Nowe obowiązki w cyberbezpieczeństwie – ryzyko nadregulacji

Opinia: EY

Opublikowany pod koniec kwietnia projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC)1) jest odpowiedzią na wymóg wdrożenia NIS22), stanowiącej europejski fundament dla zwiększenia odporności infrastruktury krytycznej i poprawy ogólnego poziomu cyberbezpieczeństwa.

Podejmowane działania zmierzają nie tylko do zabezpieczenia przedsiębiorstw przed cyberatakami, ale również zapewnienia bezpieczeństwa danych obywateli i instytucji państwowych. Nowe regulacje są niezbędne w dynamicznie zmieniającym się świecie cyfrowym, lecz niosą ze sobą wyzwania finansowe i organizacyjne dla biznesu. Z tego względu istotne jest, aby w pracach nad regulacją uwzględniono nie tylko potrzeby bezpieczeństwa, ale również wpływ na gospodarkę i konkurencyjność polskich przedsiębiorstw. Już na etapie procesu legislacyjnego należy zważyć potrzebę ochrony z interesami gospodarczymi, zapewniając, że nowe przepisy będą zarówno skuteczne, jak i proporcjonalne do zagrożeń, które mają zwalczać, i rozmiaru podmiotów, które mają je wdrożyć.

Kosztowne obowiązki ustawowe

Projekt wprowadza szereg nowych rozwiązań i obowiązków, rozszerzając katalog podmiotów na nowe sektory i usługi cyfrowe. Wśród najważniejszych zmian można wymienić obowiązek raportowania incydentów cybernetycznych, przeprowadzania regularnych audytów bezpieczeństwa, ocen ryzyka czy wdrożenie zaawansowanych środków ochronnych. Wysokie koszty związane ze zmianą oraz długotrwały proces mogą być barierą dla mniejszych firm. Z tego względu kluczowe jest przeanalizowanie kosztów związanych z wdrożeniem regulacji.

Bezpośrednie koszty zmian będą zróżnicowane w zależności od wielkości oraz specyfiki działalności przedsiębiorstwa. Podstawowym wydatkiem, z którym będą musieli się liczyć przedsiębiorcy, będzie zakup lub aktualizacja systemów IT (w tym zaawansowanych rozwiązań zabezpieczających). Koszty te mogą się wahać od kilkudziesięciu tysięcy złotych dla małych firm po kwoty liczone w milionach dla dużych korporacji, przetwarzających znaczący wolumen danych. Inwestycje w szkolenia pracowników z zakresu cyberbezpieczeństwa są kolejnym istotnym elementem kosztów nadchodzących zmian. Szkolenia będą niezbędne, aby personel mógł skutecznie zarządzać systemami i reagować na incydenty. Również nowy obowiązek związany z cyklicznym prowadzeniem audytów bezpieczeństwa będzie dodatkowym wydatkiem.

Pośrednie koszty wynikające z konieczności zmian mogą być trudniejsze do zmierzenia, ale nie będą mniej istotne. Konieczność dokonania transformacji systemów i procedur może prowadzić do tymczasowych przestojów operacyjnych, które mogą się odbić na przychodach. Wprowadzenie nowych wymogów jest wyzwaniem także w kontekście niedoboru specjalistów ds. cyberbezpieczeństwa.

Konieczna analiza kosztów i korzyści

Procedura uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka w projekcie nowelizacji nie jest uregulowana w NIS2, jednak ustawodawca zdecydował się na jej wprowadzenie we wszystkich 18 sektorach. Decyzja wydana wobec dostawcy zmusi do reorganizacji łańcuchów dostaw i wymiany sprzętu lub oprogramowania, pochodzącego przykładowo od dostawcy z Argentyny, Brazylii, Chin, Indii, Izraela, Korei Południowej, Japonii albo innego państwa spoza UE lub NATO.

Na wymianę będzie przewidziany z góry określony czas – co do zasady będzie to siedem lat od dnia wydania decyzji wobec dostawcy. Rygorystyczne terminy na wycofanie produktów mogą prowadzić do przyspieszonych decyzji zakupowych, nie uwzględniają też czasu amortyzacji sprzętu. To dodatkowo obciąży budżet przedsiębiorców.

Z tego względu konieczne jest przeprowadzenie szczegółowej analizy kosztów i korzyści związanych z projektowaną regulacją już na etapie procesu legislacyjnego. Taka analiza powinna uwzględniać zarówno bezpośrednie, jak i pośrednie koszty, z którymi będą musieli się zmierzyć gracze na rynku. Zwłaszcza że przewidziany w projekcie termin na wdrożenie obowiązków jest krótki (sześć miesięcy) i jednolity dla wszystkich podmiotów, niezależnie od rozmiaru.

Kolejne kroki w procesie legislacyjnym

Dzisiaj (24 maja) kończą się konsultacje publiczne, do których zostało zaproszonych 60 podmiotów. Niestety, wiele sektorów nie zostało uwzględnionych (m.in. brak reprezentantów dla sektora produkcji, przetwarzania i dystrybucji żywności czy dla sektora produkcji wyrobów medycznych). Przeprowadzenie dostatecznie szerokich konsultacji publicznych jest kluczowe, aby zebrać opinie i doświadczenia ze wszystkich sektorów gospodarki – zwłaszcza tych, które po raz pierwszy będą podlegać wymogom związanym z cyberbezpieczeństwem. To dla nich wdrożenie regulacji będzie największym wyzwaniem.

W celu uniknięcia tworzenia barier w handlu wewnętrznym UE i zapewnienia polskim przedsiębiorstwom równych warunków konkurencji Polska powinna dążyć do harmonizacji swoich przepisów z regulacjami przyjętymi w innych państwach członkowskich. Wprowadzenie elastyczności w procesie wdrażania nowych wymogów, w tym stopniowe wdrażanie i wsparcie dla małych i średnich przedsiębiorstw, może pomóc w rozłożeniu kosztów w czasie i ułatwić adaptację do nowych regulacji.