Polskie przepisy muszą być lepsze. W końcu są polskie! Tylko lepsze dla kogo?
Aktualnie obowiązująca Ustawa o Krajowym Systemie Cyberbezpieczeństwa, którą od ponad czterech lat próbuje nowelizować już drugi rząd ze skutkiem porównywalnym z kolonizacją Marsa przez polską misję kosmiczną, ustala grupę podmiotów kluczowych. To w sumie 397 podmiotów, które są najważniejsze pod kątem cyberbezpieczeństwa. Banki, szpitale, energetyka, kopalnie… W skrócie podmioty, bez których funkcjonowanie państwa byłoby co najmniej utrudnione, należące do siedmiu sektorów – infrastruktura cyfrowa, transport, energetyka, ochrona zdrowia, zaopatrzenie i dystrybucja wody pitnej, finanse i bankowość.
Unijna dyrektywa NIS2, która ma zostać wdrożona do 18 października 2024 roku rozdziela podmioty na kluczowe i ważne. Do kluczowych dochodzą nowe sektory, takie jak administracja publiczna i telekomunikacja. Ważne to z kolei produkcja i przetwarzanie żywności, badania naukowe, produkcja, wytwarzanie i dystrybucja chemikaliów, gospodarowanie odpadami. W Polsce nowe przepisy obejmą łącznie prawie 40 tys. firm o różnej wielkości.
Czytaj też: Kryzys łączności podczas powodzi – lepszej okazji do zwalczenia dezinformacji nie będzie
Polskie przepisy wywracają unijną dyrektywę, bo zakładają, że produkcja, branża żywnościowa i chemiczna to podmioty kluczowe. Będą one musiały podlegać o wiele bardziej restrykcyjnym przepisom, przeprowadzać obowiązkowe audyty cyberbezpieczeństwa i dostosować się do nowych przepisów szybko i kosztownie. Jak informuje Business Insider mówimy m.in. o kwocie 300 mln zł rocznie w przypadku administracji państwowej i 21,5 mln zł w Wodach Polskich, a to dopiero początek niekończącej się listy wydatków.
Oczywiście to nie jest tak, że każdy kraj Unii Europejskie wdraża dyrektywę 1:1, bo przykładowo Czechy jako podmiot kluczowy dodały zbrojeniówkę.
O tym, czy dany podmiot jest kluczowy ma decydować też jego wielkość. W efekcie, jeśli duża spółka ma też mniejszą, jako podwykonawcę, to też może ona zostać wciągnięta na listę podmiotów kluczowych. Nie dlatego, że taka jest, ale dlatego, że jest powiązana korporacyjnie z inną. Z drugiej strony podmiotem kluczowym może zostać dostawca usług cyberbezpieczeństwa. Tak, dostawca, pojedynczy, prowadzący jednoosobową działalność gospodarczą. Który będzie musiał za ciężkie pieniądze przeprowadzać audyt cyberbezpieczeństwa. No oczywiście, że przez cztery lata pracy nad projektem, ani poprzedni, ani obecny rząd nawet nie pokusił się o oszacowanie kosztów wprowadzenia regulacji, bo cytując klasyka – komu to potrzebne?
Czytaj też: Cyberbezpieczeństwo w Polsce: Urzędnicza nadgorliwość zamiast spójnych przepisów
Wzrost cen? Możliwy, ale do tych alarmów podchodziłbym ostrożnie. Zagrożenia są inne
Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa to również niekończąca się saga pod hasłem – pozbyć się chińskiego sprzętu. Ostatni znany nam kształt przepisów zakłada uznanie dostawcy sprzętu i usług za niebezpiecznego i konieczna będzie wymiana po wydaniu natychmiast wykonalnego orzeczenia. Podmioty kluczowe będą musiały to zrobić w ciągu 5 lat, pozostałe w ciągu 7. Ale nie mówimy tu tylko o pozbyciu się sprzętu i/lub usług z sieci komórkowych, jak miało to miejsce w pomysłach sprzed czterech lat. Mówimy o dosłownie wszystkich osiemnastu sektorach podmiotów kluczowych i ważnych. Będziemy mieli się czym chwalić, bo takie przepisy będą obowiązywać wyłącznie w Polsce.
