W samorządach

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa oznacza gigantyczne koszty dla przedsiębiorców m.in z branży gospodarowania odpadami

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) wiązać się będzie ze znacznymi kosztami dla polskich przedsiębiorców. Jeden przedsiębiorca z sektora gospodarowania odpadami za wymianę serwerów, komputerów czy kosztów licencji oprogramowania może ponieść koszt blisko 1 mln złotych. Polska, bardziej restrykcyjna wersja implementacji NIS2, obejmować będzie aż 18 sektorów gospodarki, m.in. sektor gospodarowania odpadami, ścieki, żywność, energetykę i jednostki samorządu terytorialnego. Co więcej, 71,9 proc. firm z branży gospodarowania odpadami nie zdaje sobie sprawy, że nowe regulacje będą dotyczyć ich biznesu. Czy Ministerstwo Cyfryzacji jest świadome kosztów wprowadzenia w życie zmian? Zastanawia się nad tym Ogólnopolska Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl.

Całkowite koszty związane z koniecznością wymiany sprzętu producenta uznanego za dostawcę wysokiego ryzyka u jednego przedsiębiorcy szacowane są na 380,6 tys. zł w pierwszym roku, natomiast w ciągu 5 lat kwota ta może wynieść blisko 600 tys. zł. Takie wyliczenia znalazły się w przygotowanym przez Federację raporcie dotyczącym znajomości projektowanych przepisów przez przedsiębiorców i obejmującym także problematykę kosztów wprowadzenia w życie zmian.

W kwietniu 2024 r. na stronie Rządowego Centrum Legislacji opublikowany został projekt nowelizacji ustawy o KSC. Wersja po konsultacjach ma datę 3 października 2024 r. Projekt ma na celu dostosowanie polskiego systemu cyberbezpieczeństwa do nowych, bardziej rygorystycznych standardów unijnych (termin wdrożenia dyrektywy NIS2 w Polsce minął 17 października 2024 r.). Główne cele to:

– wypełnienie obowiązku transpozycji – Polska, podobnie jak inne państwa UE, powinna wdrożyć przepisy dyrektywy NIS2 do swojego porządku prawnego;

– adaptacja do zmieniającego się krajobrazu cyberzagrożeń – szybki rozwój technologii, zwiększona liczba i złożoność ataków cybernetycznych wymagają bardziej kompleksowych i skutecznych środków ochronnych;

– wzmocnienie współpracy między różnymi podmiotami – nowe przepisy mają na celu usprawnić współpracę między organami administracji publicznej, przedsiębiorstwami i innymi podmiotami zaangażowanymi w zapewnienie cyberbezpieczeństwa;

– usprawnienie zarządzania ryzykiem – podmioty kluczowe i ważne będą zobowiązane do wdrożenia bardziej zaawansowanych systemów zarządzania ryzykiem cybernetycznym;

– wzmocnienie roli Pełnomocnika Rządu ds. Cyberbezpieczeństwa – otrzyma on szersze uprawnienia;

– Rozwój infrastruktury CSIRT – planowane jest utworzenie nowych sektorowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT).

KSC: 18 sektorów gospodarki i szeroki zakres obowiązków

Projekt dokonuje transpozycji postanowień NIS2 w znacznie szerszym zakresie niż wymaga tego sama dyrektywa. Eksperci wskazują, że polska implementacja NIS2 stanowi nadregulację względem unijnej dyrektywy. Przede wszystkim rozszerzono katalog sektorów objętych regulacjami ustawy (m.in. poprzez objęcie jednostek samorządu terytorialnego, jednostek budżetowych, w tym przedszkoli, szkół i placówek publicznych zakładanych i prowadzonych przez ministrów, samorządowych zakładów budżetowych oraz uczelni, a także podmiotów wchodzących w skład systemu szkolnictwa wyższego i nauki).

Nowa ustawa dotknie ponad 38 tysięcy podmiotów, reprezentujących 18 sektorów gospodarki. Wśród nich znajduje się 27 905 podmiotów administracji publicznej, a swoją działalność do nowych wymogów dostosować będą musiały również podmioty kluczowe dla wspólnot lokalnych, na przykład oczyszczalnie ścieków (102 podmioty), spółki wodno-kanalizacyjne (268), spółki zajmujące się odpadami (276) czy firmy zajmujące się produkcją rolną i żywnością (1204). Wiele z nich może nie zdawać sobie sprawy, że nowe prawo będzie dotyczyć także ich.

Ocena Skutków Regulacji (OSR) wskazuje, że w branży gospodarowania odpadami nowelizacja ustawy będzie miała wpływ jedynie na 276 podmiotów. Tymczasem z danych znajdujących się w posiadaniu Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl wynika, że jest to łącznie 8865 firm, z których ponad 1500 zatrudnia więcej niż 50 pracowników.

W OSR zaprezentowano precyzyjnie jedynie wpływ nowych przepisów na sektor finansów publicznych. W sekcji pt. „Wpływ na konkurencyjność gospodarki i przedsiębiorczość, w tym funkcjonowanie przedsiębiorców oraz na rodzinę, obywateli i gospodarstwa domowe” tabela dotycząca skutków w ujęciu pieniężnym nie została wypełniona, ale jednocześnie projektodawca przyznaje, że wejście przepisów w życie będzie się wiązać ze wzrostem nakładów finansowych. W celu dostosowania się do nowych wymogów przedsiębiorstwa będą musiały wdrożyć środki zarządzania cyberbezpieczeństwem. W dużych przedsiębiorstwach może to zająć pewien czas. Niezbędne będzie dokonanie inwentaryzacji infrastruktury, przeglądu procesów i wewnętrznych procedur, przeprowadzenie wewnętrznych szkoleń. Projektodawca wskazał, że koszty związane z wycofaniem sprzętu lub oprogramowania od dostawców wysokiego ryzyka są niemierzalne.

