WNIOSEK O DODATKOWE KONSULTACJE W SPRAWIE PROJEKTU USTAWY O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA (UD68)
Warszawa, 12 października 2022 roku
Sz. P.
Mateusz Morawiecki
Prezes Rady Ministrów, Minister Cyfryzacji
Al. Ujazdowskie 1/3
00-001 Warszawa
WNIOSEK O DODATKOWE KONSULTACJE
W SPRAWIE PROJEKTU USTAWY
O KRAJOWYM SYSTEMIE CYBERBEZPIECZEŃSTWA (UD68)
Szanowny Panie Premierze,
w związku z opublikowaniem w dniu 05 października 2022 roku w biuletynie informacji publicznej Ministra Cyfryzacji projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych (UD68) (dalej „Nowelizacja KSC”), jako organizacja działająca na rzecz małych i średnich przedsiębiorstw (dalej „MŚP”), zwracamy się do Pana Premiera z wnioskiem o:
- niezwłoczne przeprowadzenie dodatkowych konsultacji publicznych oraz zorganizowanie konferencji uzgodnieniowej z udziałem MŚP, które w szczególności objęłyby m.in. zmianę art. 66a ust.5 i włączenie MŚP w postepowanie w sprawie uznania za dostawcę wysokiego ryzyka;
- przeprowadzenie kampanii informacyjnej dedykowanej MŚP, której celem będzie przybliżenie przedsiębiorcom nowych obowiązków wynikających z nowelizacji KSC;
- wstrzymania prac nad dalszym procedowaniem Nowelizacji KSC do czasu przeprowadzenia konsultacji publicznych.
Poniżej przedstawiamy argumenty świadczące o tym, że przyjęcie Nowelizacji KSC w obecnym brzmieniu wpłynie negatywnie na tak kluczowy segment gospodarki polskiej jakim są MŚP.
- Wyłączenie MŚP z postępowania w sprawie uznania za dostawcę wysokiego ryzyka – art. 66a ust. 5 Nowelizacji KSC
Pragniemy zauważyć, że w obecnym brzmieniu Nowelizacji KSC zostało utrzymane brzmienie art. 66a ust. 5 które zakłada, że do postępowania o uznanie za dostawcę wysokiego ryzyka mogą dołączyć tylko ci przedsiębiorcy, którzy w poprzednim roku osiągnęli przychody większe niż 113 mln zł za 2021 rok (20.000 krotność przeciętnego wynagrodzenia w gospodarce narodowej w roku ubiegłym). Wielokrotnie przedsiębiorcy z sektora MŚP wskazywali, że taki zapis w rezultacie wyklucza ich możliwość udziału w postępowaniu, pomimo faktu, że ewentualne decyzje w postepowaniu będą mieć bezpośredni wpływ na MŚP.
Należy wskazać, że decyzja o uznaniu danego dostawy za dostawcę wysokiego ryzyka i związane z taką decyzją konsekwencje dotkną najbardziej przedsiębiorców telekomunikacyjnych oraz dostawców sprzętu z segmentu MŚP. W przypadku wydania takiej decyzji, to właśnie ci przedsiębiorcy będą zobowiązani ponieść koszt wymiany sprzętu, a swoboda w działalności gospodarczej dystrybutorów sprzętu zostanie ograniczona (poprzez likwidację popytu na określone towary – zakaz wprowadzania tych towarów do użytkowania). Niewątpliwie wynik postępowania w sprawie uznania za dostawcę wysokiego ryzyka będzie bezpośrednio wpływać na prawa i obowiązki przedsiębiorców z sektora MŚP, zatem powinni oni mieć prawo czynnego udziału w takim postępowaniu.
Pragniemy przypomnieć, że już w liście Prezesa KIKE, Pana Karola Skupnia do Pana Premiera, który dotyczył wersji projektu nowelizacji KSC z dnia 15 marca 2022, Prezes KIKE wskazywał argumenty, dlaczego zmiana art. 66a ust.5 jest tak istotna dla segmentu MŚP – niestety ówczesne argumenty nie zostały uwzględnione w obecnym projekcie Nowelizacji KSC. Dlatego raz jeszcze zwracamy się z prośbą o przeprowadzenie konsultacji oraz konferencji uzgodnieniowej z udziałem MŚP, w szczególności w zakresie omawianego przepisu i wypracowanie kompromisowego rozwiązania, które ochroni interesy sektora MŚP.
- Negatywne skutki finansowe dla sektora MŚP
Wyłączenie możliwość korzystania z dostawców uznanych za dostawców wysokiego ryzyka przez przedsiębiorców będzie generowało dla nich dodatkowe koszty, zarówno koszty bezpośrednie związane z wymianą sprzętu w wyznaczonym okresie czasu, jak i koszty związane z koniecznością korzystania z droższego dostawcy. Należy zaznaczyć, że odebranie przedsiębiorcom możliwości skorzystania z podmiotu tańszego, który bazuje na równie bezpiecznej technologii co inni na rynku, ale ocenionego jako dostawcę wysokiego ryzyka redukuje możliwość szybkiego rozwoju mniejszym firmom i ogranicza ich konkurencyjność na rynku europejskim.
