Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) wywołuje w Polsce coraz większe emocje. Zmiany mają wzmocnić ochronę państwa przed zagrożeniami w sieci, ale wielu przedsiębiorców i ekspertów uważa, że w obecnym kształcie nowe przepisy mogą nadmiernie ingerować w działalność firm i ich prawa majątkowe.
Rząd tłumaczy, że chodzi o dostosowanie polskiego prawa do wymogów Unii Europejskiej, w tym dyrektywy NIS2, oraz o zabezpieczenie kluczowych sektorów, takich jak energetyka, administracja publiczna czy systemy finansowe. Krytycy zwracają jednak uwagę, że niektóre zapisy wykraczają poza to, co nakazuje UE, co zwiększa koszty prowadzenia działalności i może obniżać konkurencyjność polskich firm.
O szczegółach i dalszych planach rozwoju KSC opowiedział zastępca przewodniczącego sejmowej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii, poseł Dariusz Stefaniuk (PiS).
Jak przebiegały prace nad nowelizacją?
Poseł Stefaniuk podkreśla, że w trakcie prac nad ustawą udało się przeforsować dwie poprawki, które były korzystne z punktu widzenia jego komisji. Niestety większość innych propozycji zgłoszonych zarówno w Sejmie, jak i w Senacie została odrzucona.
„Pragmatyzm polityczny i odpowiedzialność za państwo skłoniły nas do tego, żeby nie blokować ustawy. Po pierwsze, arytmetyka sejmowa jasno pokazywała, że odrzucenie projektu byłoby nieskuteczne. Po drugie, chodziło o bezpieczeństwo państwa i uniknięcie kar za niewdrożenie dyrektywy NIS2. Mówimy tu m.in. o ochronie systemów takich jak ZUS czy sektor energetyczny, a także o pełniejszym zabezpieczeniu sieci 5G” – mówi Stefaniuk.
Gold plating, czyli nadregulacja
Jednym z głównych zarzutów wobec nowelizacji jest tzw. gold plating – czyli rozszerzanie wymogów ustawowych poza minimalne normy unijne.
Rząd wprowadził dodatkowe obowiązki dla branż, których nie wymaga prawo UE. Zdaniem przedsiębiorców zwiększa to koszty prowadzenia firm i może ograniczać konkurencyjność. W praktyce firmy muszą wprowadzać dodatkowe procedury bezpieczeństwa, raportowania czy audyty, co w dużej mierze obciąża ich budżet i zasoby.
Eksperci ostrzegają też, że niejasne kryteria oceny dostawców „wysokiego ryzyka” mogą wprowadzać niepewność i utrudniać planowanie działalności.
To nie koniec zmian
Obecna nowelizacja KSC może nie być ostatnią. Na poziomie Unii Europejskiej trwają prace nad kolejnym pakietem regulacji, tzw. Cybersecurity Act 2. Nowe przepisy mają dotyczyć m.in.:
- bezpieczeństwa łańcuchów dostaw ICT,
- nowych sposobów oceny i ograniczania ryzyka u dostawców,
- rozszerzonego systemu certyfikacji cyberbezpieczeństwa w całej UE.
Oznacza to, że polska ustawa może wymagać kolejnych zmian, jeszcze zanim wszystkie obecne przepisy wejdą w życie.
Bezpieczeństwo vs konkurencyjność
Debata wokół KSC pokazuje, że w polityce i biznesie ciągle trzeba szukać równowagi między bezpieczeństwem państwa a komfortem prowadzenia działalności.
Cyberzagrożenia stają się coraz bardziej złożone i obejmują całe łańcuchy dostaw i systemy sieciowe.
Jednocześnie zbyt rozbudowane regulacje mogą spowolnić rozwój firm, szczególnie tych technologicznych i telekomunikacyjnych. Najbliższe miesiące pokażą, czy przyjęte przepisy okażą się skuteczne i stabilne, czy też będziemy świadkami kolejnych korekt w polskim Krajowym Systemie Cyberbezpieczeństwa.