Koszty, jak już pisałem, nie zostały oszacowane i nikt nie wie, ile to wszystko może kosztować. Izby branżowe alarmują, że m.in. cena dostępu do Internetu mogłaby wzrosnąć dwukrotnie. Ale mówimy tu też o innych sektorach i wzrost cen może dotyczyć wszystkiego. Od dostępu do wody, przez żywność po wywóz odpadów. Wydaje mi się, że to nieco alarmistyczne prognozy, ale nie można ich wykluczyć.
Czytaj też: USA straszy Huaweiem i dalej używa jego sprzętu. Zabawne, czy żenujące?
W skrajnych przypadkach może to doprowadzić do upadku wielu firm. Przepisy zakładają, że podmioty będą mogły odwołać się do sądu, w przypadku uznania dostawcy sprzętu i usług za niebezpiecznego. Dobrze wiemy, jak działają polskie sądy i postępowania odwoławcze, więc raczej mało prawdopodobne jest, że potrwa to krócej niż siedem lat. A w tym czasie podmiot ma obowiązek wymiany sprzętu i może tego nie udźwignąć finansowo. Ale ostatecznie być może będzie mógł na pocieszenie powiesić na ścianie wyrok sądu odwołujący decyzję.
Zagrożeniem są też kary, a te również w Polsce mają być naj… wyższe. Dyrektywa NIS2 zakłada, że naruszenie przepisów przez podmiot kluczowy może skutkować nałożeniem kary w kwocie 10 mln euro lub w wysokości 2% rocznego obrotu. W przypadku podmiotu ważnego to 7 mln euro lub 1,4% obrotu. W Polsce można będzie w bonusie dostać 100 mln zł kary za stworzenie bezpośredniego zagrożenia dla bezpieczeństwa państwa lub zdrowia ludzi oraz od 500 do 100 tys. zł za każdy dzień opóźnienia wykonania decyzji w myśl nowych przepisów.
Czytaj też: ABW nie chce pilnować cyberbezpieczeństwa. Ustawa znowu spadnie z rowerka?
Cyfryzacja w Polsce była na dnie i nie zamierza się podnosić
Jeśli śledzicie teksty na Chip.pl to wiecie, że zdanie o poprzedniej ekipie Ministerstwa Cyfryzacji miałem złe i wydawało mi się, że po zmianie władzy to będzie najprostszy w prowadzeniu resort. Wystarczy kontynuować dobre pomysły, bo tak, takie były i wywalić do kosza złe. Po ponad dziewięciu miesiącach od zmiany rządu o obecnym Ministerstwie Cyfryzacji mam jeszcze gorsze zdanie niż o poprzednikach.
To jest dramat, że wdrożenie unijnej, bardzo ważnej dyrektywy nie tylko się wlecze, co nie zostanie wykonane w terminie. A przypomnimy, że to obecna władza mocno krytykowała poprzedników za opóźnienia w tym temacie i kary, jakie płacimy po wyroku TSUE za brak wdrożenia unijnych dyrektyw w zakresie cyfryzacji. Przez dziewięć miesięcy nowa władza zrobiła dokładnie to, co poprzednia robiła przez ponad trzy lata – wpadała na coraz to dziwne pomysły i dochodziła do wniosku, że są genialne, pomimo wszechobecnej krytyki.
Uwagi wysyłane do ostatniej znanej nam wersji projektu nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa są miażdżące i wydaje się rozsądne, że warto go spalić i zakopać. A z braku czasu należałoby wdrożyć dyrektywę NIS2 po najprostszej linii oporu, a najwyżej później na spokojnie przepisy modyfikować wedle naszych potrzeb. Być może jestem naiwny, że wydaje mi się, że niektóre rzeczy warto robić prosto i bez kombinowania, bo jak widać, mądre głowy w Ministerstwie Cyfryzacji widzą to inaczej.