4 min. czytania 4 cze 2024
zielone umowy najmu

Nowe obowiązki w cyberbezpieczeństwie – ryzyko nadregulacji

Justyna Wilczyńska-Baraniak
Autor Justyna Wilczyńska-Baraniak

EY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat

Lider Zespołu Prawa Własności Intelektualnej, Technologii, Danych Osobowych w Kancelarii EY Law. Doradza na rzecz korporacji w zakresie ochrony własności intelektualnej i wdrażania nowych technologii.

4 min. czytania 4 cze 2024
Powiązane tematy Doradztwo prawne Cybersecurity
Polub

Pokaż załączniki

W obliczu rosnących zagrożeń w przestrzeni cyfrowej Polska podejmuje kroki w celu wzmocnienia swojego systemu cyberbezpieczeństwa.

Opublikowany pod koniec kwietnia projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) [1] jest odpowiedzią na wymóg wdrożenia NIS2 [2], stanowiącej europejski fundament dla zwiększenia odporności infrastruktury krytycznej i poprawy ogólnego poziomu cyberbezpieczeństwa.

Podejmowane działania zmierzają nie tylko do zabezpieczenia przedsiębiorstw przed cyberatakami, ale również zapewnienia bezpieczeństwa danych obywateli i instytucji państwowych. Nowe regulacje są niezbędne w dynamicznie zmieniającym się świecie cyfrowym, lecz niosą ze sobą wyzwania finansowe i organizacyjne dla biznesu. Z tego względu istotne jest, aby w pracach nad regulacją uwzględniono nie tylko potrzeby bezpieczeństwa, ale również wpływ na gospodarkę i konkurencyjność polskich przedsiębiorstw. Już na etapie procesu legislacyjnego należy zważyć potrzebę ochrony z interesami gospodarczymi, zapewniając, że nowe przepisy będą zarówno skuteczne, jak i proporcjonalne do zagrożeń, które mają zwalczać, i rozmiaru podmiotów, które mają je wdrożyć.

Portal Prawny NIS2

Dowiedz się więcej

Kosztowne obowiązki ustawowe

Projekt wprowadza szereg nowych rozwiązań i obowiązków, rozszerzając katalog podmiotów na nowe sektory i usługi cyfrowe. Wśród najważniejszych zmian można wymienić obowiązek raportowania incydentów cybernetycznych, przeprowadzania regularnych audytów bezpieczeństwa, ocen ryzyka czy wdrożenie zaawansowanych środków ochronnych. Wysokie koszty związane ze zmianą oraz długotrwały proces mogą być barierą dla mniejszych firm. Z tego względu kluczowe jest przeanalizowanie kosztów związanych z wdrożeniem regulacji.

Bezpośrednie koszty zmian będą zróżnicowane w zależności od wielkości oraz specyfiki działalności przedsiębiorstwa. Podstawowym wydatkiem, z którym będą musieli się liczyć przedsiębiorcy, będzie zakup lub aktualizacja systemów IT (w tym zaawansowanych rozwiązań zabezpieczających). Koszty te mogą się wahać od kilkudziesięciu tysięcy złotych dla małych firm po kwoty liczone w milionach dla dużych korporacji, przetwarzających znaczący wolumen danych. Inwestycje w szkolenia pracowników z zakresu cyberbezpieczeństwa są kolejnym istotnym elementem kosztów nadchodzących zmian. Szkolenia będą niezbędne, aby personel mógł skutecznie zarządzać systemami i reagować na incydenty. Również nowy obowiązek związany z cyklicznym prowadzeniem audytów bezpieczeństwa będzie dodatkowym wydatkiem.

Pośrednie koszty wynikające z konieczności zmian mogą być trudniejsze do zmierzenia, ale nie będą mniej istotne. Konieczność dokonania transformacji systemów i procedur może prowadzić do tymczasowych przestojów operacyjnych, które mogą się odbić na przychodach. Wprowadzenie nowych wymogów jest wyzwaniem także w kontekście niedoboru specjalistów ds. cyberbezpieczeństwa.

Konieczna analiza kosztów i korzyści

Procedura uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka w projekcie nowelizacji nie jest uregulowana w NIS2, jednak ustawodawca zdecydował się na jej wprowadzenie we wszystkich 18 sektorach. Decyzja wydana wobec dostawcy zmusi do reorganizacji łańcuchów dostaw i wymiany sprzętu lub oprogramowania, pochodzącego przykładowo od dostawcy z Argentyny, Brazylii, Chin, Indii, Izraela, Korei Południowej, Japonii albo innego państwa spoza UE lub NATO.

