KSC najwcześniej w przyszłym roku, czyli długo po terminie - dużym problemem gold-plating

1 miesiąc temu

Dziennik Gazeta Prawna przedstawił na swoich łamach dyskusję prawników, która dowodzi, iż nadregulacje stanowią poważną przeszkodę dla terminowego wdrożenia NIS2 przed rozpoczęciem prezydencji Polski w Unii Europejskiej. Zbyt „ambitne” podejście na poziomie krajowym blokuje dostosowanie regulacji do wymagań UE. Opóźnienia w przyjęciu przepisów, brak spójności i niepewne otoczenie regulacyjne działają na szkodę polskich przedsiębiorców i administracji państwowej.

Pełna treść artykułu znajduje się tutaj.

Poniżej fragment dyskusji:

Sprawa Ustawy o Krajowym Systemie Cyberbezpieczeństwa ciągnie się już od 4 lat. Jakie są jej główne punkty i kwestie, które wzbudziły największe wątpliwości podczas konsultacji społecznych?

Karolina Kulikowska-Gruszecka, radca prawny, Senior Associate w Praktyce IP & TMT kancelarii Domański Zakrzewski Palinka sp.k.:

(…) Istotne jest jednak, iż zakres projektu przedstawionego przez Ministerstwo Cyfryzacji jest szerszy niż wynika to z legislacji unijnej. Może to oznaczać większe koszty dla adresatów nowej regulacji. Wątkiem, który zwraca szczególną uwagę, jest wprowadzenie procedury uznania danego podmiotu za „dostawcę wysokiego ryzyka”. Uznanie za takiego dostawcę powoduje, iż wszystkie podmioty najważniejsze i ważne muszą zrezygnować z korzystania z jego produktów. Przepisy dotyczące dostawców wysokiego ryzyka znalazły się w Toolboxie 5G, czyli wytycznych wydanych przez Komisję Europejską, w ramach których zaleca się m.in. aby wszystkie państwa członkowskie zastosowały odpowiednie ograniczenia dla dostawców uznanych za obarczonych wysokim ryzykiem, jednak tylko w kontekście bezpiecznego wdrożenia sieci 5G w państwach członkowskich UE. Zaproponowana w projekcie nowelizacji ustawy o KSC procedura dotycząca dostawców wysokiego ryzyka dotyczy jednak nie tylko przedsiębiorstw komunikacyjnych, ale również podmiotów kluczowych lub podmiotów ważnych (z wyłączeniem podsektora komunikacji elektronicznej). A zatem, projekt ustawy wykracza również w sposób istotny poza zalecenia wynikające Toolbox 5G. Dyrektywa NIS2 nie przewiduje z kolei żadnych regulacji ani procedur dotyczących dostawców wysokiego ryzyka.

Gniewomir Wycichowski-Kuchta, legislator, Associate w Praktyce Doradztwa Regulacyjnego, Legislacji i Compliance kancelarii Domański Zakrzewski Palinka sp.k., współpracownik naukowy WPiA UW oraz INP PAN:

Punktem „zapalnym” w konsultacjach publicznych, ale także w uzgodnieniach międzyresortowych prowadzonych z innymi ministerstwami jest to, iż Ministerstwo Cyfryzacji zdecydowało się na „ambitniejsze” podejście niż wynikałoby to z dyrektywy NIS2 – eksperci i Komisja Europejska nazywają to „gold-platingiem” czyli „pozłacaniem”. Zjawisko to oznacza wprowadzenie dodatkowych obowiązków względem tego czego wymaga od nas UE. (…)

Kiedy Państwa zdaniem Krajowym Systemie Cyberbezpieczeństwa zostanie przyjęta i wdrożona?

GWK: Przebieg procesu legislacyjnego jest bardzo trudny do przewidzenia, bo projekt został opublikowany niemalże pół roku temu. Bardzo wiele zależy od tego czy Ministerstwo wycofa się z procedury HRV i innych nadregulacji – jeżeli tego nie zrobi projekt, po przyjęciu go przez rząd, będzie musiał zostać notyfikowany Komisji Europejskiej i prace legislacyjne nad nim będą musiały zostać wstrzymane przez 3 miesiące. choćby więc, zakładając bardzo optymistyczną wersję, iż w obecnej wersji Rada Ministrów przyjmie projekt w październiku, to Sejm będzie mógł zająć się ustawą dopiero w nowym roku. Podkreślić należy, iż już w tej chwili termin implementacji przez Polskę dyrektywy NIS2 jest niemożliwy do dotrzymania – mija on 17 października. Istnieje więc bardzo dużo szansa, iż wejdziemy w naszą unijną prezydencję z postępowaniem wszczętym przez Komisję Europejską za brak wdrożenia tej dyrektywy w terminie. jeżeli chcemy tego uniknąć odpuszczenie wątków nadregulacyjnych jest koniecznością – wtedy, przy sprawnych pracach w rządzie i parlamencie, końcówka roku wydaję się realną perspektywą.

Pełna treść artykułu znajduje się tutaj.

Idź do oryginalnego materiału