- Rosja i Białoruś prowadzą niezwykle agresywne działania w stosunku do Polski. Z roku na rok liczba cyberataków i incydentów zwiększa się o kilkadziesiąt procent. W zeszłym roku było ich ok. 118 tys., a w tym roku było już ponad 200 tys. ataków i incydentów – referował wiceminister.

Dużo miejsca poświęcił przepisom o dostawcach wysokiego ryzyka, które pozwolą wyeliminować sprzęt i oprogramowanie uznane za niebezpieczne. Porównał tę instytucję do sytuacji, w której sanepid eliminuje z rynku partie leków lub produktów spożywczych mogących być zagrożeniem dla zdrowia. I ostrzegał w tym kontekście przed dezinformacją, „która krąży w przestrzeni publicznej, zaszczepiana przez różnego rodzaju wrogie siły”.

Niestety, nie sposób nie odnieść wrażenia, że w wyjaśnieniu zawiłości projektowanych przepisów ministerstwu konsekwencji i przejrzystości niekiedy brakuje. Ten sam wiceminister Olszewski odpowiadał niedawno na interpelację poselską dotyczącą implementacji dyrektywy NIS 2. Mierząc się z prostym pytaniem o koszty dostosowawcze dla firm (z podziałem na mikro-, małe, średnie i duże), stwierdził, że analiza taka znajduje się w punkcie 7 oceny skutków regulacji.

Ufam, że odpowiedź na interpelację ma służyć dobru publicznemu, a nie tylko zaspokajać osobistą ciekawość posła. Śmiem jednak wątpić, czy wszyscy czytelnicy tej odpowiedzi dotrą do wskazanego punktu 7 - zwłaszcza, że plik z materiałami do ustawy liczy sobie 1667 stron. Oszczędzając czytelnikom tego trudu spieszę z wyjaśnieniem, że o wydatkach dla firm niewiele się dowiedzą. W dokumencie czytamy bowiem, że „na tym etapie nie jest możliwe oszacowanie kosztów dostosowawczych po stronie przedsiębiorców w zależności od ich rodzajów z uwagi na brak danych”.

Poseł pytał w interpelacji także o goldplating, czyli wprowadzanie do projektu implementującego prawo unijne kwestii, których Unia wcale nie wymaga. Wiceminister odpowiedział, że projekt „wdraża dyrektywę NIS2 w minimalnym i niezbędnym zakresie”. Zaznaczył jednak, że „dodatkowe elementy zostały szczegółowo omówione w uzasadnieniu oraz w OSR do projektu” - tym razem nie wskazując nawet na punkt 7 ani żaden inny.

Faktem jest, że nowe przepisy  mogą wiązać się z kosztami dla części przedsiębiorstw. Nawet ich zwolennicy przyznają, że w polskim projekcie są elementy niewymagane przez prawo UE, na przykład kary dla osób fizycznych. Ale firmy byłyby - w imię wspólnego bezpieczeństwa - gotowe pewne niedogodności zaakceptować, o czym mówił niedawno Jakub Bińkowski, członek zarządu Związku Przedsiębiorców i Pracodawców.
(czytaj więcej na Prawo.pl: Krajowy system cyberbezpieczeństwa. Zwolennicy projektu zarzucają przeciwnikom chiński lobbing).

Ministerstwo powinno mieć odwagę wyjaśnić, dlaczego przyjęło takie a nie inne rozwiązania, a pewnych kosztów nie da się oszacować. Skoro mówimy o bezpieczeństwie narodowym, pewne kwestie być może trzeba tłumaczyć wprost, do znudzenia, a nie odsyłać do punktu 7 OSR, z którego niewiele wynika. Lakonicznymi odpowiedziami i rebusami ciężko będzie przezwyciężyć „wrogie siły”, które w ocenie resortu knują przeciwko ustawie.