiej gospodarki. Odnosząc się do naszego regionu, uważam, że taka decyzja powinna zostać skonsultowana z UE. Polityka wobec Chin powinna być prowadzona bardzo spójnie. Szczególnie że Chiny mogą zastosować odwet. Dla USA nie będzie miał on większego znaczenia. Dla Europy już tak. Szczególnie zaniepokojone mogą czuć się Niemcy, które utrzymują dużą wymianę handlową z Chinami. Jeśli straci niemiecka gospodarka, to konsekwencje poniesie też polska, dla której kraj ten jest największym odbiorcą towarów.

W całej tej sytuacji widzę też korzyści dla Europy. Chińczycy coraz chętniej relokują swoje zakłady, by być bliżej docelowych odbiorców. Po Węgrzech, Polska jest kolejnym krajem, który może w większym stopniu powitać chińskich producentów. Pytanie tylko, czy takie działania nie byłyby ewentualnie blokowane przez UE, w ramach odwetu.

Jak zyskuje na ważności projektowana ustawa o KSC? Czy ważne jest szybkie jej uchwalenie? Jak będą wyglądały koszty wdrożenia.

Mariusz Busiło: Podkreślę, że dziś mamy przepisy regulujące cyberbezpieczeństwo. To ustawa o KSC, są też normy wdrażane przez prywatne i publiczne przedsiębiorstwa. Prawdą jest też, że mamy do czynienia z 18. już próbą znowelizowania tych przepisów, którą wymusza dyrektywa NIS2, a która powinna być w Polsce zaimplementowana od 18 października br. Zgadzam się z tezą, że nowelizacja jest konieczna. Jednak jej wdrożenie przekracza istniejące potrzeby, do tego w sposób nieoparty na wiedzy i analizie, chociażby w zakresie kosztów oceny skutków regulacji. Krytyczne dla mnie jest to, że z najnowszego projektu przeniesiono do innej ustawy, która idzie osobnym trybem, postanowienia dotyczące certyfikacji bezpieczeństwa. Za to zostały zapisy dotychczas bardzo krytykowane. Myślę o postępowaniu w sprawie uznania za dostawcę wysokiego ryzyka (HRV), które w obecnej wersji będzie dotyczyło ponad 35 tys. podmiotów, a nie jak do tej pory największych telekomów. Mamy nowy rząd, który powinien zająć się projektem nowelizacji od podstaw. Tymczasem mam wrażenie, że obecny projekt to kompilacja 17 poprzednich, przygotowany pod presją transpozycji NIS2 w Polsce.

Jak projekt ocenia biznes? Czy nowelizacja jest niezbędna do zapewnienia bezpieczeństwa?

Michał Lewandowski: W bankach od lat obowiązują przepisy, które nakładają obowiązek zapewnienia odpowiedniego poziomu bezpieczeństwa. Jeśli chodzi o sektor ochrony zdrowia, w którym dziś działam, to mogę powiedzieć, że Medicover mocno inwestuje w cyberbezpieczeństwo. Ale patrząc na przykład na program Ministerstwa Zdrowia, którego celem było dofinansowanie podniesienia poziomu cyberbezpieczeństwa w podmiotach, które mają podpisane kontrakty z NFZ, to problemem okazało się brak zasobów po stronie tych podmiotów.

Mikołaj Budzanowski: Jest złota zasada, zgodnie z którą, jeśli nie wiemy, ile to będzie kosztowało, to tego nie róbmy. A w OSR nie ma mowy o kosztach. Z drugiej strony mamy konflikt za wschodnią granicą, który narasta. Trzeba się też przygotować, że będzie coraz więcej konfliktów zbrojnych na świecie, a one sprzyjają cyberatakom. Do tego będą dotyczyły procesów produkcyjnych, ponieważ przemysł digitalizuje swoje usługi oraz stosuje sztuczną inteligencję w swoich procesach. Dlatego konieczność ochrony danych wzrasta, zwłaszcza w obszarach energetyki, produkcji przemysłowej, gdzie zachowanie ciągłości dostaw jest niezwykle ważne. To oznacza, że kolejne przepisy są niezbędne. Tymczasem mamy następny projekt, nie do końca skonsultowany z przemysłem. Do tego nie mamy przewidzianych w naszych budżetach inwestycji w tym obszarze. Muszą więc powstać publiczne instrumenty finansowe, wspierające realizację projektów w sektorze cybersecurity.

Janusz Piechociński:Zwrócę uwagę, że hasło bezpieczeństwo tworzy przestrzeń do lobbingu na niespotykaną skalę. Można wyeliminować pewne technologie uznane za niebezpieczne, a w ich miejsce wytworzyć popyt na te uznawane za bezpieczne. A autorzy projektu nie zawsze mają świadomość, czego on dotyka. Więc, skoro 1 stycznia zaczyna się polska prezydencja w UE, to czy polskie środowisko działające w obszarze cyber nie powinno przygotować wytycznych dla naszych polityków, którzy będą przez pół roku inspirować debatę europejską. Dodam, że my generalnie niepotrzebnie za często wychodzimy poza zakres tego, co proponuje Komisja Europejska, co kończy się gwałtownymi podwyżkami kosztów.