Departament Cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów odpowiedział Rzecznikowi Małych i Średnich Przedsiębiorców w sprawie wątpliwości, jakie ten jesienią ub. roku zgłosił do rządowego projektu ustawy o krajowym systemie cyberbezpieczeństwa (KSC).
Rzecznik MŚP wskazywał wówczas m.in., że uzasadnienie do projektu powinno zostać uzupełnione o przewidywany wpływ nowych regulacji na sektor MŚP z branży telekomunikacyjnej. Dodatkowo zwrócił uwagę, że równolegle do projektu KSC procedowany jest projekt ustawy – Prawo komunikacji elektronicznej, dlatego w celu uniknięcia wprowadzenia sprzecznych uregulowań z dotyczącymi bezpieczeństwa sieci i usług, w ocenie Rzecznika MŚP, regulacje te powinny zostać określony w sposób kompleksowy, jednoznaczny oraz spójny w jednym akcie prawnym.
Jak się do tego ustosunkował Departamentu Cyberbezpieczeństwa KPRM?
Poinformował, że przepisy dotyczące obowiązków przedsiębiorców komunikacji elektronicznej w zakresie bezpieczeństwa sieci i usług komunikacji elektronicznej oraz przepisy CRIST telco zostaną dodane do ustawy o krajowym systemie cyberbezpieczeństwa poprzez ustawę wprowadzającą Prawo Komunikacji Elektronicznej. Zapewnił również, że przedsiębiorcy telekomunikacyjni wdrażać będą środki techniczne i organizacyjne adekwatne do oszacowanego ryzyka, z uwzględnieniem tego, że: „oczywistym jest fakt, że dużego przedsiębiorcę komunikacji elektronicznej będą dotyczyły innego rodzaju ryzyka niż małego przedsiębiorcę komunikacji elektronicznej”.
Robert Kośla, z KPRM, który podpisał pismo dodał też, że ocena skutków regulacji została uzupełniona o ocenę wpływu projektowanych przepisów na sektor MŚP, przy czym zmiany w ustawie w szczególności będą dotyczyć tych mało i średnich przedsiębiorców, którzy są operatorami usług kluczowych lub dostawcami usług cyfrowych.
Mali i średni przedsiębiorcy będą musieli wycofać sprzęt lub oprogramowanie dostawcy wysokiego ryzyka z użycia zasadniczo w ciągu 7 lat, ale tylko wtedy, jeśli będą należeć do którejś z wyszczególnionych przez ustawodawcę kategorii:
- podmioty krajowego systemu cyberbezpieczeństwa,
- przedsiębiorcy komunikacyjni sporządzający plany działań w sytuacji szczególnego zagrożenia,
- operatorzy infrastruktury krytycznej,
- przedsiębiorcy o szczególnym znaczeniu gospodarczo obronnym.
Obowiązek wycofania produktów, usług i procesów dostawcy wysokiego ryzyka nie będzie dotyczył mikroprzedsiębiorców telekomunikacyjnych, ponieważ objęci nim będą wyłącznie przedsiębiorcy telekomunikacyjnych sporządzający plany działań w sytuacji szczególnego zagrożenia, których jest w Polsce około 100. Są to z reguły najwięksi przedsiębiorcy telekomunikacyjni w Polsce.
– Zapis ten ma istotne znaczenie dla przedsiębiorców z sektora MŚP, bowiem nakładanie obowiązków w zakresie cyberbezpieczeństwa wiąże się z istotnymi nakładami, co stanowi istotne obciążenie głównie dla najmniejszych firm krajowych – komentuje Adam Abramowicz, rzecznik małych i średnich przedsiębiorców.