Spór o dyrektywę NIS2 w Sejmie. Wiceminister: "Nie ugnę się"

• W Sejmie trwa burzliwa dyskusja nad nowelizacją ustawy o KSC, która ma zaimplementować unijną dyrektywę NIS2, rozszerzając obowiązki cyberbezpieczeństwa na ok. 42 tys. podmiotów z 18 sektorów.
• Największe kontrowersje budzą przepisy dotyczące "dostawców wysokiego ryzyka" (DWR), które mogą zmusić firmy do wymiany sprzętu ICT w ciągu 4-7 lat, bez rekompensat.
• Wiceminister cyfryzacji podkreśla, że rozwiązania te są "inwestycją, nie kosztem" i mają chronić państwo przed cyberatakami, stawiając bezpieczeństwo ponad interesy rynkowe.
• Mimo spóźnienia Polski z implementacją dyrektywy (termin minął w październiku 2024 r.), prace nad projektem trwały dwa lata, co, zdaniem wiceministra, pozwoliło na stworzenie "najbardziej kompromisowego" rozwiązania

Dostawca wysokiego ryzyka, czyli oś sporu o dyrektywę NIS2

Spór o wdrażanie unijnej dyrektywy NIS2 zdominował prace sejmowej komisji cyfryzacji, co szczegółowo relacjonuje portal wnp.pl. Najwięcej kontrowersji, jak czytamy w serwisie, wzbudziły przepisy dotyczące tzw. dostawców wysokiego ryzyka (DWR). Nowe prawo ma dać ministrowi cyfryzacji możliwość uznania danego dostawcy sprzętu lub oprogramowania ICT za podmiot stwarzający zagrożenie. Dla tysięcy firm i instytucji oznacza to zakaz kupowania od niego nowych technologii oraz obowiązek wymiany już posiadanego sprzętu w ciągu 4 do 7 lat, bez przewidzianej rekompensaty finansowej. Wiceminister cyfryzacji Paweł Olszewski, cytowany przez wnp.pl, twardo bronił tego rozwiązania. – Bez tej procedury ustawa byłaby bezzębna, bez możliwości państwa, by reagować w sytuacjach kryzysowych – stwierdził w Sejmie.

Rząd kontra biznes. Jakie są argumenty obu stron?

Podczas burzliwej dyskusji, opisanej przez wnp.pl, starły się dwa spojrzenia na nowe prawo. Strona rządowa podkreśla nadrzędność bezpieczeństwa państwa. – Bezpieczeństwo ma pierwszeństwo – mówił wiceminister Olszewski, wskazując na toczącą się za wschodnią granicą wojnę hybrydową. W jego ocenie wdrażana dyrektywa NIS2 wymaga realnych narzędzi, a koszty, jakie poniesie biznes, nie powinny być postrzegane jako problem. 

– Rozwiązania zawarte w tym projekcie ustawy to jest inwestycja, to nie jest koszt – zaznaczył wiceminister. Z kolei część przedstawicieli biznesu zgłaszała poważne obawy. Prof. dr hab. Marek Chmaj, którego wypowiedź przytacza wnp.pl, sugerował zawężenie przepisów. – Może warto się zastanowić, aby ograniczyć skutki wydania takich decyzji jedynie do podmiotów, które funkcjonują w sektorach ściśle związanych z technologią 5G – proponował.

Jak czytamy w wnp.pl w kwestii terminów na wymianę sprzętu DWR wypowiadała się też m.in. Kinga Pawłowska-Nojszewska, radca prawny w Kancelarii Prawnej Media, reprezentująca Krajową Izbę Komunikacji Ethernetowej (KIKE), zrzeszającą mniejszych operatorów. Jak cytuje portal

- Nie jest prawdą, że cykl życia urządzeń wynosi od 4 do 7 lat - stwierdziła. Wskazała, że choć według autorów ustawy za takim cyklem życia przemawia raport BEREC (Organu Europejskich Regulatorów Łączności Elektronicznej), to dotyczy on jedynie sieci 5G i nie odnosi się do sprzętu wykorzystywanego gdzie indziej.

Co w praktyce oznacza dyrektywa NIS2 dla tysięcy firm?

Jak podkreślają dziennikarze wnp.pl, implementacja dyrektywy NIS2 to prawdziwa rewolucja. Po jej wprowadzeniu liczba podmiotów objętych Krajowym Systemem Cyberbezpieczeństwa wzrośnie z zaledwie 400 do około 42 tysięcy, co fundamentalnie zmieni krajobraz, jeśli chodzi o cyberbezpieczeństwo firm w Polsce. Obowiązki obejmą 18 sektorów, w tym produkcję żywności, usługi pocztowe czy zaopatrzenie w wodę. Mimo apeli rynku o złagodzenie przepisów, strona rządowa pozostaje nieugięta. – Gdybym ja miał jednoosobowo dekretem wydać pewne rozwiązania, tobym ten projekt zaostrzył, bo widzę taką konieczność – oświadczył Paweł Olszewski, dodając stanowczo: – Dyskutować możemy, ale ja zdania nie zmienię. Cały proces legislacyjny, jak zauważa portal wnp.pl, jest już mocno opóźniony – termin na wdrożenie dyrektywy minął w październiku 2024 roku.

Prace komisji nad nowelizacją KSC będą kontynuowane w środę, 17 grudnia. Wyznaczony przez Marszałka Sejmu termin na sprawozdanie komisji to 20 stycznia 2026 r.