Rządowe Centrum Legislacji opublikowało dzisiaj pismo Ministra Rozwoju i Technologii w związku z międzyresortową konsultacją projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). MRiT podtrzymuje stanowisko z czerwca br., iż projekt zawiera elementy nadregulacji, „które mogą – wskutek nałożenia obowiązków – skutkować pogorszeniem warunków prowadzenia działalności gospodarczej dla polskich przedsiębiorców. W średniej lub dłuższej perspektywie mogą być oni narażeni na ryzyko podjęcia niezamierzonych inwestycji”.
MRiT wskazuje przede wszystkim, że projekt nowelizacji KSC ‒ którego celem jest wdrożenie dyrektywy NIS2 ‒ zalicza do kategorii przedsiębiorstw kluczowych (z czym związane są rozmaite obowiązki w obszarze cyberbezpieczeństwa) podmioty, które w dyrektywie nie są wymienione. Ponadto mechanizmy ustalania pozycji dostawców wysokiego ryzyka wykraczają poza zalecenia 5G Toolbox.
‒ Wdrożenie przepisów w takim kształcie oznacza, że Polska rozszerza zastosowanie tej procedury na wszystkie 18 sektorów gospodarki, a nie tylko na krytyczne elementy sieci 5G ‒ ocenia MRiT.
Resort dokonał analizy projektu nowelizacji na polecenie Komitetu Stałego Rady Ministrów. Swoją pracę miał skoordynować z Ministrem ds. Unii Europejskiej. Ten nie zakwestionował opisanych wyżej zastrzeżeń MRiT, natomiast miał inne zdanie odnośnie kwalifikacji jako „kluczowych” podmiotów zajmujących się dystrybucją wodoru.
Najbardziej kontrowersyjna była jednak dla obu resortów sprawa kontroli doraźnych, jakie mogą prowadzić organy cyberbezpieczństwa u podmiotów kluczowych i ważnych. Zdaniem MRiT, w obecnie proponowanej formie, godzi w przepisy Prawa przedsiębiorców. Minister ds. UE kwestionował tę opinię, ale nie przekonał ministra rozwoju.
‒ Przedstawiając powyższe proszę o rozważenie uwzględnienia w kolejnych wersjach projektu ustawy zmian wynikających z rozpatrzenia powyższej argumentacji ‒ pisze MRiT.
