Biznes powinien szykować się na kolejne duże wydatki za sprawą unijnej dyrektywy NIS2. Koszty szacowane są na miliony złotych. Niektórych może to doszczętnie zniszczyć, a w „najlepszym” wypadku spowoduje zaburzenie konkurencji.
W Polsce szykuje się nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa. Projekt jest obecnie konsultowany, ale wiadomo, że musi być wdrożona unijna dyrektywa NIS2. Wymusi ona na firmach wydatki idące w miliony złotych. Na dodatkowe koszty muszą nastawić się także małe i średnie firmy z niektórych branż.
Unia Europejska nakazuje bardziej rygorystyczne wymogi dotyczące bezpieczeństwa cybernetycznego. Zakres podmiotów będzie dużo większy niż do tej pory. Uregulowani będą po raz pierwszy operatorzy usług pocztowych, czy producenci i dystrybutorzy żywności i chemikaliów. Zwiększą się też uprawnienia podmiotów nadzorczych. Termin na implementację dyrektywy NIS2 mija 17 października.
Pod adresem propozycji Ministerstwa Cyfryzacji spłynęła seria krytycznych uwag, których nie szczędzą także inne resorty i instytucje publiczne. Ministerstwo Rozwoju i Technologii ostrzega, że w niektórych obszarach rodzime regulacje idą dalej, niż wymaga tego Unia. Szczególnie w zakresie nałożenia na polskich przedsiębiorców większych obowiązków niż na ich odpowiedników z innych państw członkowskich. W średniej i dłuższej perspektywie może to oznaczać gorsze warunki prowadzenia działalności gospodarczej.
MRiT zwraca też uwagę, że wynikająca z ustawy o KSC konieczność wymiany sprzętu lub oprogramowania może oznaczać dla sektora prywatnego wydatki idące w setki milionów złotych.
Wątpliwości rzecznika praw obywatelskich budzi z kolei procedura uznawania przez ministra cyfryzacji dostawcy określonego sprzętu lub oprogramowania za „dostawcę wysokiego ryzyka”. Decyzja taka będzie miała rygor natychmiastowej wykonalności i wymusi na firmach czy organach administracji wymianę użytkowanych urządzeń.
– Uznaniowość ta oparta jest również na niemierzalnych kryteriach, którym podlegają dostawcy z państw spoza UE i NATO. W efekcie dany podmiot może zostać zobowiązany, na własny koszt, do pozbycia się sprzętu dostarczonego przez dostawcę wysokiego ryzyka. Spowoduje to osłabienie konkurencyjności podmiotów kluczowych i ważnych, nie mówiąc o konsekwencjach gospodarczych w skali międzynarodowej – komentuje na łamach „Rzeczpospolitej” Piotr Podgórski, radca prawny, członek zarządu Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl.
Obawy biznesu budzi także pomysł zaostrzenia kar za niedopełnienie wymogów. Najwyższa to 10 mln euro lub 2 proc. rocznych przychodów.
Przeciwko planom Ministerstwa Cyfryzacji protestowali niedawno pracodawcy, pracownicy i samorządowcy z Wojewódzkiej Rady Dialogu Społecznego w województwie mazowieckim. W swoim stanowisku wskazują, że rozszerzenia katalogu tzw. podmiotów kluczowych będzie dotyczyło 18 sektorów gospodarki i łącznie ponad 38 tys. podmiotów. Wiąże się to z cyklicznymi, co dwa lata, audytami bezpieczeństwa, co z kolei będzie generować kolejne koszty.