Projekt nowelizacji został opublikowany po raz pierwszy na stronie Rządowego Centrum Legislacji w kwietniu 2024 roku. Wersja po konsultacjach pojawiła się 2 października 2024 roku. I to właśnie ona budzi obawy, wyrażane głośno przez Ogólnopolską Federację Przedsiębiorców i Pracodawców Przedsiębiorcy.pl. Podmiot ten zrzesza w sumie 21 związków i organizacji oraz 107 przedsiębiorstw i samorządów, m.in. Mazowieckie Zrzeszenie Handlu, Przemysłu i Usług, Związek Telewizji Kablowych w Polsce, Polska Izba Radiodyfuzji Cyfrowej i Krajowa Izba Gospodarcza Elektryki (pełna lista członków). Argumentów krytyce dostarcza przygotowany przez Federację raport dotyczący sektora gospodarowania odpadami, który również zostanie objęty nowymi regulacjami. Skupia się on na znajomości projektowanych przepisów przez przedsiębiorców oraz szacunkowych kosztach, które trzeba będzie ponieść, by wdrożyć wymagane przez dyrektywę NIS2, bardziej zaawansowane standardy cyberbezpieczeństwa.
- Jako Federacja przedsiębiorców krytykowaliśmy te zmiany od samego początku – powiedział Robert Składkowski, prezes Przedsiębiorcy.pl. - Uważamy, że idą zbyt daleko i wykraczają poza nasze możliwości, jako właścicieli firm. Przede wszystkim jednak, przygotowując ten raport, chcieliśmy uzyskać merytoryczny argument wskazujący na problem braku informacji odnośnie do zakresu i konsekwencji tych planów legislacyjnych. Przedsiębiorcy po prostu nie wiedzą, jak doniosłe skutki mogą przynieść zmiany planowane przez Ministerstwo Cyfryzacji.
Przedsiębiorcy ostrzegają
Unijna dyrektywa NIS2 nakłada na kraje członkowskie obowiązek wprowadzenia odpowiednich rozwiązań ustawodawczych w celu zapewnienia cyberbezpieczeństwa kluczowym, krytycznym branżom, a tym samym również całym państwom. Według przedstawicieli Federacji Przedsiębiorcy.pl projekt Ministerstwa Cyfryzacji wychodzi jednak daleko poza wymagane przez NIS2 ramy. Unia Europejska nakłada nowe standardy bezpieczeństwa na sektory krytyczne, związane z infrastrukturą energetyczną i cyfrową, transportem, zdrowiem, a także m.in. z produkcją, wytwarzaniem i dystrybucją chemikaliów, żywności oraz niektórych maszyn i elektroniki. Ministerstwo Cyfryzacji w swoim projekcie rozszerza tę listę o jednostki samorządu terytorialnego, uczelnie wyższe, szkoły i inne placówki publiczne.
Teoretycznie za podmiot objęty nowymi regulacjami może być uznana tylko firma średniej wielkości lub większa. Nowelizacja przewiduje jednak wyjątki dotyczące podmiotów, w przypadku których zakłócenie świadczonej usługi może mieć znaczący wpływ na porządek, bezpieczeństwo lub zdrowie publiczne. Nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa może więc objąć także małe lub mikroprzesiębiorstwa, o ile profil ich działalności mieści się we wspomnianych kryteriach.
Według federacji Przedsiębiorcy.pl w sumie wszystkich podmiotów, na które zostaną nałożone nowe obowiązki, może być nawet 38 tysięcy. Przedstawiciele organizacji wskazują, że to więcej, niż przewiduje przygotowana przez Ministerstwo Cyfryzacji Ocena Skutków Regulacji. W samym sektorze gospodarowania odpadami, jak można wyczytać z raportu przygotowanego przez Przedsiębiorcy.pl, jest 1500 firm, które zatrudniają ponad 50 osób. Ministerstwo oszacowało, że nowe przepisy będą dotyczyć 276 podmiotów z tej branży. Federacja ostrzega, że nie jest to szacunek precyzyjny. Według niej nakreślone w projekcie kryteria uznania danego podmiotu za kluczowy, ważny lub za dostawcę wysokiego ryzyka są ogólnikowe i niejasne.
Koszty jakiego rzędu?
