Polscy przedsiębiorcy i administracja publiczna stoją przed perspektywą objęcia ich bardzo niekorzystnymi konsekwencjami, jakie wynikają z projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (ustawa o KSC). Projekt tej ustawy wynika z konieczności wdrożenia przez Polskę do dnia 17 października 2024 r. dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2). Niestety najnowszy projekt ustawy o KSC wykracza poza regulacje dyrektywy NIS 2, stanowiąc tym samym tzw. nadregulację. Dotyczyć on ma ponad 38.000 podmiotów z 18 sektorów, w tym takich, które nie są objęte regulacjami dyrektywy NIS 2. Oznacza to, że podmioty te obciążone zostaną daleko idącymi obowiązkami, za niezrealizowanie których groziły im będą gigantyczne, wielomilionowe kary, co finalnie będzie miało skutki dla konsumentów, w postaci wzrostu cen usług.
Ustawa o krajowym systemie cyberbezpieczeństwa godzi w przedsiębiorców?
Polski projektodawca bezwarunkowo identyfikuje jako sektory kluczowe takie sektory, jak np. hurtownie farmaceutyczne, wytwórców produktów leczniczych oraz apteki. Zgodnie natomiast z dyrektywą NIS 2 status podmiotów kluczowych przysługuje tylko tym podmiotom, które prowadzą działalność badawczo-rozwojową w zakresie produktów leczniczych, podmiotom produkującym leki i pozostałe wyroby farmaceutyczne, a także wyroby medyczne, które uznane są za mające krytyczne znaczenie podczas stanu zagrożenia zdrowia publicznego. Polski prawodawca wyeliminował z projektu ustawy o KSC tenże warunek, uznając „z góry” podmioty takie jak apteki, za podmioty kluczowe.
Dodatkowo w projekcie ustawy o KSC do podmiotów kluczowych zalicza się także takie sektory i podsektory jak np: produkcja, wytwarzanie i dystrybucja chemikaliów, żywności; produkcja w tym podsektor produkcji wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, podsektor produkcji komputerów, wyrobów elektronicznych i optycznych, podsektor produkcji urządzeń elektrycznych, maszyn i urządzeń, gdzie indziej niesklasyfikowaną, produkcji pojazdów samochodowych.
Projekt ustawy o krajowym systemie cyberbezpieczeństwa rozszerza zakres podmiotów kluczowych także o jednostki sektora finansów publicznych, w tym m.in. o jednostki samorządu terytorialnego oraz ich związki, ale również samodzielne publiczne zakłady opieki zdrowotnej, czy uczelnie publiczne. Należy podkreślić, że zarówno jednostki samorządu terytorialnego, jak i co do zasady instytucje edukacyjne nie są uznane przez dyrektywę NIS 2 za podmioty kluczowe. Te ostatnie kwalifikowane są przez nią za takowe jedynie wówczas, gdy prowadzą działalność badawczą o krytycznym znaczeniu. Polski projektodawca nie wprowadza tego warunku i tym samym każda uczelnia publiczna będzie zobowiązana do realizacji kosztownych wymogów w zakresie cyberbezpieczeństwa. Bezwarunkowe włączenie w projekcie ustawy o KSC takich podmiotów do kategorii podmiotów kluczowych, wbrew wymaganiom dyrektywy NIS 2, może prowadzić do znaczących trudności w ich funkcjonowaniu, nie przyczyniając się jednocześnie do realnego wzrostu bezpieczeństwa cybernetycznego kraju. Jednostki samorządu terytorialnego zobowiązane będą do wyłożenia olbrzymich pieniędzy na zrealizowanie licznych rygorystycznych i sformalizowanych obowiązków, nałożonych przez projekt ustawy o KSC oraz objęte będą ryzykiem gigantycznych, wielomilionowych kar za niezrealizowanie tychże obowiązków, które mogą być nałożone nawet wówczas, gdy doszło do jednorazowego naruszenia.