Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, stanowiący wdrożenie dyrektywy NIS2, wzbudza wiele kontrowersji. Wskazuje się m.in. na wysokie koszty dostosowania do nowych wymogów związanych z cyberbezpieczeństwem i nadregulację w stosunku do wymagań unijnych.
Cyberbezpieczeństwo w Polsce. Surowsze rygory implementacji dyrektywy NIS2
Na ten ostatni aspekt zwracają uwagę eksperci EY, którzy opublikowali właśnie raport pt. „Implemtacja Dyrektywy NIS2 w Polsce na tle wybranych państw UE”. Jak wskazują jego autorzy – Justyna Wilczyńska-Baraniak, Patryk Gęborys i Alicja Guzy z EY, Polska przyjmuje jedno z bardziej rygorystycznych stanowisk przy implementacji, wprowadzając rozwiązania stanowiące nadregulację.
Czytaj więcej
Przepisy mają wzmocnić odporność państwa i jego instytucji na ataki hakerskie.
„Polski projekt nowelizacji UKSC wykracza poza wymogi unijnej dyrektywy NIS2, wprowadzając bardziej rygorystyczne przepisy. W szczególności, zwiększa zakres kontroli nad sektorami uznawanymi za kluczowe, poszerzając ich klasyfikację w porównaniu do kategorii określonych przez NIS2” – czytamy w raporcie. Chodzi o branże chemiczną, żywnościową i medyczną, które unijne przepisy określają jako ważne, a w polskim projekcie przepisów uznano je za kluczowe. A to wiąże się z surowszymi wymaganiami bezpieczeństwa i zwiększeniem kosztów niezależnie od rozmiaru podmiotu. Zdaniem ekspertów EY może to nie być proporcjonalne i uzasadnione. Jak wskazują, zwiększenie zakresu kontroli wymusza dodatkowe koszty w postaci częstszych audytów i wdrożenia mechanizmów kontroli.Opracowanie wskazuje też na to, że projekt nowelizacji przewiduje bardziej rozbudowany system kar za naruszenia cyberbezpieczeństwa niż dyrektywa NIS2. Jak wskazują eksperci EY, wprowadzenie dodatkowych elementów, takich jak natychmiastowa wykonalność decyzji, czyni system kar bardziej dotkliwym i może mieć znaczny wpływ na działalność biznesu (zwłaszcza że polskie organy będą mogły nałożyć karę w wysokości do 100 mln zł). Maksymalna wysokość kar w dyrektywie wynosi do 10 mln euro lub 2 proc. obrotów dla podmiotów kluczowych oraz do 7 mln euro lub 1,4 proc. obrotu dla podmiotów ważnych. W kontekście zaostrzenia wymogów w raporcie przytoczono też statystyki incydentów cyberbezpieczeństwa. „Największy wzrost, wg raportów CERT Polska z 2022 i 2023 roku, w zgłoszonych incydentach najwięcej jest oszustw komputerowych, które w 2023 r. stanowiły około 95 proc. wszystkich incydentów.
Natomiast włamania, próby włamania, dostępność zasobów, ataki na bezpieczeństwo informacji, oraz wykorzystywanie podatności wyniosły w 2023 r. niespełna 3 proc. wszystkich incydentów (2,53 proc.). Należy również zwrócić uwagę, że z roku na rok udział ww. kategorii incydentów wzrósł zaledwie o 0,33 proc. (z 2,2 proc. w 2022 r. do 2,53 proc. w 2023 r.)” – wskazują eksperci EY.Jednak jak zauważa mec. Jakub Barański z kancelarii Wardyński i Wspólnicy, specjalizujący się w cyberbezpieczeństwie i nowych technologiach, nie należy lekceważyć ataków pishingowych (polegających na wyłudzeniu np. danych do logowania), które najczęściej stanowią tylko wstęp do znacznie bardziej groźnych ataków typu ransomware.
