Czy nowa ustawa o cyberbezpieczeństwie chroni nas naprawdę, czy tylko mnoży biurokratyczne koszmary? Eksperci alarmują: proces legislacyjny wokół nowelizacji przypomina chaotyczną gonitwę, gdzie merytoryka przegrywa z polityką. W tle dyrektywa NIS2, sieci 5G i dostawcy wysokiego ryzyka – a nasze propozycje zmian lądują w koszu. Przekonaj się, co poszło nie tak i dlaczego to grozi miliardowymi stratami dla polskich firm.
Dlaczego legislacja w cyberbezpieczeństwie przypomina slalom z przeszkodami?
Tak prowadzony proces legislacyjny nie sprzyja ani bezpieczeństwu, ani jakości prawa – i to jest największy zarzut wobec prac komisji. Wyobraźcie sobie: zamiast skupić się na realnych zagrożeniach, dyskutujemy o politycznych domysłach i sztywnych normach, które za rok będą passe. Eksperci biją na alarm – nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca unijną dyrektywę NIS2, utknęła w pułapce gold platingu i uznaniowości. Zamiast prostego, opartego na ryzyku podejścia, dostajemy labirynt regulacji, który paraliżuje operatorów sieci i przedsiębiorców.
Które poprawki mogły uratować ustawę przed klęską?
Eksperci nie stali z boku – zgłosili konkretne propozycje, które niestety odrzucono bez mrugnięcia okiem. Po pierwsze, chodziło o zmianę zasad uznawania dostawcy wysokiego ryzyka. > „Nasza poprawka usuwała z ustawy kryteria o charakterze politycznym i uznaniowym, takie jak „prawdopodobieństwo wpływu państwa trzeciego”, i zastępowała je obiektywnymi, weryfikowalnymi przesłankami technicznymi i organizacyjnymi – poziomem zabezpieczeń, wynikami audytów, wykrytymi podatnościami, historią incydentów oraz realnym zarządzaniem ryzykiem.**
To nie koniec. Druga kluczowa zmiana? Zawężenie eliminacji sprzętu ICT tylko do rzeczywiście krytycznych elementów. > „Zaproponowaliśmy odejście od podejścia „producenckiego”, które prowadzi do masowego wykluczania całych klas urządzeń, na rzecz podejścia funkcjonalnego – oceny konkretnych komponentów, ich roli w architekturze sieci oraz poziomu ryzyka.** Dodajmy do tego jednolity, 7-letni okres przejściowy na wymianę – bo kto chce wielomiliardowego szoku inwestycyjnego z dnia na dzień? Trzecia propozycja uderzała w sztywne normy dla sieci 5G: > „Sprzeciwiliśmy się wpisywaniu sztywnych i bardzo szczegółowych norm technicznych […] bezpośrednio do ustawy.** Technologia pędzi, a załączniki w ustawie? Stają się balastem po kilku miesiącach. Przenieśmy to do rozporządzeń, po konsultacjach z ekspertami – państwo zyskuje elastyczność, biznes stabilność.
W skrócie: te poprawki miały wyplenić uznaniowość, chronić polskich przedsiębiorców i skupić się na realnych zagrożeniach technicznych, a nie motywacjach politycznych. Odrzucone bez dyskusji. Skandal?
Gold plating – kiedy Polska przegina z unijnymi przepisami
Tu wracamy do tego, co eksperci powtarzają jak mantrę: gold plating. > „Gold plating polega na tym, że państwo członkowskie, implementując prawo Unii Europejskiej, „dokłada” własne, dodatkowe obowiązki, ograniczenia lub sankcje, które nie wynikają ani z literalnego brzmienia dyrektywy, ani z jej celu.** Zamiast proporcjonalnego wdrożenia NIS2, dostajemy wersję na sterydach – droższą, restrykcyjniejszą, absurdalną. Efekt? Operatorzy 5G wymieniają góry sprzętu, który nie zagraża bezpieczeństwu, a cyberzagrożenia śmieją się w nos z biurokracją. Eksperci mają rację: to nie chroni, to dobija gospodarkę. Czas na zmiany, zanim będzie za późno.
