Rzecznik MŚP: Ustawa o cyberbezpieczeństwie nie obciąży najmniejszych firm telekomunikacyjnych

Pismem z dnia 26 września 2020 r. Rzecznik MŚP zgłosił Ministrowi Cyfryzacji swoje uwagi i zastrzeżenia do Projektu ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych (numer w wykazie prac Rady Ministrów: UD68; tytuł Projektu po jego zmianie: Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo telekomunikacyjne, dalej: „Projekt”). W szczególności Rzecznik MŚP zwrócił uwagę, że Projekt wymaga dostosowania jego rozwiązań do zasad Prawa Przedsiębiorców – Konstytucji Biznesu, w szczególności zasady proporcjonalności i adekwatności. Rzecznik MŚP wskazał, że Konstytucja Biznesu ma charakter gwarancyjny dla ok. 6000 mikro-, małych i średnich przedsiębiorców z branży telekomunikacyjnej. Dlatego uzasadnienie do Projektu powinno zostać uzupełnione o przewidywany wpływ Projektu na sektor MŚP.

Dodatkowo Rzecznik MŚP zwrócił uwagę, że równolegle do Projektu procedowany jest projekt ustawy – Prawo komunikacji elektronicznej (numer w wykazie prac Rady Ministrów: UC45), dlatego w celu uniknięcia wprowadzenia sprzecznych uregulowań z dotyczącymi bezpieczeństwa sieci i usług w ocenie Rzecznika MŚP regulacje te powinny zostać określony w sposób kompleksowy, jednoznaczny oraz spójny w jednym akcie prawnym.

W odpowiedzi z dnia 15 marca 2021 r., Dyrektor Departamentu Cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów poinformował, że przepisy dotyczące obowiązków przedsiębiorców komunikacji elektronicznej w zakresie bezpieczeństwa sieci i usług komunikacji elektronicznej oraz przepisy CRIST Telco zostaną dodane do ustawy o krajowym systemie cyberbezpieczeństwa poprzez ustawę wprowadzającą Prawo Komunikacji Elektronicznej. Zapewnił również, że przedsiębiorcy telekomunikacyjni wdrażać będą środki techniczne i organizacyjne adekwatne do oszacowanego ryzyka, z uwzględnieniem tego, że: „oczywistym jest fakt, że dużego przedsiębiorcę komunikacji elektronicznej będą dotyczyły innego rodzaju ryzyka niż małego przedsiębiorcę komunikacji elektronicznej”.

Ocena skutków regulacji została uzupełniona o ocenę wpływu projektowanych przepisów na sektor MŚP. Wykazano, że zmiany w ustawie w szczególności będą dotyczyć tych mało i średnich przedsiębiorców, którzy są operatorami usług kluczowych lub dostawcami usług cyfrowych.

Mali i średni przedsiębiorcy będą musieli wycofać sprzęt lub oprogramowanie dostawcy wysokiego ryzyka z użycia zasadniczo w ciągu 7 lat, ale tylko wtedy, jeśli będą należeć do wyszczególnionych przez ustawodawcę kategorii:

1. podmioty krajowego systemu cyberbezpieczeństwa,
2. przedsiębiorcy komunikacyjni sporządzający plany działań w sytuacji szczególnego zagrożenia,
3. operatorzy infrastruktury krytycznej,
4. przedsiębiorcy o szczególnym znaczeniu gospodarczo obronnym.

Obowiązek wycofania produktów, usług i procesów dostawcy wysokiego ryzyka nie będzie dotyczył mikroprzedsiębiorców telekomunikacyjnych, ponieważ będzie on dotyczył wyłącznie przedsiębiorców telekomunikacyjnych sporządzających plany działań w sytuacji szczególnego zagrożenia, których jest w Polsce około 100. Są to z reguły najwięksi przedsiębiorcy telekomunikacyjni w Polsce.

„Zapis ten ma istotne znaczenie dla przedsiębiorców z sektora MŚP, bowiem nakładanie obowiązków w zakresie cyberbezpieczeństwa wiąże się z istotnymi nakładami, co stanowi istotne obciążenie głównie dla najmniejszych firm krajowych" – komentuje Adam Abramowicz, rzecznik małych i średnich przedsiębiorców.

Komunikat Rzecznika Małych i Średnich Przedsiębiorstw