Dr Marek Woch, radca prawny z upoważnienia rzecznika małych i średnich przedsiębiorców przesłał do ministra cyfryzacji swoje stanowisko do projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy prawo zamówień publicznych. Wskazał też, że zawarte w nim wymogi powinny być spójne z projektem nowego prawa komunikacji elektronicznej.
Projekt zakłada przebudowę modelu współpracy w ramach krajowego systemu cyberbezpieczeństwa. Zgodnie z nim m.in. dostawcy sprzętu lub oprogramowania będą mogli zostać poddani procedurze sprawdzającej pod kątem zagrożeń dla społeczno-ekonomicznego bezpieczeństwa państwa. W przypadku, w którym zostaną zidentyfikowani jako źródło zagrożenia, zostaną wyłączeni z systemu zamówień publicznych w Polsce. Skutkiem sporządzonej oceny będzie mogło być zobowiązanie podmiotów krajowego systemy cyberbezpieczeństwa do ograniczenia z korzystania produktów, oprogramowania i usług danego dostawcy sprzętu lub oprogramowania. Projektowane przepisy oznaczają więc nowe obowiązki i kary, i to już 21 grudnia 2020 roku, bo tego dnia mają wejść w życie.
Czytaj, co jeszcze przewiduje projekt nowelizacji ustawy o cyberbezpieczeństwie >>
Projekt nie uwzględnia skutków dla małych i średnich firm
Rzecznik MŚP zwrócił uwagę, że projekt wymaga dostosowania jego rozwiązań do zasad Konstytucji Biznesu, w szczególności zasady proporcjonalności i adekwatności. Rzecznik wskazał, że Konstytucja Biznesu ma charakter gwarancyjny dla ok. 6000 mikroprzedsiębiorców oraz małych i średnich przedsiębiorców z branży telekomunikacyjnej. Ma to istotne znaczenie, bowiem nakładanie obowiązków w zakresie cyberbezpieczeństwa wiąże się z istotnymi nakładami, co stanowi istotne obciążenie głównie dla najmniejszych firm krajowych. Dlatego też uzasadnienie do projektu powinno zostać uzupełnione o przewidywany jego wpływ na mikro, małe i średnie firmy. Tymczasem w OSR czytamy, że nowe przepisy dotyczą jedynie 4,2 tys. podmiotów - firm z branży telekomunikacyjnej, administracji, a także producentów sprzętu informatycznego i dostawców oprogramowania Co się zmieni?
Dr Marek Woch wskazuje też, że projekt nie wyłącza mikroprzedsiębiorców z obowiązku sporządzenia i posiadania planu działań w sytuacjach szczególnego zagrożenia, choć obecnie ustawa przewiduje takie wyłączenie. Dodatkowo rzecznik postuluje, by je rozszerzyć na małe i średnie firmy. Jak wyjaśnia nakłady związane z bezpieczeństwem sieci, usług i cyberbezpieczeństwem należą do istotnie obciążających najmniejsze firmy, które posiadają mniej rozbudowane struktury niż międzynarodowe korporacje.
Potrzebne dodatkowe kryteria
Ponadto zgodnie z projektem przedsiębiorcy komunikacji elektronicznej staną się częścią krajowego systemu cyberbezpieczeństwa. Wprowadzona zostanie nowa kategoria incydentu – incydent telekomunikacyjnego. Rzecznik MŚP zwraca uwagę, że Europejski kodeks łączności elektronicznej nakazuje uwzględnienie zasady proporcjonalności przy określaniu istotności wpływu danego incydentu na zagrożenie dla bezpieczeństwa sieci lub usług. Dlatego rzecznik MŚP uważa, że projekt ustawy powinien uwzględniać określone parametry, jak liczbę użytkowników, których dotyczy incydent związany z bezpieczeństwem, jego czas trwania, zasięg geograficzny, wpływ na funkcjonowanie sieci i usług, ale także działalność społeczną i ekonomiczną.
Dodatkowo rzecznik zwrócił uwagę, że równolegle procedowany jest projekt nowego prawo komunikacji elektronicznej. I jego zdaniem, w celu uniknięcia wprowadzenia sprzecznych uregulowań z dotyczącymi bezpieczeństwa sieci i usług, to w kodeksie powinno się określić kompleksowe i spójne regulacje.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.