Ministerstwo Cyfryzacji 20 czerwca zorganizowało konsultacje społeczne dotyczące działań z obszaru cyfryzacji państwa.
Jednym z poruszanych tematów była nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która ma wprowadzić do polskiego prawodawstwa założenia dyrektywy NIS2.
Nowe przepisy powinny być wdrożone do 17 października, ale coraz częściej słychać glosy, że skala proponowanych działań może negatywnie wpłynąć na konkurencyjność wielu firm, gdyż jej reżimowi ma podlegać około 38 tysięcy podmiotów.
Kwestię tę poruszył m.in. Rzecznik Małych i Średnich Przedsiębiorców w uwagach do projektu zmian ustawy o KSC. Zgadzając się z ogólnymi założeniami ustawy, co do zapewnienia cyberbezpieczeństwa, rzecznik zauważył jednak, że pociąga ona za sobą nadmierne koszty i wysiłek organizacyjny, trudny do udźwignięcia przez mniejsze firmy. Jak stwierdził:
„obowiązki nałożone projektem dla mniejszych podmiotów mogą stanowić duże wyzwanie organizacyjne oraz finansowe i w takim kontekście przeszkodę w wykonywaniu działalności gospodarczej na terytorium Rzeczypospolitej”.
W jego ocenie, zawarte w projekcie nad regulacje w stosunku do dyrektywy NIS 2 kłócą się z zasadą proporcjonalności, a tym samym sprzeczne są z konstytucją biznesu.
Z tego, że wdrożenie NIS 2 pociągnie za sobą spore koszty dla podmiotów zobowiązanych respektować nowe przepisy. Nie ma co do tego wątpliwości sam ustawodawca, czyli Komisja Europejska (KE). Szczególnie boleśnie mogą to odczuć firmy czy instytucje, które nie podlegały przepisom NIS 1 i będą musiały dostosować do nowych wymagań swe procedury i systemy informatyczne praktycznie od zera.
Komisja Europejska w dokumencie dotyczącym potencjalnych skutków wprowadzenia NIS 2 oszacowała (m.in. na podstawie danych z firm dostosowujących się do pierwszej wersji dyrektywy z 2016 roku), że w perspektywie kolejnych 3-4 lat organizacje będą musiały zwiększyć swoje wydatki na zabezpieczenia sieci i cyfrowych informacji o około 22 proc.
W przypadku sektorów czy firm objętych już wcześniej NIS i dysponujących pewnym stopniem zabezpieczeń, ten wzrost wydatków będzie niższy i sięgać może średnio około 12 proc. Dla średnich firm koszty mają pójść w górę o ok. 15 proc.
Wzrost kosztów wynika z konieczności rozbudowy zespołów ds. bezpieczeństwa, zakupu nowego sprzętu, oprogramowania i usług, kosztów administracyjnych i poniesienia nakładów na stworzenia procedur zgodnych z NIS2, by wdrożyć podstawowe praktyki ochrony cybernetycznej, takie jak: zasady zerowego zaufania, aktualizacje oprogramowania, konfiguracja urządzeń, segmentacja sieci, zarządzanie tożsamością i dostępem oraz świadomość użytkowników.
KE obstaje jednak, że to się opłaci ze względu na znaczne obniżenie kosztów cyberincydentów w skali Unii Europejskiej (szacowanych na 118 mld EUR w okresie dziesięciu lat). Będzie to m.in. efektem tego, że skrócony zostanie średni czasu potrzebny do wykrycia incydentu, organizacje szybciej będą zdolne przywrócić normalnego działanie systemów po cyberataku oraz zmniejszy się średni koszt szkód spowodowanych incydentem.
Jeśli chodzi o wspomniane wcześniej koszty, to Bruksela przewiduje, że w ciągu kilku lat obowiązywania NIS 2 nastąpi wyrównanie wydatków sektorowych na cyberbezpieczeństwa.
Dziś bowiem nakłady te różnią się znacznie w poszczególnych sektorach w UE.
Nałożenie na przedsiębiorstwa w większej liczbie sektorów wymogu wprowadzenia środków powinno zaś sprawić, że odchylenia od średnich wydatków na bezpieczeństwo ICT w poszczególnych sektorach, wyrażone jako odsetek całkowitych wydatków na ICT, zmniejszą się między sektorami i w poszczególnych państwach członkowskich.
