Rząd zmienia zasady cyberbezpieczeństwa  – samorządy zapłacą

Na temat unijnej dyrektywy NIS2 swoje opinie przedstawili:

• Andrzej Sadowski, prezydent Centrum im. Adama Smitha,
• dr hab. Marcin Górski, wykładowca na wydziale prawa i administracji Uniwersytetu Łódzkiego,
• Anna Gołębicka, ekonomistka, strateżka komunikacji i zarządzania.

Aby odpowiedzieć na zmieniający się krajobraz cyfrowy i coraz bardziej zaawansowane ataki cybernetyczne, Unia Europejska przygotowała dyrektywę NIS 2 (Network and Information Systems Directive 2), która określa nowe zasady bezpieczeństwa dla operatorów usług kluczowych w sektorze publicznym oraz w energetyce, bankowości i opiece zdrowotnej. Polska należy do mniejszości państw w UE, które zdecydowały się objąć wszystkie samorządy lokalne rygorami ustawy o cyberbezpieczeństwie, która wdraża unijną dyrektywę NIS 2 – samorządy terytorialne zostaną pozbawione dostępu do konkurencyjnych usług i towarów. Nadzwyczajne i kolejne dodatkowe wydatki mogą stać się czynnikiem załamania się finansów publicznych – ostrzega Andrzej Sadowski, prezydent Centrum im. Adama Smitha.

KOSZTOWNE AUDYTY

NIS 2 weszła w życie 16 stycznia 2023 r. Termin implementacji nowych wymagań minął 17 października 2024 r. Resort cyfryzacji przygotował projekt implementacji dyrektywy NIS 2, który zawiera rozwiązania surowsze od zawartych w treści dyrektywy. Wprowadza m.in. obowiązek podania w ciągu 7 dni kalendarzowych informacji, czy dany podmiot należy kwalifikować jako kluczowy lub ważny z punktu widzenia bezpieczeństwa państwa.
Ponadto, jak zauważa dr hab. Marcin Górski, wykładowca na wydziale prawa i administracji Uniwersytetu Łódzkiego, specjalista w zakresie prawa europejskiego, polski projekt implementacji NIS 2 nakłada na firmy i grupę instytucji, w tym jednostki samorządu terytorialnego, obowiązek przeprowadzenia audytu, który ma określić, czy dostawcy towarów i usług należą do grupy bezpiecznych z punktu widzenia bezpieczeństwa państwa.
– Projekt ustawy zakłada, że termin na realizację zaleceń audytora określa audytor. W rezultacie przedsiębiorca będzie musiał stanąć na głowie i wdrożyć zalecenia, najpewniej płacąc za audyt nieporównywalnie więcej niż dotychczas, bo popyt na audytorów będzie się zwiększał w gwałtownym tempie – podkreśla Marcin Górski.
Kosztowne audyty, które będą musiały przeprowadzić samorządy terytorialne (2479 gmin, 315 powiatów i 16 województw), to nie koniec kłopotów związanych z implementacją dyrektywy NIS 2 w wersji zaproponowanej przez resort cyfryzacji.

DECYZJA O WYKLUCZENIU BEZ KRYTERIÓW

Dr hab. Marcin Górski zaznacza, że projekt ustawy implementującej NIS 2 wprowadza do polskiego systemu prawnego rozwiązania, których ta dyrektywa w ogóle nie przewiduje.
– Jednym z tych, które w projekcie nowelizacji o cyberbezpieczeństwie budzą bodaj największe wątpliwości, jest przyznanie ministrowi cyfryzacji uprawnień do orzekania, kto jest dostawcą wysokiego ryzyka – mówi Marcin Górski.
Ekspert zaznacza, że ustawodawca nie podaje kryteriów, na podstawie których minister cyfryzacji oceniałby, czy daną firmę można zaliczyć do grupy dostawców wysokiego ryzyka.
– Minister cyfryzacji dostaje rolę arbitra nieskrępowanego żadnymi przesłankami, na podstawie których wydaje decyzję administracyjną – mówi Marcin Górski. – Jego decyzja jest natychmiastowo wykonalna. Naturalnie, przedsiębiorca będzie mógł ją zaskarżyć w sądzie administracyjnym. Ale sądy administracyjne badają sprawy pod kątem zgodności decyzji z prawem, a nie faktografii. Na dodatek w wielu przypadkach przesłanki, na podstawie których będzie opierał się szef resortu cyfryzacji, będą miały charakter niejawny i strony nie będą mogły ich podnieść w trakcie postępowania – dodaje.
Marcin Górski podkreśla, że uznanie danego przedsiębiorcy za dostawcę wysokiego ryzyka będzie równoznaczne z całkowitym wykluczeniem z działalności na polskim rynku.
– Zgodnie z projektem nowelizacji dotychczasowi kontrahenci, dostawcy ze statusem wysokiego ryzyka, będą musieli zerwać z nim dotychczasowe kontrakty, dostaną zakaz utrzymywania z nim stosunków handlowych – mówi. – Jeśli weźmiemy pod uwagę czas trwania postępowań sądowych w Polsce, można stwierdzić, że firmy zakwalifikowane jako dostawcy wysokiego ryzyka zostaną pozbawione efektywnego środka ochrony prawnej. Zostaną zdewastowane przez arbitralną decyzję ministra cyfryzacji, podjętą w pewnej mierze na podstawie informacji niejawnych – dodaje.

