Uproszczenia regulacji z zakresu cyberbezpieczeństwa – ambitny cel polskiej prezydencji
09 grudnia 2024

Uproszczenia regulacji z zakresu cyberbezpieczeństwa – ambitny cel polskiej prezydencji

fot. European Union 2022

Kwestie cyberbezpieczeństwa są jednym z motywów przewodnich prezydencji Polski w Radzie UE. Rząd w tym obszarze stawia sobie za cel przyjęcie w pierwszej połowie 2025 r. m.in. zaktualizowanego tzw. Blueprintu w zakresie dotyczącym zarządzania kryzysowego, zakończenie prac nad tzw. rozporządzeniem CSAM (dot. zapobiegania niegodziwemu traktowaniu dzieci w celach seksualnych i jego zwalczania), czy rozpoczęcie rozmów dotyczących uruchomienia unijnego Funduszu Cyberbezpieczeństwa na poziomie UE.

W ramach przygotowań do Prezydencji istotne znaczenie dla rządu będzie miała również praca nad uproszczeniami unijnych regulacji z zakresu cyberbezpieczeństwa. Konfederacja Lewiatan przedstawiła w tym temacie stanowisko z sugestiami dotyczącymi możliwych zmian na poziomie Brukseli, które będą stanowić znaczące ułatwienie dla biznesu w sferze realizacji obowiązków cyber.

Środowiska biznesowe zrzeszone w Lewiatanie popierają m.in. przyjęcie w całej UE „single entry point for notifications of security incidents” z zastrzeżeniem, że  wspomniany punkt będzie służył zgłaszaniu  „poważnych” incydentów. Z punktu widzenia organizacji działających w wielu krajach UE krytycznie ważne jest, aby zachować jasność i przejrzystość metod raportowania, ale i wsparcia odpowiednich instytucji (CERT) w przypadku incydentu. Ważne jest by przy tym:

  1. Ustalić jasne metody komunikacji – być może deklaratywnie w zależności od uwarunkowań firmy może to być np. jeden z krajów, gdzie firma jest obecna (np. jej centrala). Informacja powinna być propagowana dalej już w ramach systemu CERT EU.
  2. Utworzyć działającą platformę wymiany informacji o incydentach na poziomie CERT poszczególnych krajów (zgłoszenie incydentu w firmie X jest propagowane do krajów gdzie firma ta ma oddziały).

Firmy proponują również wypracowanie spójnych wymagań cyberbezpieczeństwa dla poszczególnych sektorów, utworzenie mechanizmu do regularnego przeglądu zgodności regulacji dotyczących cyberbezpieczeństwa w całej UE, najlepiej zarządzanej przez DG Connect, czy pogłębienie na poziomie UE problemu badania łańcucha dostaw (w postaci wypracowanie wytycznych dotyczących badania łańcucha dostaw na gruncie różnych regulacji dot. cyberbezpieczeństwa).


Aleksandra Musielak, dyrektorka Departamentu Rynku Cyfrowego, Konfederacja Lewiatan

Artykuł dla grudniowego wydania Brussels Headlines – newslettera europejskiego Konfederacji Lewiatan

Apel o kontynuację konsultacji dotyczących zmian w ustawie o krajowym systemie cyberbezpieczeństwa
28 maja 2024

Apel o kontynuację konsultacji dotyczących zmian w ustawie o krajowym systemie cyberbezpieczeństwa

Konfederacja Lewiatan apeluje o przeprowadzenie konsultacji społecznych zmian w ustawie o krajowym systemie cyberbezpieczeństwa. Powinny się one odbyć jeszcze przed skierowaniem ustawy pod obrady odpowiednich komitetów Rady Ministrów.

– Zakres wprowadzanych zmian jest ogromny. Trudno nawet oszacować jakie będą one miały wpływ na przykład na sektory telekomunikacyjny i teleinformatyczny. Przy analizie projektu ustawy napotkaliśmy liczne wątpliwości natury interpretacyjnej, a potencjalnie także kwestie wymagające poprawek oraz zwiększenia proporcjonalności. Zakładamy, że w innych branżach objętych nowymi przepisami sytuacja jest podobna. Dlatego tak ważne jest zorganizowanie jednego lub kilku spotkań konsultacyjnych w toku których resort cyfryzacji przedstawi wyjaśnienia dotyczące praktycznych aspektów wdrażania projektowanych przepisów – mówi dr Aleksandra Musielak, dyrektorka departamentu rynku cyfrowego Konfederacji Lewiatan.

Dodatkowe rundy konsultacyjne

Konfederacja Lewiatan proponuje również,  aby w przypadku wprowadzania istotnych zmian mających wpływ na prawa i obowiązki regulowanych podmiotów, organizowane były także dodatkowe rundy konsultacyjne. Pracodawcy wielokrotnie  bowiem byli zaskakiwani wrzucaniem do projektu całych nowych rozdziałów, które nie były przedmiotem pierwotnych konsultacji, a w sposób fundamentalny oddziaływały – często negatywnie – na branżę telekomunikacyjną.

