Aktualności
Szanowni Państwo,
na szczególną prośbę Prezesa Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl Pana Roberta Składowskiego, prosimy Państwa o wzięcie udziału w ankiecie przedstawiającej stanowisko przedsiębiorców wynikającego z przedstawionego przez Ministerstwo Cyfryzacji projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa. Nasza Federacja bierze udział w konsultacjach publicznych dotyczących w/w projektu ustawy i zależy nam na przedstawieniu rządzącym Państwa opinii na ten temat.
Polska zobowiązana jest do wdrożenia (implementowania) unijnej dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2). Zaproponowany przez Ministerstwo Cyfryzacji projekt ustawy o krajowym systemie cyberbezpieczeństwa w sposób daleko idący wykracza jednak poza regulacje wspomnianej dyrektywy NIS 2, stanowiąc tym samym tzw. nadregulację, która powoduje daleko idące negatywne skutki dla wielu podmiotów – przedsiębiorców. Innymi słowy, projekt ustawy zawiera bardziej restrykcyjne uregulowania niż dyrektywa unijna NIS 2.
Rozszerzony krąg podmiotów
Projekt ustawy w sposób znaczący – w stosunku do dyrektywy NIS 2 – rozszerza ilość podmiotów kluczowych, których ustawa ta ma dotyczyć, w tym identyfikując jako sektory kluczowe, sektory, które w dyrektywie NIS 2 traktowane są jedynie jako ważne, a zatem podlegające mniejszemu zakresowi nadzoru. Ustawa w takim brzmieniu będzie miała wpływ na ogromną liczbę sektorów (m.in. energetyczny, transportowy, ochrony zdrowia, jednostek samorządu terytorialnego, produkcji, przetwarzania i dystrybucji żywności). Projekt ustawy dotyczy ok. 40.000 podmiotów.
Obowiązki nałożone na przedsiębiorców
Przedsiębiorcy objęci ustawą podlegali będą szerokiej kontroli. Nałożone na nich zostaną również kosztowne i skomplikowane obowiązki. Wskazać tutaj należy chociażby na obowiązkowe, cykliczne – co najmniej raz na 2 lata – audyty bezpieczeństwa, obowiązek stworzenia systemów zarządzania bezpieczeństwem informacji, zgodnie z normami ISO, obowiązek wdrożenia zabezpieczeń przed incydentami cyberbezpieczeństwa, w oparciu o analizę ryzyka i najnowszy stan wiedzy, obowiązek dokonywania do organu nadzorczego zgłoszeń incydentów (wczesne ostrzeżenie już w terminie 12 h/24 h, kolejne w terminie 72 h) oraz powiadamiania o incydentach własnych użytkowników. Nadto wskazać należy na: obowiązek wdrożenia rozbudowanej dokumentacji dotyczącej cyberbezpieczeństwa, obowiązek rejestracji w krajowym systemie informatycznym oraz wymiany informacji za jego pośrednictwem, obowiązek zarządzania ryzykiem łańcucha dostawców usług, obowiązek zapewnienia dostępu do wiedzy pozwalającej na zrozumienie cyberzagrożeń dot. cyberbezpieczeństwa wśród własnych pracowników.
Kary
Na przedsiębiorców za działania lub zaniechania wskazane w projekcie ustawy będą mogły zostać nałożone kary pieniężne do 10.000.000 euro lub 2% przychodów osiągniętych przez przedsiębiorcę z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary.
Dostawca wysokiego ryzyka
Projekt ustawy wprowadza nieuregulowaną w dyrektywie NIS 2 procedurę uznania danego dostawcy za dostawcę wysokiego ryzyka. Przedsiębiorca objęty ustawą o krajowym systemie cyberbezpieczeństwa stanie przed perspektywą konieczności usunięcia sprzętu lub oprogramowania ICT dostarczanych przez takiego dostawcę w terminie 4 lub 7 lat, co odbywało się będzie na wyłączny koszt tegoż przedsiębiorcy. Niepokój budzą kryteria, w oparciu o które dany dostawca może zostać uznany za dostawcę wysokiego ryzyka. Są one bardzo nieostre i nadają bardzo duże uprawnienia ministrowi cyfryzacji. Przykładowo uznanie w danej firmie dostawcy podzespołów komputerowych za dostawcę wysokiego ryzyka, będzie nakładało na daną firmę obowiązek pozbycia się tego sprzętu. Przykłady można tutaj szerzyć. W konsekwencji, doprowadzi to do osłabienia konkurencyjności polskich przedsiębiorców.
W oparciu o powyższe informacje zwracamy się do Państwa z prośbą o wzięcie udziału w ankiecie wyrażającej Państwa stanowisko na temat projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa.
Prosimy o udzielenie odpowiedzi do dnia 13 czerwca 2024 r.
Liczymy na Państwa zaangażowanie.
LINK DO ANONIMOWEJ ANKIETY: