List otwarty ws. nowelizacji KSC. Sprzeciw wobec nadregulacji

Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) widział już wiele wersji. Prace nad dokumentem wdrażającym unijną dyrektywę NIS2 toczą się od kilku lat. Jak przedstawialiśmy na naszych łamach, wicepremier i minister cyfryzacji Krzysztof Gawkowski powiedział podczas czwartkowych konsultacji procesu cyfryzacji Polski, że prace mają iść naprzód. Wyraził również nadzieję, że w najbliższych tygodniach ustawą zajmie się rząd.

Organizacje chcą usunięcia nadregulacji

Gawkowski wspomniał również, że „liczba wrogów i nieprzyjaciół proponowanych zapisów stale rośnie”. Tego samego dnia w mediach (m.in. w Pulsie Biznesu czy Gazecie Wyborczej opublikowano list otwarty do Kancelarii Prezesa Rady Ministrów, którego autorami są organizacje pracodawców oraz izby gospodarcze. Dotyka on właśnie projektu ustawy o KSC. Wśród organizacji zrzeszających małych i średnich przedsiębiorców znalazły się m.in. Polska Izba Komunikacji Elektronicznej czy Krajowa Izba Komunikacji Ethernethowej.

Zwracamy się z apelem do Pana Ministra o podjęcie działań zmierzających do usunięcia z ustawy szkodliwych rozwiązań stanowiących tzw. 'gold-plating' (nadregulację).
List otwarty izb gospodarczych i organizacji pracodawców ws. projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa

Według sygnatariuszy listu, obecny projekt zawiera regulacje wykraczające poza wymagania zawarte w dyrektywie NIS2. Na liście znalazły się:

-      sankcje nakładane na polskich przedsiębiorców – mają być surowsze niż zakłada Unia

-      zasady wstrzymywania koncesji, zezwoleń i działalności gospodarczej – również mają być surowe

-      obowiązki dotyczące usuwania sprzętu i oprogramowania od podmiotów z państw spoza Unii Europejskiej i NATO – są bardziej rozbudowane, niż projekty z innych krajów Wspólnoty.

Jak zauważają autorzy, zakaz nabywania sprzętu i oprogramowania w innych państwach członkowskich UE dotyczy krytycznych komponentów w sieciach telekomunikacyjnych. Polski projekt obejmuje jednak 18 sektorów gospodarki. Takich rygorystycznych rozwiązań nie ma w żadnym państwie Unii Europejskiej” – czytamy w liście.

Rozwiązania doprowadzą do wzrostu cen?

Sygnatariusze napisali również, że ilość nadregulacji ujęta w projekcie ma wpłynąć negatywnie na konkurencyjność polskich firm oraz podmiotów publicznych. Mają bowiem wzrosnąć ich obciążenia organizacyjne oraz finansowe. Jednocześnie mają one doprowadzić do wzrostu cen dla Polek i Polaków, bowiem część sprzętu ma nie posiadać zamienników „o porównywalnej jakości czy cenie”.

W projekcie w ogóle nie oszacowano tych potencjalnych kosztów, co jest nie do pomyślenia przy realizacji jakichkolwiek projektów biznesowych. Apelujemy o realizację składanych publicznie obietnic deregulacji.
List otwarty izb gospodarczych i organizacji pracodawców ws. projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa

Według autorów listu do ministra cyfryzacji, Komisja Europejska ma stać na stanowisku, że nakładanie wyższych wymagań niż nakazuje Unia powinno mieć miejsce w drodze wyjątku. Efektem takich działań ma być różnicowanie wymogów między krajami Wspólnoty.

Protestujemy przeciwko nakładaniu na polskich przedsiębiorców znacznie wyższych wymogów niż wymogi, które będą zobowiązani spełniać przedsiębiorcy prowadzący działalność w innych państwach członkowskich UE” – kończą swój list przedstawiciele organizacji i firm.

Uwagi Ministerstwa Obrony Narodowej do projektu

Swoje uwagi do projektu przekazują do Stałego Komitetu Rady Ministrów także odpowiednie resorty. Wiceminister Obrony Narodowej Cezary Tomczyk w swoim piśmie do SKRM zauważył, że według art. 5 ust. 10 ustawy o KSC Minister Obrony Narodowej wskazuje jedynie podlegające mu podmioty kluczowe. Pominięcie podmiotów ważnych jest niezgodne z uzasadnieniem ustawy.

Uwzględnienie w projektowanym przepisie podmiotów ważnych jest szczególnie istotne m.in. w kontekście projektowanych postanowień dotyczących podmiotów leczniczych niebędących przedsiębiorcami.
Uwagi Ministerstwa Obrony Narodowej do projektu ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa

Resort zapronował również wprowadzenie rozwiązania umożliwiającego szefowi Ministerstwa wypełnianie zadań dotyczących kierowania działaniami z obsługą incydentów w czasie stanu wojennego lub wojny. Wówczas będą one obejmowały obszary i podmioty, które w czasie pokoju pozostają „we właściwości” CSIRT GOV i CSIRT NASK.

Brak uregulowania kwestii roli wiodącej CSIRT MON w odniesieniu do dwóch pozostałych CSIRT-ów spowoduje, iż Minister Obrony Narodowej będzie pozbawiony możliwości realizacji zadań ustawowych” – czytamy w piśmie MON.