Brakuje aktów wykonawczych

– Brakuje też  aktów wykonawczych do ustawy oraz do samej dyrektywy NIS2 (dyrektywa Parlamentu Europejskiego i Rady, której celem jest wzmocnienie cyberbezpieczeństwa w UE). Powoduje to, że wiele kwestii jest wciąż niejasnych i trudno dokonać właściwej oceny wpływu regulacji na poszczególne typy działalności objętej nowymi przepisami. Z tego względu postulujemy jak najszybsze opublikowanie projektów aktów wykonawczych do wstępnych chociaż konsultacji oraz wstrzymanie dalszych prac nad ustawą do czasu ich przeprowadzenia – dodaje dr Aleksandra Musielak.

Uwagi przedsiębiorców

Konfederacja Lewiatan zgłosiła wiele uwag do najnowszej wersji projektu ustawy o krajowym systemie cyberbezpieczeństwa. Wśród nich znalazły się m.in. kwestia umocowania ministra cyfryzacji, nadmierne regulacje specyficznych sektorów (jednostki samorządu terytorialnego, sektor farmaceutyczny, w tym apteki i instytucje edukacyjne), potencjalna nadregulacja na tle innych państw UE czy wprowadzenie procedury dla dostawców wysokiego ryzyka.

Konfederacja Lewiatan

 

 

Ustawa o krajowym systemie cyberbezpieczeństwa skierowana na wysłuchanie publiczne
12 lipca 2023

Ustawa o krajowym systemie cyberbezpieczeństwa skierowana na wysłuchanie publiczne

Projekt zmian w ustawie o krajowym systemie cyberbezpieczeństwa został wczoraj, decyzją sejmowych komisji, skierowany na wysłuchanie publiczne Konfederacja Lewiatan, zaangażowana w prace nad projektem od trzech lat, z aprobatą odnosi się do tego pomysłu.

Po ponad trzech latach prac projekt zmian w ustawie o krajowym systemie cyberbezpieczeństwa został wczoraj poddany pierwszemu czytaniu.

Z uwagi na złożoność problematyki oraz szereg zastrzeżeń rynku odnośnie zgodności projektu z prawem UE, Konstytucją RP oraz regulacjami z zakresu prawa konkurencji, sejmowe komisje Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Obrony Narodowej podjęły decyzję o konieczności pogłębienia dyskusji wokół projektu w ramach wysłuchania publicznego.

– Cieszymy się, że Sejm wysłuchał naszych apeli i skierował projekt na wysłuchanie publiczne. To sukces przedsiębiorców reprezentujących wiele kluczowych sektorów gospodarki, w tym telekomunikacyjny, finansowy, farmaceutyczny czy energetyczny. Lewiatan sygnalizował już wcześniej, że projekt ustawy, poprzez m.in. wprowadzenie nowego operatora (OSSB) na rynek czy ograniczenie gwarancji procesowych w ramach wydawania decyzji o zakwalifikowaniu przedsiębiorcy jako dostawca wysokiego ryzyka, może ewidentnie zaburzyć konkurencyjność rynku telekomunikacyjnego, w tym również rynku dostawców produktów, usług i procesów ICT. Apelowaliśmy o poszanowanie zasad dobrej legislacji w trakcie prac nad projektem ustawy, w tym rozpoczęcie nad nim prac  dopiero po wejściu w życie Prawa Komunikacji Elektronicznej oraz z uwzględnieniem wymogów dyrektywy NIS2. Na posiedzeniu połączonych sejmowych komisji zwróciliśmy uwagę również na usunięcie z treści projektu ustawy wymogu jego notyfikacji technicznej do Komisji Europejskiej – mówi Aleksandra Musielak, dyrektorka departamentu rynku cyfrowego w Konfederacji Lewiatan.

Konfederacja Lewiatan od trzech lat była zaangażowana w dyskusję na temat kształtu projektu ustawy, sygnalizując na każdym etapie jego procedowania kwestie kontrowersyjne.

Konfederacja Lewiatan

System cyberbezpieczeństwa. Dłuższe vacatio legis to za mało
26 maja 2023

System cyberbezpieczeństwa. Dłuższe vacatio legis to za mało

Niektóre zmiany wprowadzone w najnowszej wersji projektu ustawy o krajowym systemie cyberbezpieczeństwa, np. przyjęcie 6-miesięcznego vacatio legis, idą w dobrym kierunku.

Część przepisów budzi jednak nadal wątpliwości, jeśli chodzi o ich wpływ na konkurencyjny rynek telekomunikacyjny i cyberbezpieczeństwo – uważa Konfederacja Lewiatan.

Zdaniem pracodawców szybko muszą się rozpocząć prace nad założeniami ustawy implementującej unijne dyrektywy NIS2w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium UE oraz CERdotyczącej odporności podmiotów krytycznych. Inaczej, albo terminy konsultacji i niezbędnego dialogu będą skracane, albo termin wdrożenia nie zostanie dochowany.

– W tej sytuacji dokonywanie teraz jakichkolwiek modyfikacji w krajowym systemie cyberbezpieczeństwa oraz w zarządzaniu kryzysowym jest nieuzasadnione i naraża firmy na ponoszenie nieuzasadnionych kosztów związanych ze zmianami organizacyjnymi oraz zakupami i zamówieniami. Należy zrezygnować z objęcia nowymi przepisami przedsiębiorców komunikacji elektronicznej. Projekt ustawy może budzić również istotne wątpliwości co do zgodności z prawem UE – mówi dr Aleksandra Musielak, dyrektorka departamentu rynku cyfrowego Konfederacji Lewiatan.

Należy też zadbać, aby organy państwa wprowadzając administracyjny obowiązek wycofania dotychczasowego uczestnika rynku były jednocześnie gotowe do wdrożenia środków zabezpieczających przed powstaniem w danym sektorze negatywnych skutków, które są typowe dla obniżonej konkurencji, tj. wzrostu cen, ograniczenia dostępności, spadku jakości oraz wydłużenia terminów realizacji dostaw i usług.

Uwagi Lewiatana do projektu ustawy o krajowym systemie  cyberbezpieczeństwa

  1. Przyspieszenie prac nad założeniami ustawy implementującej unijne
  2. Zaniechanie objęcia nowymi przepisami przedsiębiorców komunikacji elektronicznej.
  3. Projekt ustawy może być niezgodny z prawem UE.
  4. Konieczne jest wprowadzenie obowiązkowych przeglądów decyzji uznających dostawcę za wysokiego ryzyka.
  5. Przygotowania wymaga strategia działania organów państwa w zakresie nadzoru rynków objętych decyzjami wykluczającymi „dostawców wysokiego ryzyka” oraz wprowadzania środków zaradczych.

        Konfederacja Lewiatan

 

Krajowy system cyberbezpieczeństwa rodzi się w bólach
26 października 2022

Krajowy system cyberbezpieczeństwa rodzi się w bólach

Należy rozważyć, czy nie zaniechać dalszych prac nad nową wersją projektu ustawy o krajowym systemie cyberbezpieczeństwa w związku z planowanym wejściem w życie unijnej dyrektywy (NIS2), która ma wzmocnić cyberbezpieczeństwo w UE – uważa Konfederacja Lewiatan.

Nowa unijna dyrektywa stanie się obowiązującym prawem w ciągu najbliższych tygodni lub miesięcy. W konsekwencji już w styczniu 2023 r. można spodziewać się, że stara dyrektywa zostanie uchylona, a państwa członkowskie będą mieć 21 miesięcy na implementację nie tylko nowej dyrektywy, ale także przeanalizowanie, czy krajowe ustawodawstwo zachowuje aktualność. Natomiast Polska, przy zachowaniu obecnego kursu legislacyjnego, będzie w dalszym ciągu na etapie implementowania starych przepisów: rozporządzenia PE i Rady 2019/881 (Akt o Cyberbezpieczeństwie) i dyrektywy PE i Rady (UE) 2018/1972 („EKŁE”). Dlatego warto zastanowić się, czy nie zaniechać w tej chwili dalszych prac nad ustawą o krajowym systemie cyberbezpieczeństwa.

Premier Czech zdecydował niedawno o konieczności zakończenia prac nad projektem legislacyjnym niezgodnym z nową dyrektywą unijną NIS2 i zobowiązał dyrektora Krajowego Biura Cyberbezpieczeństwa do przedłożenia nowych przepisów w maju 2023 roku.

– Z najnowszej wersji projektu ustawy zostało usuniętych kilka niekorzystnych rozwiązań, np. rygor natychmiastowej wykonalności dla decyzji o uznaniu dostawcy za dostawcę wysokie ryzyka czy powołanie spółki Polskie 5G. Apelowaliśmy o to od dawna – mówi dr Aleksandra Musielak, dyrektorka departamentu rynku cyfrowego Konfederacji Lewiatan.

Niektóre przepisy budzą jednak nadal wątpliwości, jeśli chodzi o ich wpływ na konkurencyjny rynek telekomunikacyjny i cyberbezpieczeństwo.

– Chodzi na przykład o nieproporcjonalne uprzywilejowanie operatora strategicznej sieci bezpieczeństwa i możliwość prowadzenia przez niego działalności komercyjnej. Mógłby on świadczyć  usługi z zakresu cyberbezpieczeństwa, inne niż związane z obronnością czy bezpieczeństwem państwa, a także usługi telekomunikacyjne. Wątpliwości budzi również preferencyjny dostęp do infrastruktury i nieruchomości mogący stanowić pomoc publiczną. Ważne jest także utrzymanie równej dla wszystkich procedury uznania dostawcy za dostawcę wysokiego ryzyka  – dodaje dr Aleksandra Musielak.

Konfederacja Lewiatan