KSC: nadregulacja czy konieczność
W centrum sporów znalazło się rozszerzenie katalogu podmiotów, które zostaną objęte nowymi obowiązkami. Projekt mówi nawet o 40 tysiącach firm, co znacząco przekracza minimalne wymagania stawiane przez Brukselę. Wiceminister cyfryzacji Paweł Olszewski wskazywał na skalę zagrożeń, przypominając, że tylko w tym roku odnotowano ponad 200 tysięcy poważnych incydentów. Dla rządu priorytetem jest więc stworzenie skutecznego systemu obrony.
Eksperci i przedsiębiorcy zgadzają się co do potrzeby wzmocnienia ochrony cyfrowej, jednak wielu z nich ma wątpliwości co do kształtu proponowanych rozwiązań. Profesor Artur Nowak-Far z Polskiego Towarzystwa Gospodarczego zauważył, że polski projekt wykracza poza unijne minimum. Jego zdaniem różnice w regulacjach między krajami mogą prowadzić do niekorzystnego zjawiska arbitrażu technologicznego, gdzie zagraniczne firmy będą mogły dyktować niekorzystne warunki handlowe.
Konstytucjonalista profesor Marek Chmaj zwrócił uwagę na poszerzony katalog sektorów uznanych za kluczowe i ważne. Taka rozbudowana lista może być szczególnie uciążliwa dla mniejszych przedsiębiorstw, które nie mają zasobów, by szybko wdrożyć skomplikowane procedury zgodności. To realne ryzyko, że koszty administracyjne uderzą w konkurencyjność właśnie tych podmiotów.
Czytaj też: Długi czas pracy, bardzo jasny AMOLED i przystępna cena. OnePlus Watch Lite oficjalnie zaprezentowany
Kość niezgody – Dostawcy Wysokiego Ryzyka (HRV)
Najgorętsze emocje wzbudza mechanizm klasyfikacji Dostawców Wysokiego Ryzyka. Piotr Podgórski z Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców wskazywał na brak jasnych kryteriów w tej procedurze. Środowisko biznesowe obawia się, że nieostre definicje mogą otworzyć drogę do decyzji politycznych, a nie merytorycznych, co wprowadzi niepewność i zamrozi długoterminowe inwestycje.
Projekt daje firmom uznanym za wysokie ryzyko siedem lat na wymianę infrastruktury. Dla wielu przedsiębiorców to niewyobrażalnie krótki horyzont, a koszty takiej operacji sięgnęłyby milionów złotych. Co istotne, ustawa nie przewiduje żadnych form rekompensaty. Kinga Pawłowska-Nojszewska z Krajowej Izby Komunikacji Ethernetowej podkreślała dysproporcję – podczas gdy unijny 5G Toolbox dotyczyłby w Polsce może czterech operatorów, nowe przepisy miałyby objąć dziesiątki tysięcy podmiotów.
Stanowisko Ministerstwa Cyfryzacji jest jednoznaczne. Wiceminister Olszewski argumentował, że położenie Polski na wschodniej flance NATO oraz bezpośrednie sąsiedztwo z Rosją wymagają bardziej rygorystycznego podejścia niż unijne minimum. Większość krajów członkowskich już wdrożyła narzędzia z zakresu bezpieczeństwa sieci 5G, a Polska musi nadrobić powstałe zaległości.
Minister zapewniał, że procedura uznania dostawcy za wysokie ryzyko nie będzie arbitralna. Ma to być wieloetapowy proces z udziałem kolegium eksperckiego i z zachowaniem prawa do odwołania się do sądu. Nowe rozwiązania mają dotyczyć konkretnych produktów, a nie piętnować całych firm.
Narrację o wyjątkowej skali zagrożenia zakwestionował jednak Mariusz Busiło z Polskiej Izby Informatyki i Telekomunikacji. Powołał się na dane Microsoftu, z których wynika, że Polska nie znajduje się w ścisłej czołówce krajów najbardziej narażonych na cyberataki, nawet te pochodzące z Rosji.
Postulaty biznesu – więcej czasu na zmiany i włączenie w tworzenie szczegółowych rozwiązań
Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji, deklarował wsparcie dla szybkiego przyjęcia ustawy, ale zaapelował o ścisłą współpracę z branżą przy opracowywaniu aktów wykonawczych. To właśnie te szczegółowe przepisy zadecydują o tym, jak nowe prawo będzie funkcjonować w praktyce.
Przedsiębiorcy wysunęli konkretne postulaty. Domagają się wydłużenia okresu przejściowego na dostosowanie się do przepisów oraz wprowadzenia okresu karencji, w którym nie będą nakładane kary. Małe i średnie firmy potrzebują po prostu czasu na zbudowanie niezbędnych kompetencji i procedur. Profesor Chmaj wskazał również na potencjalne problemy konstytucyjne, jak cenzus majątkowy dyskryminujący mniejsze podmioty czy uprzywilejowana pozycja Krajowego Operatora Komunikacji Bezpieczeństwa, która może zakłócić konkurencję.
Co dalej z ustawą?
Mimo burzliwej dyskusji, prace nad projektem trwają. Rząd znajduje się pod presją czasu – termin implementacji dyrektywy NIS2 minął w październiku 2024 roku, a Polsce grożą kary finansowe za opóźnienia. Ministerstwo Cyfryzacji zapowiada, że choć jest otwarte na drobne korekty, to filary ustawy, w tym mechanizm HRV, pozostaną nienaruszone.
Projekt trafił do dalszych prac w komisji, a branża zapowiada dalszą walkę o przepisy, które – ich zdaniem – powinny opierać się na kryteriach technicznych, a nie geopolitycznych.