Ustawa o cyberbezpieczeństwie ma nie obciążać najmniejszych firm telekomunikacyjnych. Po opiniach rzecznika MŚP ocena skutków regulacji uzupełniona o wpływ na sektor MŚP.
We wrześniu rzecznik MŚP zgłosił Ministrowi Cyfryzacji swoje uwagi i zastrzeżenia do Projektu ustawy o krajowym systemie cyberbezpieczeństwa.
Rzecznik MŚP zwrócił uwagę, że Projekt wymaga dostosowania jego rozwiązań do zasad Prawa Przedsiębiorców – Konstytucji Biznesu, w szczególności zasady proporcjonalności i adekwatności. Rzecznik MŚP wskazał, że Konstytucja Biznesu ma charakter gwarancyjny dla ok. 6000 mikro-, małych i średnich przedsiębiorców z branży telekomunikacyjnej. Dlatego uzasadnienie do Projektu powinno zostać uzupełnione o przewidywany wpływ projektu na sektor MŚP.
Dodatkowo Rzecznik MŚP zwrócił uwagę, że równolegle do Projektu procedowany jest projekt ustawy – Prawo komunikacji elektronicznej, dlatego w celu uniknięcia wprowadzenia sprzecznych uregulowań z dotyczącymi bezpieczeństwa sieci i usług w ocenie Rzecznika MŚP regulacje te powinny zostać określony w sposób kompleksowy, jednoznaczny oraz spójny w jednym akcie prawnym.
W odpowiedzi z dnia 15 marca 2021 r., Dyrektor Departamentu Cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów poinformował, że przepisy dotyczące obowiązków przedsiębiorców komunikacji elektronicznej w zakresie bezpieczeństwa sieci i usług komunikacji elektronicznej oraz przepisy CRIST Telco zostaną dodane do ustawy o krajowym systemie cyberbezpieczeństwa poprzez ustawę wprowadzającą Prawo Komunikacji Elektronicznej.
Zapewnił również, że przedsiębiorcy telekomunikacyjni wdrażać będą środki techniczne i organizacyjne adekwatne do oszacowanego ryzyka, z uwzględnieniem tego, że: „oczywistym jest fakt, że dużego przedsiębiorcę komunikacji elektronicznej będą dotyczyły innego rodzaju ryzyka niż małego przedsiębiorcę komunikacji elektronicznej”.
Ocena skutków regulacji została uzupełniona o ocenę wpływu projektowanych przepisów na sektor MŚP. Wykazano, że zmiany w ustawie w szczególności będą dotyczyć tych mało i średnich przedsiębiorców, którzy są operatorami usług kluczowych lub dostawcami usług cyfrowych.
Mali i średni przedsiębiorcy będą musieli wycofać sprzęt lub oprogramowanie dostawcy wysokiego ryzyka z użycia zasadniczo w ciągu 7 lat, ale tylko wtedy, jeśli będą należeć do wyszczególnionych przez ustawodawcę kategorii:
1. podmioty krajowego systemu cyberbezpieczeństwa,
2. przedsiębiorcy komunikacyjni sporządzający plany działań w sytuacji szczególnego zagrożenia,
3. operatorzy infrastruktury krytycznej,
4. przedsiębiorcy o szczególnym znaczeniu gospodarczo obronnym.
Obowiązek wycofania produktów, usług i procesów dostawcy wysokiego ryzyka nie będzie dotyczył mikroprzedsiębiorców telekomunikacyjnych, ponieważ będzie on dotyczył wyłącznie przedsiębiorców telekomunikacyjnych sporządzających plany działań w sytuacji szczególnego zagrożenia, których jest w Polsce około 100. Są to z reguły najwięksi przedsiębiorcy telekomunikacyjni w Polsce.
Zapis ten ma istotne znaczenie dla przedsiębiorców z sektora MŚP, bowiem nakładanie obowiązków w zakresie cyberbezpieczeństwa wiąże się z istotnymi nakładami, co stanowi istotne obciążenie głównie dla najmniejszych firm krajowych – komentuje Adam Abramowicz, rzecznik małych i średnich przedsiębiorców.