Projekt nowelizacji
ustawy o krajowym systemie cyberbezpieczeństwa, stanowiący wdrożenie
dyrektywy NIS2, wzbudza wiele kontrowersji. Wskazuje się m.in. na wysokie
koszty dostosowania do nowych wymogów związanych z cyberbezpieczeństwem
i nadregulację w stosunku do wymagań unijnych.
Cyberbezpieczeństwo w Polsce. Surowsze rygory implementacji dyrektywy NIS2
Na ten ostatni aspekt zwracają uwagę eksperci EY, którzy
opublikowali właśnie raport pt. „Implemtacja Dyrektywy NIS2 w Polsce na tle
wybranych państw UE”. Jak wskazują jego autorzy – Justyna Wilczyńska-Baraniak,
Patryk Gęborys i Alicja Guzy z EY, Polska przyjmuje jedno z bardziej
rygorystycznych stanowisk przy implementacji, wprowadzając rozwiązania stanowiące
nadregulację.
Czytaj więcej
„Polski projekt
nowelizacji UKSC wykracza poza wymogi unijnej dyrektywy NIS2, wprowadzając
bardziej rygorystyczne przepisy. W szczególności, zwiększa zakres kontroli nad
sektorami uznawanymi za kluczowe, poszerzając ich klasyfikację w porównaniu do
kategorii określonych przez NIS2” – czytamy w raporcie. Chodzi o branże
chemiczną, żywnościową i medyczną, które unijne przepisy określają jako ważne,
a w polskim projekcie przepisów uznano je za
kluczowe. A to wiąże się z surowszymi wymaganiami bezpieczeństwa i zwiększeniem
kosztów niezależnie od rozmiaru
podmiotu. Zdaniem ekspertów EY może to nie być proporcjonalne i
uzasadnione. Jak wskazują, zwiększenie zakresu kontroli wymusza dodatkowe
koszty w postaci częstszych audytów i wdrożenia mechanizmów kontroli.Opracowanie wskazuje
też na to, że projekt nowelizacji przewiduje bardziej rozbudowany system kar za
naruszenia cyberbezpieczeństwa niż dyrektywa NIS2. Jak wskazują eksperci EY, wprowadzenie dodatkowych
elementów, takich jak natychmiastowa wykonalność decyzji, czyni system kar
bardziej dotkliwym i może mieć znaczny wpływ na działalność biznesu (zwłaszcza że
polskie organy będą mogły nałożyć karę w wysokości do 100 mln zł).
Maksymalna wysokość kar w dyrektywie wynosi do 10 mln euro lub 2
proc. obrotów dla podmiotów kluczowych oraz do 7 mln euro lub 1,4 proc. obrotu
dla podmiotów ważnych. W kontekście
zaostrzenia wymogów w raporcie przytoczono też statystyki incydentów cyberbezpieczeństwa.
„Największy wzrost, wg raportów CERT Polska z 2022 i 2023 roku, w zgłoszonych
incydentach najwięcej jest oszustw komputerowych, które w 2023 r.
stanowiły około 95 proc. wszystkich incydentów.
Natomiast włamania,
próby włamania, dostępność zasobów, ata … czytaj dalej
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS