Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), będąca implementacją unijnej dyrektywy NIS2, wywołuje obawy wśród polskich przedsiębiorców, zwłaszcza z branży teleinformatycznej. Twierdzą, że rząd nie oszacował, ile firmy będą musiały wydać na wdrożenie nowych przepisów.
- Przedsiębiorcy szacują, że nowelizacja Krajowego Systemu Cyberbezpieczeństwa może kosztować firmy co najmniej 14 mld zł, a w skrajnym scenariuszu nawet setki miliardów złotych.
- Nowe przepisy pozwalają uznać dostawców sprzętu i oprogramowania za „wysokiego ryzyka”, co oznacza obowiązek kosztownej wymiany bez odszkodowania.
- Spór o ustawę trafił do Pałacu Prezydenckiego - część biznesu apeluje o skierowanie jej do Trybunału Konstytucyjnego, inni domagają się szybkiego podpisu.
Przepisy zostały przyjęte w styczniu przez Sejm i Senat. Nowe regulacje wprowadzają kategorię dostawcy wysokiego ryzyka (DWR, ang. HRV). Co to oznacza? Minister cyfryzacji będzie mógł wskazać konkretne produkty, usługi lub procesy ICT jako potencjalnie niebezpieczne.
W praktyce oznacza to zakaz używania określonego sprzętu lub oprogramowania oraz obowiązek jego wymiany w ciągu 4-7 lat. Dodatkowo administracja państwowa nie przewiduje z tego tytułu wypłaty firmom rekompensaty finansowej - pisze WNP.
Telekomy policzyły koszty. Wyniki budzą niepokój
Analizy firm telekomunikacyjnych wskazują, że koszty implementacji unijnych regulacji mogą sięgnąć co najmniej 14 mld zł, a w wariancie pesymistycznym nawet setek miliardów złotych.
– Nie znamy zakresu sprzętu i oprogramowania, które mogą być w przyszłości objęte nakazem, ani listy dostawców, którzy być może zostaną uznani za DWR – powiedział portalowi WNP Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej (KIKE).
KIKE przebadała 152 przedsiębiorców z sektora mikro, małych i średnich firm telekomunikacyjnych. Na tej podstawie opublikowała alarmistyczny raport. Okazało się, że w 81 proc. firm ponad połowa sprzętu pochodzi spoza UE i NATO, a prawie jedna czwarta opiera się niemal wyłącznie na wyposażeniu bez odpowiedniej homologacji. Unijne regulacje mogą spowodować, że przedsiębiorcy będą się zmagać z zatrzymaniem usług i problemami z ciągłością działalności.
Według raportu KIKE, przeciętna firma telekomunikacyjna będzie musiała wydać ponad 4,3 mln zł w ciągu pięciu lat na wymianę sprzętu i oprogramowania objętego procedurą DWR. Wydatki branży telekomunikacyjnej mogą więc wynieść 14,4 mld zł.
Do tego dochodzą zwiększone koszty serwisu i wsparcia technicznego – średnio 642 tys. zł rocznie na firmę, co w pięcioletniej perspektywie przekracza 3,2 mld zł. W raporcie przyjęto najczarniejszy scenariusz, zakładający wymianę całego sprzętu spoza UE i NATO.
Cyberbezpieczeństwo obejmie niemal całą gospodarkę
Problem dotyczy nie tylko sektora telekomunikacyjnego. Nowelizacja KSC zwiększa zasięg obowiązków – z kilku sektorów objętych cyberbezpieczeństwem (energia, transport, zdrowie, bankowość) do 18 branż, w tym poczty, produkcji żywności, dostarczania wody, a także infrastruktury administracji publicznej, np. serwerów KSeF. Liczba podmiotów objętych KSC wzrośnie z 400 do około 42 tys.
Spór o ustawę KSC: apel przedsiębiorców i presja na prezydenta
Nowe przepisy budzą sprzeciw niemal całego środowiska telekomunikacyjnego. Jedenaście organizacji przedsiębiorców, m.in. wymienione wcześniej KIKE, a także Federacja Przedsiębiorców Polskich i Polska Izba Handlu apelują do prezydenta o skierowanie ustawy do Trybunału Konstytucyjnego. Twierdzą, że procedura DWR może prowadzić do faktycznego wywłaszczenia przedsiębiorców z ich sprzętu.
Na domiar bez wypłaty odpowiedniego odszkodowania. Z drugiej strony, Związek Cyfrowa Polska i przedstawiciele Ministerstwa Cyfryzacji podkreślają, że celem jest na tym etapie wyłącznie analiza ryzyka i zwiększenie bezpieczeństwa infrastruktury krytycznej, a ustawa nie wprowadza automatycznych zakazów.
Eksperci ostrzegają jednak, że brak kompleksowej analizy kosztów może w praktyce oznaczać miliardowe wydatki dla całej gospodarki. Nie mówiąc również o ryzyku przerw w dostarczaniu usług teleinformatycznych.
Nowelizacja KSC wkracza więc w obszar fundamentalnych zmian dla firm, które korzystają z rozwiązań ICT, i stawia przed nimi wyzwanie – jak pogodzić wymogi bezpieczeństwa z rentownością i stabilnością działalności.