OGRANICZONY DOSTĘP DO KONKURENCYJNYCH TECHNOLOGII

Anna Gołębicka, ekonomistka, strateżka komunikacji i zarządzania, zauważa, że projekt implementacji dyrektywy NIS 2 ma cechy zbyt daleko posuniętej regulacji, która ograniczy dostęp samorządów terytorialnych do najbardziej konkurencyjnych towarów i usług.

– Trzeba zawsze wyważyć granicę między bezpieczeństwem, a stawianiem naszego krajowego rynku na mniej konkurencyjnej pozycji, niż inne kraje UE. W praktyce zmiana regulacji dotyczących cyberbezpieczeństwa może na przykład oznaczać konieczność wymiany wszystkich komputerów należących do samorządowych urzędów, których kraj pochodzenia zostanie uznany za nieprzyjazny Polsce – mówi ekspertka. – Może to też oznaczać ograniczenie dostępu do konkurencyjnych technologii – dodaje.
W ocenie ekspertki projekt nowelizacji ustawy o cyberbezpieczeństwie wychodzi naprzeciw lękom, które są obecne w zbiorowej świadomości.
– Tym hulającym teoriom spiskowym, jak np. że produkowane w danym kraju igły są skażone trucizną, przez którą każda z osób nimi zaszczepionych umrze, po nieco bardziej zrozumiałe, że telefony komórkowe służą głównie do pozyskiwania danych o ich użytkownikach – dodaje.

OBCE NIE OZNACZA NIEBEZPIECZNE

Tymczasem Andrzej Sadowski podkreśla, że nie powinno się uzależniać oceny technologii od kraju pochodzenia.
– Kupujemy przecież technologię, a nie firmę, która ją posiada – mówi. – Jeśli wprowadzimy kryterium państwa pochodzenia przy wyborze dostawców technologii, eliminujemy te, które mogą okazać się najbardziej konkurencyjne. Tymczasem nawet technologie z państw uchodzących za nieprzyjazne można zaadoptować tak, by nie stanowiły zagrożenia dla bezpieczeństwa państwa. Przykładem państwa, które jest otwarte na technologie z całego świata i stosuje je bezpiecznie u siebie, jest Izrael – zauważa prezydent Centrum im. Adama Smitha.
W ocenie Andrzeja Sadowskiego implementacja unijnej dyrektywy NIS 2 w zaproponowanym przez resort cyfryzacji kształcie nałoży na samorządy dodatkowe obciążenia finansowe.
– Ze względu na niewywiązywanie się przez rząd z należytego finansowania edukacji, samorządom brakuje obecnie 40 mld zł rocznie – mówi. – Ostatnio ponoszą też dodatkowe wydatki na pomoc finansową dla osób dotkniętych powodzią. W tej sytuacji zobowiązywanie ich do kolejnych wydatków, wynikających z wymiany sprzętu i ograniczenia dostępu do najbardziej konkurencyjnych technologii i towarów, jest nie do przyjęcia – dodaje ekspert.

KU ZAŁAMANIU FINANSÓW PUBLICZNYCH

Andrzej Sadowski zauważa, że resort cyfryzacji nie podał szacunkowych kosztów, które wywoła nowelizacja ustawy o cyberbezpieczeństwie w zaproponowanym kształcie.
– Jako jedyne w UE polskie samorządy będą zobowiązane do wymiany już użytkowanych technologii i sprzętu od dostawców, których szef resortu cyfryzacji uzna za dostawców wysokiego ryzyka – mówi ekspert. – Na pewno będzie się to wiązało z bardzo wysokimi kwotami, które w skali kraju mogą być jednym z czynników, które wywołają załamanie finansów publicznych – zaznacza Andrzej Sadowski.
– Regulacje prawne dotyczące cyberbezpieczeństwa wymagają nowelizacji i dostosowania do prawa unijnego – mówi Anna Gołębicka. – Jednak nie powinny być oparte na mechanizmie jednoosobowej decyzji ministra cyfryzacji. Bardziej wskazane byłoby np. wprowadzenie przepisów, które decyzje o nadaniu statusu dostawcy wysokiego ryzyka dawałyby kolegium ministrów: szefów MON, cyfryzacji, MSZ i resortu, w obszarze którego działa dana instytucja lub firma. Dodatkowo ewentualne rekomendacje, które wyklucza dany podmiot z polskiego rynku, powinien zatwierdzać premier. W takim modelu byłoby jasne, że decyzje takie są pojedynczym, koniecznym odstępstwem od reguły, a nie arbitralnymi regulacjami ograniczającymi konkurencyjność – podsumowuje ekspertka.