Na wymianę będzie przewidziany z góry określony czas – co do zasady będzie to siedem lat od dnia wydania decyzji wobec dostawcy. Rygorystyczne terminy na wycofanie produktów mogą prowadzić do przyspieszonych decyzji zakupowych, nie uwzględniają też czasu amortyzacji sprzętu. To dodatkowo obciąży budżet przedsiębiorców.

Z tego względu konieczne jest przeprowadzenie szczegółowej analizy kosztów i korzyści związanych z projektowaną regulacją już na etapie procesu legislacyjnego. Taka analiza powinna uwzględniać zarówno bezpośrednie, jak i pośrednie koszty, z którymi będą musieli się zmierzyć gracze na rynku. Zwłaszcza że przewidziany w projekcie termin na wdrożenie obowiązków jest krótki (sześć miesięcy) i jednolity dla wszystkich podmiotów, niezależnie od rozmiaru.

Kolejne kroki w procesie legislacyjnym

24 maja zakończyły się konsultacje publiczne, do których zostało zaproszonych 60 podmiotów. Niestety, wiele sektorów nie zostało uwzględnionych (m.in. brak reprezentantów dla sektora produkcji, przetwarzania i dystrybucji żywności czy dla sektora produkcji wyrobów medycznych). Przeprowadzenie dostatecznie szerokich konsultacji publicznych jest kluczowe, aby zebrać opinie i doświadczenia ze wszystkich sektorów gospodarki – zwłaszcza tych, które po raz pierwszy będą podlegać wymogom związanym z cyberbezpieczeństwem. To dla nich wdrożenie regulacji będzie największym wyzwaniem.

Newsletter Prawny

Subskrybuj newsletter i otrzymuj aktualne informacje o zmianach w prawie dotyczących polskiego biznesu.

Zapisz się

Podsumowanie

W celu uniknięcia tworzenia barier w handlu wewnętrznym UE i zapewnienia polskim przedsiębiorstwom równych warunków konkurencji Polska powinna dążyć do harmonizacji swoich przepisów z regulacjami przyjętymi w innych państwach członkowskich. Wprowadzenie elastyczności w procesie wdrażania nowych wymogów, w tym stopniowe wdrażanie i wsparcie dla małych i średnich przedsiębiorstw, może pomóc w rozłożeniu kosztów w czasie i ułatwić adaptację do nowych regulacji.


Artykuł ukazał się w Rzeczpospolitej w dniu 23 maja 2024 r.

  • Pokaż przypisy#Ukryj przypisy

    1. Projekt opublikowany 24 kwietnia 2024 roku pod adresem: https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/902927_projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-niektorych-innych-ustaw.html [data dostępu: 15.05.2024]
    2. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS2)

     

     

     

     

Jak EY może pomóc

Prawo nowych technologii

Kancelaria EY Law świadczy kompleksowe doradztwo w zakresie prawa nowych technologii. AI - cloud computing – cyberbezpieczeństwo – 5G. Dowiedz się więcej.

Czytaj więcej

Lider

Justyna Wilczyńska-Baraniak
Justyna Wilczyńska-Baraniak

EY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat

Joanna Ostrowska
Joanna Ostrowska

EY Polska, Kancelaria EY Law, Senior Manager, Counsel

Maciej Bisch
Maciej Bisch

EY Polska, Kancelaria EY Law, Manager, Adwokat

Ochrona danych osobowych

Kancelaria EY Law świadczy kompleksowe usługi prawne z zakresu ochrony danych osobowych.

Czytaj więcej
Prawo własności intelektualnej

Kancelaria EY Law oferuje kompleksowe doradztwo w zakresie własności intelektualnej. Prawo autorskie - Znaki towarowe – Patenty. Dowiedz się więcej.

Czytaj więcej
Prawo korporacyjne, fuzje i przejęcia

EY Law świadczy kompleksowe usługi w zakresie prawa spółek.

Czytaj więcej

Kontakt

Chcesz dowiedzieć się więcej? Skontaktuj się z nami.

LinkedIn Twitter

Informacje

Justyna Wilczyńska-Baraniak
Autor Justyna Wilczyńska-Baraniak

EY Polska, Kancelaria EY Law, Własność Intelektualna, Technologie i Dane Osobowe, Partner, Adwokat

Lider Zespołu Prawa Własności Intelektualnej, Technologii, Danych Osobowych w Kancelarii EY Law. Doradza na rzecz korporacji w zakresie ochrony własności intelektualnej i wdrażania nowych technologii.

Powiązane tematy Doradztwo prawne Cybersecurity
  • Facebook
  • LinkedIn
  • X (formerly Twitter)
  • Link został skopiowany
Polub