
Procedowana obecnie ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), będąca polską implementacją unijnej dyrektywy NIS2 wiązać będzie się ze znaczącymi kosztami, które poniosą przedsiębiorcy m.in. z branży gospodarowania odpadami. Za wymianę serwerów, komputerów czy licencji i oprogramowania jeden przedsiębiorca z tego sektora może zapłacić blisko 1 mln złotych. KSC została – w obecnie procedowanej wersji – rozszerzona na 18 sektorów polskiej gospodarki, w tym m.in. sektor gospodarowania odpadami, ścieki, żywność, pocztę, jednostki samorządu terytorialnego, energetykę czy nawet przestrzeń kosmiczną. Ogólnopolska Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl przeprowadziła ankietę wśród firm z branży gospodarowania odpadami. 71,9 proc. przedsiębiorców tej branży nie zdaje sobie nawet sprawy, że nowe regulacje dosięgną również ich biznesu.
Nowe przepisy dotyczące cyberbezpieczeństwa, które mają zostać wprowadzone w Polsce zgodnie z unijną dyrektywą NIS2, będą nie lada wyzwaniem dla branży gospodarowania odpadami. Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) rozszerza wymogi na wiele sektorów gospodarki. W zależność od poszczególnych decyzji, liczba podmiotów, która zostanie objęta obowiązkami regulacyjnymi, wyniesie blisko 38 tysięcy.
Kosztowne pomysły resortu cyfryzacji…
Procedowana ustawa od początku budzi kontrowersje. Opracowana przez Ministerstwo Cyfryzacji Ocena Skutków Regulacji wskazuje, że nowelizacja ustawy będzie miała wpływ na 276 podmiotów z branży gospodarowania odpadami. Tymczasem z danych znajdujących się w posiadaniu Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców – Przedsiębiorcy.pl wynika, że w Polsce działa łącznie ponad 8 865 firm, z których ponad 1,5 tys. zatrudnia więcej niż 50 pracowników.
– Jednym z kluczowych zarzutów jest rozszerzenie grupy podmiotów kluczowych i ważnych, które będą zobowiązane do spełniania rygorystycznych wymogów w zakresie cyberbezpieczeństwa, co może prowadzić do zwiększenia obciążeń administracyjnych i finansowych. Dotyczyć to ma także jednostek samorządu terytorialnego, jednostek budżetowych, związków metropolitalnych – mówi Robert Składowski, Prezes Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl
…za które zapłacą polskie firmy
Zdaniem przedsiębiorców szczególnie niepokojące są zawarte w projekcie kary finansowe dla kierowników jednostek, przewidziane nawet za jednorazowe zaniechanie – mogą one sięgać nawet sześciokrotności miesięcznej pensji. – Tak surowe sankcje mogą pogłębić istniejące problemy kadrowe, zwłaszcza w jednostkach samorządowych, które już teraz borykają się z trudnościami w zatrudnieniu odpowiednio wykwalifikowanego personelu – tłumaczy Robert Składowski.
W opinii ekspertów przedsiębiorcy.pl projekt procedowanej ustawy daleko wykracza poza regulacje unijnej dyrektywy NIS2 i stanowi tym samym tzw. nadregulację, która jest nieproporcjonalna do założonych celów, rzeczywistych potrzeb i możliwości finansowych wielu podmiotów. – Niejasna procedura kwalifikacji dostawców sprzętu lub oprogramowania ICT jako dostawców wysokiego ryzyka, również budzi daleko idące, uzasadnione obawy, zwłaszcza że projektodawca obejmuje tą procedurą dostawców dostarczających sprzęt dla wszystkich podmiotów kluczowych lub ważnych. Spowoduje to konieczność wyeliminowania przez takie podmioty dostawców wysokiego ryzyka i to na własny koszt. Konsekwencją tego będą podniesione ceny usług lub towarów, czego uboczne efekty odczują konsumenci. Do tego dochodzi utrata konkurencyjności polskich przedsiębiorców wobec firm z innych państw, w których ustawodawstwie nie przewidziano tak daleko rozszerzonej procedury uznania danego dostawcy za dostawcę wysokiego ryzyka – mówi Robert Składowski, Prezes Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl
Jakie obowiązki narzuci nowa ustawa?
