16 grudnia sejmowa komisja cyfryzacji ma rozpocząć prace nad rządowym projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Celem jest m.in. zmniejszenie zagrożeń dla infrastruktury państwowej oraz prywatnej ze strony cyberprzestępców (ramka).
Zdaniem organizacji przedsiębiorców, które przesłały do Sejmu opinie w procesie konsultacji, odpowiadający za projekt resort cyfryzacji zdecydowanie przesadził z restrykcyjnością regulacji i chce nałożyć na firmy trudne do spełnienia obowiązki.
- Projekt jest skrajnie skomplikowany i zawiera niespotykanie groźne dla przedsiębiorców regulacje. Rząd, zamiast walczyć z przestępcami dopuszczającymi się cyberataków, zamierza bardzo surowo karać ich ofiary, czyli firmy, nie tylko wielkie, ale i małe. W niektórych przypadkach kary finansowe mogą sięgać aż 100 mln zł. Problem w tym, że projekt nie zapewnia jasnej i skutecznej drogi odwoławczej – mówi Mariusz Busiło, prawnik specjalizujący się w nowych technologiach, który współpracuje z Polską Izbą Informatyki i Telekomunikacji (PIIT).
Kary pieniężne wydrenują firmy
Ustawa o KSC obowiązuje od 2018 r. Pewne obowiązki zapobiegania, reagowania i informowania o cyberatakach nałożyła na część sektorów, np. energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej.
Z uwagi na dynamiczny w ostatnich latach rozwój metod cyberataków oraz coraz większej liczby takich incydentów, UE nakazuje państwom członkowskim wdrożyć dalej idące rozwiązania (dyrektywa NIS2) Zakres KSC jest więc rozszerzany na kolejne branże (ścieki, zarządzanie technologiami informacyjnymi, przestrzeń kosmiczną, pocztę, przemysł, w szczególności produkcję i dystrybucję chemikaliów oraz żywności), a pułap kar idzie w górę.
- Obowiązujące od siedmiu lat przepisy przewidują kary pieniężne, ale maksymalnie do 1 mln zł. Projektowane podnoszą je do wręcz horrendalnych wysokości, znacznie surowszych niż tego wymaga unijna dyrektywa NIS2. Wskazuje ona, że maksymalny pułap kar dla tzw. podmiotów kluczowych powinien wynosić 10 mln EUR albo 2 proc. przychodu, a dla podmiotów ważnych 7 mln EUR lub 1,4 proc. przychodu – zaznacza Mariusz Busiło.
Podkreśla, że problemem dla firm mogą być także tzw. kary dzienne, których obecnie nie ma.
- Sankcje za każdy dzień niewykonywania jakiegoś ustawowego obowiązku mają wynosić od 500 do 100 tys. zł, np. za brak wpisu do rejestru. Firma będzie mogła być ukarana podwójnie, raz karą zwykłą do 100 mln zł i drugi raz karą dzienną do 100 tys. zł – mówi ekspert PIIT.
Rząd nie wyjaśnił w uzasadnieniu projektu przyczyn wprowadzania kar takiej wysokości. Krzysztof Gawkowski, wicepremier i minister cyfryzacji, w niedawnym wywiadzie dla PB stwierdził, że ta ustawa jest jednym z jego priorytetów.
Urzędnicy mogliby zamykać prywatne biznesy
Również Polska Izba Komunikacji Elektronicznej (PIKE) apeluje o przystosowanie kar do wymogów dyrektywy. Bogdan Łaga, prezesa PIKE, w stanowisku izby podkreśla, że zbyt wygórowane sankcje znacznie zwiększą ryzyko prowadzenia biznesu oraz pogorszą konkurencyjność polskich firm. PIKE domaga się wykreślenia kar dziennych, a także uniemożliwienia urzędnikom nadawania karom rygoru natychmiastowej wykonalności (projekt to przewiduje).
Zgodnie z projektem resort cyfryzacji miałby także dostać uprawnienia do uniemożliwienia firmom działalności gospodarczej, odbierania im koncesji i zezwoleń, nakazywania wycofania produktów z rynku, zakazywania ich produkcji i wypuszczania na rynek czy zakazywania wysokim menedżerom pełnienia funkcji w spółkach.
Decyzja o tych sankcjach ma być wykonywana od dnia jej doręczenia, a wniesienie zaskarżenia do sądu ma nie wstrzymywać wykonalności.
PIKE apeluje o wyraźne złagodzenie restrykcji, zarzucając projektowi nadregulację. Protestuje przeciwko „nakładaniu na Polaków obowiązków, które nie spoczywają na przedsiębiorcach w innych państwach UE, dyskryminują małe i średnie firmy i są niezgodne z Konstytucją (naruszanie zasady proporcjonalności, prawa własności)”.
- rozszerzenie katalogu podmiotów zobowiązanych do obrony przed cyberatakami na kolejne branże
- nałożenie obowiązków na tzw. podmioty kluczowe oraz podmioty ważne w cyberbezpieczeństwie dotyczących stosowania odpowiednich środków technicznych i operacyjnych w celu zarządzania bezpieczeństwem w sieci
- nałożenie obowiązków na wysokich menedżerów w spółkach oraz kar finansowych dla nich za ich niewykonywanie (do trzykrotności zarobków)
- zgłaszanie incydentów przez podmioty kluczowe i ważne do ministra cyfryzacji za pomocą systemu teleinformatycznego
- nowe kary pieniężne za niewykonanie obowiązków przez podmioty kluczowe lub podmioty ważne, m.in. za niewdrożenie systemu zarządzania bezpieczeństwem informacji czy niezarejestrowanie się w wykazie podmiotów kluczowych i podmiotów ważnych.
Źródło: projekt ustawy
Podmioty kluczowe to m.in. firmy z sektorów wydobycia gazu ziemnego, ropy naftowej, węgla; energii elektrycznej, ciepłowniczej, produkcji paliw, energetyki jądrowej, transportu lotniczego, kolejowego, wodnego, drogowego; produkcji leków, zaopatrzenia w wodę, odprowadzania ścieków, komunikacji elektronicznej, zarządzania usługami ICT, podmioty publiczne (np. NBP, BGK, UKNF, PFR).
Podmioty ważne to m.in.: usługi pocztowe, gospodarowania odpadami, produkcja i dystrybucja żywności, produkcja sprzętu IT, maszyn i urządzeń, dostawy usług cyfrowych.
- zbyt obszerna nowelizacja utrudniająca firmom zrozumienie nakładanych na nie obowiązków
- brak rządowych prac przygotowujących podmioty kluczowe i ważne do realizacji obowiązków
- brak ze strony rządu materiałów pomocniczych, wyjaśnień, odpowiedzi na pytania firm
- brak narzędzi ułatwiających firmom tzw. samoidentyfikację, czyli zaliczenie się do podmiotów kluczowych czy ważnych
- brak projektów rozporządzeń do ustawy. Obawa, że zostaną wydane w ostatniej chwili, co uniemożliwi firmom przygotowanie się do nowych przepisów
Źródło: Konfederacja Lewiatan
Tyle kolejnych firm może zostać objętych obowiązkami cyberobrony kraju.