– Nie mówimy o interesie jednej czy drugiej firmy, mówimy o bezpieczeństwie narodowym. Uważam, że ustawa jest wręcz za łagodna – mówił we wtorek na spotkaniu z prasą i posłami Michał Kanownik, prezes Związku Polska Cyfrowa. Jego zdaniem nieprawdą jest, że nowelizacja ustawy o KSC to nadregulacja: implementuje ona dyrektywę NIS 2 i przewodnik 5G Toolbox.

Chińskie głosy protestu

Jakub Bińkowski z ZPP przekonywał, że jeśli nawet polska ustawa w jakimś aspekcie jest bardziej restrykcyjna niż ustawy implementujące NIS 2 w innych państwach członkowskich UE, to wynika to z sytuacji geopolitycznej i geograficznego położenia Polski. Stwierdził też, że ze względu na bezpieczeństwo państwa regulacja musi przewidywać procedurę o charakterze politycznym.

– Nie słyszę protestów firm japońskich czy koreańskich, słyszę bardzo głośne protesty i nawet szantaże wobec polskiego rządu ze strony firm chińskich. Jest konkretna grupa firm, która ma obawy dotyczące tego projektu – mówił przedstawiciel ZPP.

Przytaczał stanowiska innych organizacji biznesowych krytyczne wobec projektu, wytykając ich autorom m.in. organizowanie konferencji sponsorowanych przez chińską firmę Huawei.

– Koledzy i koleżanki wykorzystują swoje uprawnienia organizacji reprezentatywnej, by sabotować procedowanie tego projektu. Nie każdy projekt należy realizować, nie każde pieniądze należy brać – mówił.

NIS 2 i nowe obowiązki

Dyrektywa NIS 2, a za nią polska ustawa, nakładają nowe wymogi związane m.in. z zarządzaniem ryzykiem i zgłaszaniem incydentów dotyczących cyberbezpieczeństwa. Muszą je spełniać nie tylko przedsiębiorcy zajmujący się infrastrukturą krytyczną. Tzw. podmiotami ważnymi w myśl załącznika do projektowanej ustawy są m.in. producenci maszyn i urządzeń i wyrobów medycznych, a nawet samorządowe instytucje kultury. Wymagania dotyczą też ich poddostawców, kontrahentów i klientów biznesowych.

– Widzimy wiele incydentów, które uczą, że gdyby firmy pomyślały trzy miesiące wcześniej, to teraz nie ucierpiałby ich wizerunek. Nie musiałyby informować swoich klientów o tym, że są trochę mało godne zaufania. Te firmy się uczą i wiedzą, że wymogi cyberbezpieczeństwa nie są kosztem, a inwestycją – przekonywał płk Adam Suszek z Wojsk Obrony Cyberprzestrzeni.

Uczestnicy konferencji koncentrowali się na obronie projektowanych przepisów o dostawcach wysokiego ryzyka (DWR). Ustawa da podstawy, by produkty, usługi lub procesy teleinformatyczne takich dostawców zostały wycofywane z użytkowania po upływie czterech lat od decyzji. W uzasadnieniu przepisów mowa jest o bezpieczeństwie sieci 5G, pojawiały się też głosy, że w ten sposób wycofane zostaną chińskie komponenty instalacji fotowoltaicznych.

– Regulacje w zakresie DWR i wycofywania przedmiotu – nie dostawcy, nie firmy, a przedmiotu – są według mnie wręcz asekuracyjne. Trudno doszukiwać się elementów nadmiernego obciążania rynku. Uważam wręcz, że jeżeli urządzenie jest niebezpieczne, należałoby je usunąć niezwłocznie, a nie czekać 4 lata – mówił Michał Kanownik.