Kategorie produktów

Krajowy System Cyberbezpieczeństwa – potrzebne zmiany z perspektywy MŚP

Poniedziałek, 14 kwietnia 2025 HURT & DETAL Nr 04/230. Kwiecień 2025

Projekt nowelizacji KSC jest jednym z najważniejszych projektów procedowanych przez Rząd z punktu widzenia warunków prowadzenia działalności gospodarczej w Polsce. Projekt nowelizacji KSC zmierza jednak nie tylko do transpozycji dyrektywy NIS2, lecz również do wdrożenia dokumentu tzw. 5G Toolbox, który w założeniu nie powinien mieć w ogóle zastosowania do podmiotów MŚP.

Projekt nowelizacji KSC, w zakresie, w którym wprowadza przepisy niewynikające z harmonizacji NIS2 (przede wszystkim projektowany rozdział 12a ustawy o krajowym systemie cyberbezpieczeństwa):

wykracza znacznie poza ramy NIS2, ponieważ przewiduje możliwość zastosowania zakazu nabywania wybranych kategorii sprzętu i oprogramowania oraz nakazu wycofania sprzętu lub oprogramowania dostawcy wysokiego ryzyka w odniesieniu do sprzętu i oprogramowania, który nie realizuje funkcji krytycznych dla infrastruktury w 18 sektorach wymienionych w dyrektywie NIS2;
procedura i kryteria dotyczące wydania decyzji o nakazaniu wyeliminowania określonych producentów, czy też zakazie korzystania z ich sprzętu i usług, jest arbitralna i nietransparentna;
konstrukcyjnie nie pozwala na przestrzeganie zasady proporcjonalności, ponieważ:

a. aktualnie, na etapie tworzenia przepisów Ministerstwo Cyfryzacji odmawia uzupełnienia Oceny Skutków Regulacji o skutki finansowe usunięcia różnych typów sprzętu i oprogramowania różnych producentów, z uwzględnieniem różnych scenariuszy;

b. procedura wydania decyzji uznającej dostawcę za dostawcę wysokiego ryzyka nie zawiera etapu ustalania skutków finansowych nakazu usunięcia określonych typów sprzętu lub oprogramowania („typów produktów ICT, rodzajów usług ICT lub konkretnych procesów ICT”, zgodnie z terminologią projektu nowelizacji KSC);

c. zatem ani Kolegium do Spraw Cyberbezpieczeństwa, ani Minister Cyfryzacji nie będzie dysponował żadnymi informacjami umożliwiającymi ocenę, czy decyzja nakazująca usunięcie produktów i usług od określonego dostawcy jest zgodna z zasadami proporcjonalności, czy też nie.
4) w sposób jawny dyskryminuje mikro-, małych i średnich przedsiębiorców, którzy będą podlegać pod reżim znowelizowanej KSC, ponieważ:

a. dopuszcza do udziału w postępowaniu w sprawie uznania dostawcy za dostawcę wysokiego ryzyka, w charakterze strony, samego dostawcę oraz kilkunastu największych przedsiębiorców telekomunikacyjnych (osiągających poziom przychodów z tytułu prowadzenia działalności telekomunikacyjnej w wysokości dwudziestotysięcznej krotności przeciętnego wynagrodzenia w gospodarce narodowej), zatem żadnego przedsiębiorcy MŚP;

b. nie dopuszcza do udziału w postępowaniu w sprawie uznania dostawcy za dostawcę wysokiego ryzyka, w charakterze strony, żadnego innego podmiotu niż sam potencjalny dostawca oraz kilkunastu największych przedsiębiorców telekomunikacyjnych z żadnego z sektorów, których może dotknąć regulacja dostawcy wysokiego ryzyka, ani żadnej organizacji społecznej.

Należy podkreślić, że bezpośrednie skutki wydania decyzji o nakazaniu usunięcia sprzętu od określonych producentów poniosą przedsiębiorcy korzystający z tego sprzętu. To ci przedsiębiorcy zostaną bowiem obciążeni obowiązkiem zakazu nabywania oraz nakazu wycofania z użytkowania określonych typów sprzętu i oprogramowania dostawcy wysokiego ryzyka. Trzeba także podkreślić, że w innych państwach przewidziano także inne metody usuwania podatności wykrytych w sprzęcie i oprogramowaniu niż nakaz usuwania czy też zakaz wykorzystywania sprzętu od danego producenta.

Maciej Ptaszyński, Prezes Zarządu Polskiej Izby Handlu

tagi: Krajowy System Cyberbezpieczeństwa , MŚP , biznes , ekonomia , gospodarka , finanse ,