Przedsiębiorstwa będą musiały wdrożyć środki zarządzania cyberbezpieczeństwem. Niezbędne będzie dokonanie inwentaryzacji infrastruktury, przeglądu procesów i wewnętrznych procedur, przeprowadzenie szkoleń. Projektodawca wskazał, że koszty związane z wycofaniem sprzętu lub oprogramowania od tzw. dostawców wysokiego ryzyka są niemierzalne. Nowelizacja udziela ministrowi właściwemu do spraw informatyzacji kompetencji do wydania decyzji o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, co zdaniem Ministerstwa Cyfryzacji prowadzi do niemożności wskazania kosztów, jakie poniosą podmioty kluczowe i podmioty ważne.
Polscy przedsiębiorcy krytycznie o nowych regulacjach
Ogólnopolska Federacja Przedsiębiorców i Pracodawców – Przedsiębiorcy.pl przygotowała raport dotyczący znajomości projektowanych przepisów przez przedsiębiorców oraz kosztów wprowadzenia w życie zmian w ustawie o krajowym systemie cyberbezpieczeństwa, odnoszący się do sektora gospodarowania odpadami. Najważniejsze wyniki ankiety przeprowadzonej wśród przedsiębiorców są następujące:
- Tylko 28,1% przedsiębiorców zna konsekwencje wprowadzenia ustawy o KSC.
- Aż 87,5% respondentów uznało za niemożliwą do wykonania wymianę sprzętu teleinformatycznego, urządzeń elektronicznych, maszyn (urządzenia pokładowe typu OBU, panele sterujące, sterowniki zabudowy śmieciarki, wyposażenie śmieciarki, taśmy do segregacji odpadów, urządzenia sortujące, komputery, serwery, dyski twarde, telefony, routery, drukarki, skanery, monitory, kamery itp.) na produkowane przez firmy z państw Unii Europejskiej i NATO.
- Tak wysoki wskaźnik można tłumaczyć bardzo dużym udziałem sprzętu pochodzenia poza unijnego. Tylko u niecałych 16% ankietowanych stanowi on nie więcej niż 10% całości.
- Niemal 2/3 przedsiębiorców uznało za niemożliwe zastąpienie obecnego oprogramowania pochodzącym wyłącznie z państw UE i NATO. Wynika to z szacowanego kosztu takiego przedsięwzięcia. W ocenie 40% ankietowanych przekroczy on 500 tys. zł.
- Zdecydowana większość przedsiębiorców jest pewnych, że sprzęt i oprogramowanie pochodzące z krajów UE lub NATO będą znacząco droższe w utrzymaniu.
Wyniki ankiety przeprowadzonej przez Ogólnopolską Federację Przedsiębiorców i Pracodawców pokazują, że blisko 72% firm z branży gospodarowania odpadami nie jest świadoma nadchodzących zmian. Wprowadzenie nowych regulacji wiąże się z koniecznością wymiany sprzętu i oprogramowania, co dla wielu firm jest trudne do zrealizowania, zwłaszcza jeśli obecnie używają sprzętu spoza UE. Przedsiębiorcy obawiają się, że dostosowanie się do nowych wymogów będzie kosztowne i wpłynie na ich działalność. W szczególności trudno będzie znaleźć zamienniki dla obecnego sprzętu i oprogramowania, które nie pochodzą z krajów UE i NATO.
Ostatecznie, kluczowe jest, by przedsiębiorcy, rząd i eksperci ds. cyberbezpieczeństwa wspólnie pracowali nad wdrażaniem tych regulacji, aby były one korzystne dla wszystkich stron.