FPP: Krajowy System Cyberbezpieczeństwa (KSC) musi poczekać na dyrektywę NIS 2
9 listopada 2022
Federacja Przedsiębiorców Polskich (FPP) apeluje o wstrzymanie prac nad nowelizacją Krajowego Systemu Cyberbezpieczeństwa (KSC) do czasu przyjęcia europejskiej dyrektywy NIS 2. Dodatkowo projekt nowelizacji KSC budzi kontrowersje zarówno w zakresie nowych obowiązków dla przedsiębiorstw, jak i braku odpowiednich konsultacji społecznych. Raport CALPE wskazuje, że skutki wdrożenia zmiany ustawy mogą wpłynąć nawet na kilkadziesiąt tysięcy mikro, małych, średnich i dużych przedsiębiorstw. W takiej sytuacji koszty wdrożenia mogą wynosić nawet kilka miliardów złotych rocznie, wobec szacowanej w OSR średniej rocznej wartości na poziomie 700 milionów złotych. Ponadto jedna ze zmian dotyczy wprowadzenia mechanizmu, który pozwala uznać dowolnego dostawcę za dostawcę wysokiego ryzyka. Mechanizm ten może zostać uznany za niezgodny z prawem UE, Konstytucją, a także podstawowymi zasadami postępowania administracyjnego .
„Wkrótce ma wejść w życie dyrektywa NIS 2, która zastąpi w całości dyrektywę NIS. Debata i głosowanie nad chwaleniem dyrektywy zostały zaplanowane w Parlamencie Europejskim na 10 listopada 2022 . NIS 2 istotnie zmieni regulacyjny krajobraz cyberbezpieczeństwa. Kluczowe jest, aby w pracach nad jej implementacją uniknąć pośpiechu. Istotnym elementem będzie też przeprowadzenie szerokich konsultacji społecznych. Tymczasem w Polsce trwają prace nad znowelizowaniem polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Kolejne wersje projektu budzą liczne kontrowersje. Co istotne, wątpliwości budzi też zakres i sposób prowadzenia konsultacji społecznych.
Powstaje też pytanie, czy to rzeczywiście dobry kierunek wobec nieuchronnej konieczności wdrożenia wymogów NIS 2. Może się okazać, że nowa wersja krajowych przepisów za chwilę będzie wymagać kolejnych zmian. W aktualnej wersji projektu nowelizacji KSC w większości nie wprowadzono zmian postulowanych przez stronę społeczną i licznych ekspertów. Kontynuowanie prac w obecnym kształcie doprowadzi do powstania podwójnych standardów KSC oraz NIS2 oraz koniecznością kolejnej nowelizacji KSC w sposób implementujący treść NIS2 w niedługim czasie.
Dlatego rekomendujemy wstrzymanie prac nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa w jej obecnym kształcie.
Najefektywniejszym rozwiązaniem byłoby połączenie prac nad nowelizacją KSC oraz strumienia prac wdrażającego postanowienia dyrektywy NIS 2. Takie racjonalne podejście przyjęły Czechy, gdzie prace nad lokalnymi rozwiązaniami dotyczącymi cyberbezpieczeństwa zostały oficjalne odwołane i rząd zainicjował proces implementacji NIS2, w celu terminowej transpozycji dyrektywy”
– podkreśla
Arkadiusz Pączka, wiceprzewodniczący Federacji Przedsiębiorców Polskich (FPP)
.
„Nowelizacja KSC nie odnosi się w żaden sposób do wielu rozwiązań projektowanych w NIS 2. Przepisy trzeba będzie ponownie zmienić w związku z implementacją tej dyrektywy. Po uchwaleniu na poziomie unijnym, dyrektywa NIS 2 istotnie zmieni regulacyjny krajobraz cyberbezpieczeństwa w UE. Nie należy czekać do końca terminu jej implementacji (21 miesięcy od publikacji oficjalnym dzienniku urzędowym), ale jak najszybciej przystąpić do prac legislacyjnych związanych z wdrożeniem jej wymogów. Głównym celem NIS 2 jest doprowadzenie do większej harmonizacji przepisów dotyczących cyberbezpieczeństwa na terenie UE. Ma to zapobiec przyjmowaniu różnych standardów i wymogów przez państwa członkowskie. Zgodnie z NIS 2
ocena ryzyka m.in. usług i produktów ICT wykonywana będzie na szczeblu UE i przy udziale przedstawicieli poszczególnych państw członkowskich
. Takie rozwiązanie pozwala na koordynację działań oraz – co szczególnie istotne – budowanie jednolitych standardów w zakresie cyberbezpieczeństwa w całej UE
” – mówi
Wojciech Piszewski, Counsel w kancelarii Maruta Wachta
, specjalizujący się m.in. w zagadnieniach compliance, prawa ochrony danych osobowych i e-commerce.
