Ministerstwo Cyfryzacji wprowadza nowe zasady, które mogą zrewolucjonizować bezpieczeństwo cyfrowe w Polsce. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa w związku z Dyrektywą NIS2, ma na celu m.in. zabezpieczenie łańcucha dostaw produktów, usług i procesów ICT. Zmiany obejmą zasięgiem nie tylko podmioty kluczowe i ważne, ale także szeroki krąg dostawców, którzy mogą być uznani za dostawców wysokiego ryzyka. Co ciekawe, choć problem HVR wywodzi się z sektora telekomunikacyjnego, nowe przepisy obejmą znacznie więcej branż, wpływając na funkcjonowanie całej gospodarki. Więcej na ten temat w serwisie prawo.pl pisze nasz ekspert, Jarosław Straś. Zapraszamy do lektury!
Projekt ustawy przewiduje, że Minister Cyfryzacji będzie mógł prowadzić postępowania w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka (high risk vendor), jeżeli istnieje zagrożenie dla bezpieczeństwa państwa lub porządku publicznego. Uznanie dostawcy za HVR będzie miało poważne konsekwencje dla podmiotów korzystających z ich produktów i usług, gdyż będzie wiązało się z obowiązkiem wycofania z użytkowania określonych produktów w ciągu 4-7 lat. W szczególności dotyczyć to będzie podmiotów kluczowych i ważnych, a także przedsiębiorców telekomunikacyjnych o dużej skali przychodów.
Projekt budzi kontrowersje, szczególnie w kontekście pogodzenia go z konstytucyjną zasadą wolności gospodarczej. Ministerstwo Cyfryzacji uzasadnia proponowane ograniczenia ważnym interesem publicznym, ale wątpliwości może budzić proporcjonalność proponowanych środków. Uznanie dostawcy za HVR może skutkować wzrostem kosztów dla odbiorców oraz problemami z dostępnością sprzętu, co może prowadzić do niedoborów na rynku i opóźnieniami w realizacji projektów technologicznych, a nawet bieżącej działalności.
Dyskusja i prace legislacyjne dotyczące nowelizacji ustawy o KSC toczy się w kontekście zbliżającego się terminu rozpoczęcia stosowania przepisów wdrażających Dyrektywę NIS2. Przypominamy, że przepisy te powinny być stosowane już od 18 października tego roku. Państwa członkowskie miały blisko 2 lata na opracowanie zmian w dotychczasowych regulacjach dotyczących cyberbezpieczeństwa.
Na jakich kryteriach opiera się uznanie dostawcy za dostawcę wysokiego ryzyka? Jakie mogą być konsekwencje dla podmiotów korzystających z usług takich dostawców? Czy proponowane zmiany są zgodne z Konstytucją RP? Na te i wiele innych pytań odpowiada w swoim najnowszym tekście ekspert ds. prawnych aspektów cyberbezpieczeństwa w KWKR, Jarosław Straś.
Serdecznie zapraszamy do lektury!