Przepisy obejmą blisko 40 tysięcy podmiotów z 18 branż, czyli szerokie spektrum sektorów – od energetycznego po transportowy, bankowy, ochronę zdrowia, samorząd terytorialny, a nawet produkcję żywności i rolnictwo. Należy jednak mieć na uwadze, że liczba ta może być mocno niedoszacowana, co stwarza dodatkowe komplikacje.
Minister cyfryzacji deklarował szerokie konsultacje z rynkiem, jednak trudności z dostępem do informacji i brak działań edukacyjnych sprawiają, że wiele firm może być nieprzygotowanych na nadchodzące zmiany. Otóż wyznaczony termin konsultacji społecznych upływa już 24 maja, a więc można założyć, że podmioty dziś jeszcze nieświadome nowych obowiązków nie otrzymają nawet szansy wzięcia w nich udziału. Nowe przepisy mają wejść w życie w terminie 1 miesiąca od opublikowania w dzienniku ustaw. Podmioty objęte zakresem przepisów będą miały 6 miesięcy na dostosowanie swojej działalności do nowych wymogów.
Cyberbezpieczeństwo będzie mieć wysoką cenę
Nowa ustawa dotknie ponad 38 tysięcy podmiotów. Wśród nich znajduje się 27 905 podmiotów administracji publicznej, a swoją działalność do nowych wymogów dostosować będą musiały również podmioty kluczowe dla wspólnot lokalnych, na przykład oczyszczalnie ścieków (102 podmioty), spółki wodno-kanalizacyjne (268), spółki zajmujące się odpadami (276) czy firmy zajmujące się produkcją rolną i żywnością (1204). Wiele z nich może nie zdawać sobie sprawy, że nowe prawo będzie dotyczyć także ich.
W tej sytuacji nie można zignorować faktu, że wdrożenie ustawy NIS 2 będzie wymagać od instytucji zarezerwowania dodatkowego budżetu. W ocenie skutków regulacji nie przedstawiono kosztów dostosowania się do obowiązków wynikających z nowelizacji.
Kosztowna wymiana sprzętu od dostawców spoza UE i NATO
Projekt KSC nakłada na przedsiębiorców i administrację publiczną znacznie więcej kosztownych obowiązków niż wymaga tego dyrektywa NIS2. W tym przypadku można mówić o swoistej nadregulacji względem rozwiązań proponowanych w innych państwach. Objęcie projektem ustawy sektorów takich jak administracja publiczna, w tym jednostek sektora finansów publicznych, produkcji żywności, chemikaliów czy rolno-spożywczej wygeneruje znaczące obciążenia finansowe. Należy zwrócić uwagę na obowiązkowe audyty bezpieczeństwa wymagane co najmniej raz na 2 lata i koszty z tytułu przeprowadzenia tych audytów. Projektodawcy nie oszacowali choćby kosztów ewentualnych wykluczeń dostawców sprzętu i oprogramowania pochodzących spoza Unii Europejskiej lub NATO, przykładowo z Chin, Indii, Japonii i Korei Południowej.
Zgodnie bowiem z przepisami ustawy, 18 kluczowych sektorów gospodarki – energetyka, ochrona zdrowia, bankowość, dostawy wody, gospodarka ściekami, odpady, produkcja wyrobów medycznych, żywność oraz rolnictwo – będą zobligowane do natychmiastowego wycofania zakupionych produktów, usług oraz procesów ICT w przypadku, gdy zostaną one uznane za dostawców wysokiego ryzyka. Te koszty będą musiały ponieść także samorządy i polscy przedsiębiorcy.
30 dni na konsultacje dla blisko 40 tysięcy podmiotów
Obecna sytuacja jest doskonałym przykładem tego, jak ważne jest prowadzenie szerokich i wyczerpujących konsultacji z rynkiem, zwłaszcza w tak kluczowych kwestiach jak cyberbezpieczeństwo. Niestety, aktualny proces wydaje się niewystarczający ze względu na brak świadomości prac legislacyjnych po stronie branż objętych nowymi obowiązkami. Może to doprowadzić do niezrozumienia i braku przygotowania ze strony podmiotów, które już wkrótce będą musiały dostosować się do nowych przepisów.
Konsultacje publiczne projektu ustawy trwają do 24 maja. Wygląda więc na to, że wiele podmiotów może nie mieć szansy wziąć w nich udziału, wbrew powszechnym zapewnieniom, że będą prowadzone szerokie konsultacje.
*Kancelaria Radców Prawnych DBM