Czy branża gospodarowania odpadami jest gotowa na KSC?

W oparciu o zebrane na podstawie ankiet dane dotyczące kosztów wymiany sprzętu i oprogramowania pochodzącego od dostawców wysokiego ryzyka, a także kosztów związanych z serwisem i wsparciem technicznym dla nowo zakupionych produktów pochodzących od firm z UE i NATO można przyjąć, że szacunkowa kwota dla jednego przedsiębiorcy może wynieść blisko 900 tys. zł netto w pięcioletniej perspektywie.

Robert Składowski, prezes Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl, podkreśla, że jednym z kluczowych zarzutów jest rozszerzenie grupy podmiotów kluczowych i ważnych, które będą zobowiązane do spełniania rygorystycznych wymogów w zakresie cyberbezpieczeństwa, co może prowadzić do zwiększenia obciążeń administracyjnych i finansowych. – Dotyczyć to ma także jednostek samorządu terytorialnego, jednostek budżetowych, związków metropolitalnych – mówi. – Szczególnie niepokojące są zawarte w projekcie kary finansowe dla kierowników jednostek, przewidziane nawet za jednorazowe zaniechanie. Mogą one sięgać nawet sześciokrotności miesięcznej pensji. Tak surowe sankcje mogą pogłębić istniejące problemy kadrowe, zwłaszcza w jednostkach samorządowych, które już teraz borykają się z trudnościami w zatrudnieniu odpowiednio wykwalifikowanego personelu.

Składowski nie ma wątpliwości, że projekt ustawy wykracza poza regulacje unijnej dyrektywy NIS2 i stanowi nadregulację, która jest nieproporcjonalna do założonych celów, rzeczywistych potrzeb i możliwości finansowych wielu podmiotów. – Niejasna procedura kwalifikacji dostawców sprzętu lub oprogramowania ICT jako dostawców wysokiego ryzyka, również budzi daleko idące uzasadnione obawy zwłaszcza, że projektodawca obejmuje tą procedurą dostawców dostarczających sprzęt dla wszystkich podmiotów kluczowych lub ważnych. Spowoduje to konieczność wyeliminowania przez takie podmioty dostawców wysokiego ryzyka i to na własny koszt. Konsekwencją będą podniesione ceny usług lub towarów, czego uboczne efekty odczują konsumenci. Do tego dochodzi utrata konkurencyjności polskich przedsiębiorców wobec firm z innych państw, w których ustawodawstwie nie przewidziano tak daleko rozszerzonej procedury uznania danego dostawcy za dostawcę wysokiego ryzyka” – dodaje Robert Składowski.

Federacja sformułowała następujące uwagi do projektu ustawy:

– nadmierna regulacja: nowe przepisy wprowadzają znacznie więcej ograniczeń niż wymaga tego dyrektywa NIS2;

– brak precyzji: niejasne kryteria dotyczące uznania podmiotów za kluczowe lub ważne, a także za dostawców wysokiego ryzyka;

– wysokie koszty – szacunkowe koszty dostosowania się do nowych przepisów są znaczne i mogą prowadzić do problemów finansowych przedsiębiorców;

– brak świadomości – większość przedsiębiorców nie jest świadoma nowych obowiązków i ich konsekwencji.

Federacja domaga się korekt legislacyjnych, przede wszystkim doprecyzowania kryteriów – należy jasno określić, które podmioty będą uznawane za kluczowe lub ważne, a także jakie czynniki będą brane pod uwagę przy ocenie dostawców wysokiego ryzyka. Należy też przeprowadzić rzetelną ocenę skutków finansowych nowych przepisów dla różnych sektorów gospodarki. Niezbędne jest wsparcie przedsiębiorców – niezbędne są szeroko zakrojone kampanie informacyjne, aby byli oni świadomi nowych obowiązków i mieli możliwość przygotowania się do zmian. Należy też zapewnić im możliwość konsultacji z ekspertami w zakresie cyberbezpieczeństwa. Zdaniem Federacji, warto też rozważyć wprowadzenie instrumentów wsparcia finansowego dla przedsiębiorców, którzy będą musieli ponieść znaczne koszty dostosowania się do nowych przepisów.

Pełna wersja raport dostępna jest tutaj: dr-n.-pr.-Marek-Woch-komunikat-Czy-Ministerstwo-Cyfryzacji-zna-koszty-wprowadzenia-w-zycie-zmian-w-ustawie-28.10.2024-r.-g.-16.35-druk.pdf

 

Aby zapewnić prawidłowe działanie i wygląd niniejszego serwisu oraz aby go stale ulepszać, stosujemy takie technologie jak pliki cookie oraz usługi firm Adobe oraz Google. Ponieważ cenimy Twoją prywatność, prosimy o zgodę na wykorzystanie tych technologii.

Zgoda na wszystkie
Zgoda na wybrane