Dodatkowo, zauważamy, że do dzisiaj nie zostały przewidziane żadne realne wsparcie finansowe dla MŚP w związku z koniecznością dostosowania się do Nowelizacji KSC oraz do ewentualnych decyzji wydanych na jej podstawie. Należy zauważyć, że przedsiębiorcy z segmentu MŚP będą musieli ponieść koszty niewspółmiernie wyższe niż duzi przedsiębiorcy, w szczególności te związane z wymianą sprzętu.
- Brak przygotowania sektora MŚP na Nowelizację KSC
Nowelizacja KSC przewiduje nieproporcjonalne obciążenie MŚP obowiązkami w zakresie cyberbezpieczeństwa. Jako przykład należy wskazać przedsiębiorców komunikacji elektronicznej będących mikro-, małymi i średnimi przedsiębiorcami, którzy zostaną włączeni do krajowego systemu cyberbezpieczeństwa. Przedsiębiorcy będą musieli wypracować i wdrożyć wewnętrzne procedury w zakresie stosowania środków technicznych i organizacyjnych zapewniających bezpieczeństwo sieci, procedury w zakresie obsługi incydentów telekomunikacyjnych oraz będą musieli wypracować kanały komunikacji z CSIRT Telco oraz z właściwym CSIRT poziomu krajowego.
Należy zauważyć, że poziom świadomości w zakresie Nowelizacji KSC jest na dzień dzisiejszy niski – proces konsultacji do tej pory był skupiony na sektorze dużych przedsiębiorstw telekomunikacyjnych z wyłączeniem realnego udziału przedstawicieli sektora MŚP. Takie podejście spowodowało, że sektor MŚP nie jest obecnie przygotowany na nowe obowiązki ani merytorycznie, ani finansowo, ani jeżeli chodzi o posiadane kompetencje w organizacjach. Dodatkowo należy zauważyć, że zgodnie z obecną wersja Nowelizacji KSC, ma ona wejść w życie 30 dni od dnia jej ogłoszenia, co zdecydowanie jest terminem zbyt krótkim na dostosowanie się do nowej regulacji dla przedsiębiorców z sektora MŚP.
W związku z powyższym wnioskujemy o przeprowadzenie kampanii informacyjnej wśród sektora MŚP w całej Polsce, która pozwoli przedsiębiorcom zrozumieć nadchodzące obowiązki i lepiej przygotować się na ich wdrożenie.
- Dodatkowe obowiązki wynikające z Dyrektywy NIS 2 i niepewność prawna
Pragniemy zauważyć, że obecnie trwają bardzo zaawansowane prace nad przyjęciem nowej Dyrektywy NIS 2, które mają zakończyć się w przeciągu najbliższych tygodni. Analiza Dyrektywy NIS 2 i obecnej wersji Nowelizacji KSC pokazuje, że Nowelizacja KSC nie adresuje na ten moment wszystkich zaleceń i obowiązków NIS 2. Dodatkowo istniejące rozbieżności pomiędzy obiema regulacjami, również w zakresie obowiązków nakładanych na MŚP, spowodują negatywne zjawisko niepewności prawa oraz daleko idące skomplikowanie systemu prawnego w zakresie cyberbezpieczeństwa. Zauważamy, że już teraz przedsiębiorcy z sektora MŚP mają trudności w zrozumieniu zakresu nowych obowiązków wynikających z Nowelizacji KSC. Dodatkowe obowiązki wynikające z Dyrektywy NIS 2, w połączeniu z niepewnością po stronie sektora MŚP w zakresie wymogów jakie w danym momencie obowiązują, może stworzyć środowisko skrajnie niesprzyjające tak potrzebnym w sektorze cyberbezpieczeństwa inicjatywom i inwestycjom.
Biorąc pod uwagę obecną treść Nowelizacji KSC oraz jej skutki gospodarcze dla sektora dla MŚP, brak dostatecznego przygotowanie sektora MŚP na nowe regulacje oraz sprzeczność krajowych przepisów z projektowaną Dyrektywą NIS 2, zwracamy się z prośbą o pilne przedstawienie projektu do konsultacji publicznych i zorganizowanie konferencji uzgodnieniowej, w ramach procedury wskazanej w §36 oraz §44 Regulaminu pracy Rady Ministrów.
Z poważaniem,
_________________
[●]
Krzysztof Fujarski - Stowarzyszenie e-Południe / Grupa MiŚOT Skontaktuj się z autorem petycji