W pracach nad nowymi przepisami powinno się uwzględnić nie tylko potrzeby bezpieczeństwa, ale również wpływ nowych regulacji na gospodarkę i konkurencyjność. Minister cyfryzacji deklarował szerokie konsultacje z rynkiem. Niestety wiele podmiotów objętych ustawą w ogóle nie ma świadomości, że także ich dotyczy nowelizacja.
Z niewyjaśnionych przyczyn w zaproszeniu do konsultacji publicznych pominięto podmioty z sektorów: rolnego, energetycznego, odpadów, ochrony zdrowia (w tym diagnostyki, in vitro), zaopatrzenia w wodę, chemikaliów, żywności, badań naukowych czy choćby ścieków. Wyznaczony termin konsultacji społecznych upływa już 24 maja, a nowe przepisy mają wejść w życie w terminie miesiąca od opublikowania w Dzienniku Ustaw. Podmioty objęte zakresem przepisów będą miały 6 miesięcy na dostosowanie swojej działalności do nowych wymogów.
Kosztowne zmiany, za które wszyscy zapłacimy
Projekt nakłada na przedsiębiorców i administrację publiczną znacznie więcej kosztownych obowiązków niż wymaga tego Dyrektywa NIS2, co wyraźnie pokazuje nadregulację. Przykładowo sprzęt pochodzący od dostawców z Argentyny, Brazylii, Chin, Indii, Izraela, Korei Południowej, Japonii albo innego państwa spoza UE lub NATO będzie musiał przejść szczegółowe weryfikacje, które nie gwarantują certyfikacji na rynek Polski.
Rygorystyczne terminy na wycofanie produktów mogą prowadzić do przyspieszonych decyzji zakupowych nie uwzględniając przy tym czasu na amortyzację sprzętu. To dodatkowo obciąży budżet przedsiębiorców i nas wszystkich. Nowe przepisy będą miały m.in. zastosowanie do producentów, przetwórców i dystrybutorów żywności, czyli do 1204 podmiotów. Nowe regulacje będą dotyczyć nie tylko dużych organizacji, ale także zatrudniających co najmniej 50 osób lub mających co najmniej 10 milionów euro rocznego przychodu. Ministerstwo Cyfryzacji w dniu 24 kwietnia skierowało projekt do konsultacji publicznych, kierując go do 60 organizacji branżowych, wśród których nie ma ani jednej organizacji z sektora rolno-spożywczego. Ponadto nowe regulacje wprowadzają szereg nowych rozwiązań i obowiązków.
Wśród najważniejszych zmian można wymienić obowiązek raportowania incydentów cybernetycznych, przeprowadzania regularnych audytów bezpieczeństwa, ocen ryzyka, czy wdrożenie zaawansowanych środków ochronnych. Nowe przepisy narzucają na przedsiębiorstwa konieczność inwestycji. Kluczowym jest zatem przeanalizowanie kosztów związanych z wdrożeniem regulacji. Bezpośrednie inwestycje będą zróżnicowane w zależności od wielkości podmiotu oraz typu prowadzonej działalności. Szacunkowe koszty wdrożenia nowych przepisów w sektorze prywatnym dla jednego przedsiębiorcy mogą wynosić od kilkudziesięciu do kilkuset tysięcy złotych, a czasami nawet przekroczyć milion złotych.
Wyjątkowo surowe przepisy dla polskich przedsiębiorców
Obecny projekt ustawy wprowadza bardziej drastyczne przepisy niż poprzednia wersja. Czas na usunięcie produktów czy sprzętu pochodzącego od Dostawcy Wysokiego Ryzyka (DWR) z podmiotów krytycznych został skrócony z 5 do 4 lat. Dla wielu podmiotów przerwanie łańcucha dostaw decyzją ministra może oznaczać brak możliwości prowadzenia działalności gospodarczej. Żadne europejskie państwo spośród 11 państw, które już zaprezentowały dyrektywę NIS2 (Szwecja, Dania, Irlandia, Luksemburg, Niemcy, Rumunia, Francja, Portugalia, Litwa, Belgia, Estonia) nie zamieściło kryteriów politycznych.
Podcasty
Playlisty tematyczne