„We wrześniu 2020 r. Minister Cyfryzacji przedstawił projekt nowelizacji KSC. Prace nad nim trwają już prawie dwa lata, a projekt podlegał zasadniczym zmianom. Wbrew dobrym praktykom i postanowieniom Regulaminu pracy Rady Ministrów
nie wszystkie zmiany wprowadzane w ramach prac nad nowelizacją KSC poddano konsultacjom społecznym
. Zmiany proponowane w nowelizacji KSC zdecydowanie wykraczają poza „drobne legislacyjne poprawki” i dotyczą obowiązków uczestników krajowego systemu cyberbezpieczeństwa – co rodzi istotne koszty dla przedsiębiorstw. Liczba przepisów, w których Projekt nowelizacji KSC wymienia nowe zadania i obowiązki to łącznie 181 przepisów. Projektowane rozwiązania nie będą odnosiły się wyłącznie do dużych przedsiębiorców – ale obejmą i spowodują najbardziej dotkliwe konsekwencje finansowe dla mniejszych przedsiębiorców, nie mogących sobie pozwolić na rozwinięte wsparcie w procesie wdrażania”
– dodaje
Marcin Serafin, partner w kancelarii Maruta Wachta
, specjalista w zakresie prawa nowych technologii oraz ochrony danych i informacji.
Ramy prawne dotyczące cyberbezpieczeństwa w Polsce są w dużej mierze implementacją modelu przyjętego na poziomie Unii Europejskiej.
Najważniejszy akt prawny w tym zakresie, czyli ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), jest implementacją unijnej dyrektywy NIS.
Obowiązuje też szereg rozporządzeń wydanych m.in. na podstawie upoważnień zawartych w KSC. Regulacyjny krajobraz cyberbezpieczeństwa jest więc dość złożony.
Kluczowe zmiany w projekcie nowelizacji KSC:
• Do krajowego systemu cyberbezpieczeństwa włączono przedsiębiorców komunikacji elektronicznej, niezależnie od ich wielkości i tego, czy mogą być zakwalifikowani jako operatorzy usług kluczowych lub dostawcy usług cyfrowych.
• Uprawniono CSIRT-y do przeprowadzenia oceny bezpieczeństwa systemów cyberbezpieczeństwa wykorzystywanych przez podmioty krajowego systemu cyberbezpieczeństwa.
• Zmodyfikowano rozwiązania dotyczące uznania danego dostawcy za dostawcę wysokiego ryzyka oraz wydawania poleceń zabezpieczających w przypadku wystąpienia incydentu krytycznego.
• Podzielono SOC na wewnętrzne (utworzone w ramach struktury operatora usługi kluczowej) i zewnętrzne (zewnętrzne podmioty świadczące usługi SOC na rzecz operatora usługi kluczowej).
Pozytywne zmiany w projekcie nowelizacji KSC:
• Wprowadzenie systemu certyfikacji – jeśli zostanie podtrzymane występujące w projekcie rozwiązanie, że proces certyfikacji kończy się wydaniem decyzji administracyjnej
• Możliwość powoływania ISAC oraz SOC – wszystkie działania, które mają przyśpieszyć wymianę informacji o cyberzagrożeniach i incydentach, to zmiany w dobrym kierunku
Szacuje się, że firmy objęte NIS 2 będą musiały zwiększyć wydatki na obszar cyberbezpieczeństwa maks. o 22%. Firmy już objęte NIS poniosą wydatki większe o 12%. Wydatki te powinny się jednak zwrócić ze względu na niższe koszty związane z incydentami –
aż 11,3 mld Euro to szacowane obniżenie kosztów incydentów cybernetycznych dzięki NIS 2
.