Wymiana sprzętu i oprogramowania na takie, które pochodzi z krajów Unii Europejskiej lub NATO, oznacza dodatkowe wydatki dla firm. Według wspomnianego raportu Przedsiębiorcy.pl 37 proc. biorących udział w ankiecie przedstawicieli firm z sektora gospodarowania odpadami posiada w zasobach swojego przedsiębiorstwa mniej niż 30 proc. maszyn, urządzeń elektronicznych i sprzętu teleinformatycznego produkcji spoza UE i NATO. Pozostałe 63 proc. ma ich więcej niż 30 proc., a w przypadku jednej czwartej wymagana przez nowe regulacje wymiana może objąć ponad połowę posiadanych zasobów. Według 75 proc. respondentów koszt tej wymiany w przypadku ich przedsiębiorstwa przekroczy 50 tysięcy złotych, a 40 proc. uważa, że będzie on wyższy niż pół miliona. Przytłaczająca większość ankietowanych – aż 97 proc. – uznaje także, że po dostosowaniu sprzętu do wymogów większe niż wcześniej będą również koszty związane z opłatami, obsługą i serwisowaniem. 63 proc. ocenia, że będą mieścić się w przedziale od 50 do 100 tysięcy złotych.
Dostosowanie się do nowych wymogów obejmie nie tylko urządzenia, ale również specjalistyczne oprogramowanie. Według raportu Przedsiębiorcy.pl w przypadku software’u koszty mogą być mniejsze. Głównie dlatego, że tylko 12,5 proc. ankietowanych bazuje na technologiach informatycznych pochodzących z innych krajów niż UE i NATO w więcej niż 50 proc. Pozostali już w większości korzystają z oprogramowania zgodnego z normami cyberbezpieczeństwa wyznaczanymi przez dyrektywę NIS2, a ponad jedna trzecia respondentów deklaruje, że w ich przedsiębiorstwie programy, które będą musiały zostać wymienione po wejściu w życie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, to mniej niż 10 proc. ogółu użytkowanych.
Mimo to w jednym z wniosków raportu przygotowanego na zlecenie Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl jest mowa o szacunkowych kosztach, które w sektorze gospodarowania odpadami mogą po zsumowaniu sięgać miliona złotych. Blisko 400 tysięcy to koszty początkowe, a pozostałe będą poniesione w sumie w ciągu pięciu lat.
Jak wskazują przedstawiciele Federacji w oparciu o swój raport, dużym problemem jest także niedostateczna znajomość planowanych zmian w przepisach. Wśród ankietowanych, zapytanych, czy znane są im konsekwencje planowanej nowelizacji dla przedsiębiorców, 72 proc. udzieliło odpowiedzi przeczącej.
Postulaty Fedreacji Przedsiębiorcy.pl
W zmieniającej się sytuacji geopolitycznej oraz wobec rosnących zagrożeń potrzebna jest znacznie większa dbałość o kwestie cyberbezpieczeństwa. Nawet jeśli będzie się to wiązało z dużymi kosztami, bo finalnie te wydatki pozwolą uniknąć jeszcze większych, które pojawiłyby się wraz z incydentami naruszenia cyberbezpieczeństwa.
Według Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl proponowana przez Ministerstwo Cyfryzacji nowelizacja wymaga korekt legislacyjnych. Zwłaszcza doprecyzowania kryteriów, zharmonizowania z mniej wymagającą dyrektywą unijną NIS2 oraz przeprowadzenia kompleksowej oceny kosztów dla 18 sektorów gospodarki objętych ustawą. Według Federacji potrzebne będzie również wsparcie dla przedsiębiorców – od niezbędnej kampanii informacyjnej, która zwiększy świadomość nadchodzących zmian i pozwoli się do nich przygotować, przez umożliwienie konsultacji z ekspertami, aż do wprowadzenia instrumentów wsparcia finansowego. Według twórców raportu wiele firm może po prostu nie udźwignąć kosztów dostosowania się do nowych norm.
Ogólnopolska Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl, wspierając się wnioskami płynącymi z wymienionego raportu, postuluje o większy zakres ścisłej współpracy Ministerstwa Cyfryzacji z organizacjami przedsiębiorców oraz otwarcie debaty publicznej na temat planowanej legislacji, w której wezmą udział sami przedsiębiorcy, a także eksperci do spraw cyberbezpieczeństwa i organizacje pozarządowe.
- Nie jesteśmy przeciwni dbałości o nasze wspólne bezpieczeństwo i samej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa – wyjaśnił Robert Składkowski z Federacji. - Jesteśmy jednak za tym, by ściśle trzymać się wymogów nakładanych przez europejską dyrektywę NIS2. Naszym zdaniem projekt Ministerstwa wykracza poza nią zbyt daleko. Możliwe nawet, że w rejony, do których dotarcie tak naprawdę nie jest w tym momencie realne. Nowelizacja zdecydowanie wymaga więcej pracy i chcielibyśmy, żeby nasz głos, jako pracodawców, którzy będą ponosić koszty zmian, został w trakcie tych prac wzięty pod uwagę.
Płatna współpraca z Ogólnopolską Federacją Przedsiębiorców i Pracodawców Przedsiębiorcy.pl