Implementacja unijnej dyrektywy NIS2 ma wreszcie nastąpić w 2026 roku. „Ma” — i powinna, bo termin wdrożenia minął już ponad rok temu. Stawka jest wysoka: chodzi o bezpieczeństwo cyfrowe Polski.
– Po latach zapowiedzi i nieudanych prób Polska wreszcie przechodzi do realnej implementacji unijnej dyrektywy NIS2 i porządkowania systemu cyberbezpieczeństwa. Cyberzagrożenia są dziś jednym z kluczowych ryzyk dla państwa i gospodarki, a brak spójnych ram prawnych utrudnia zarówno reakcję administracji, jak i inwestycje firm w bezpieczeństwo cyfrowe. Sam fakt, że rząd zdecydował się zakończyć (po kilku latach, bowiem prace zaczęły się jeszcze za rządów poprzedniej koalicji) etap analiz i przejść do legislacji, zasługuje na pozytywną ocenę. Problemem nie jest jednak cel, lecz dobór środków – stwierdza w rozmowie z „Wprost” ekspert ds. cyberbezpieczeństwa, płk dr Piotr Potejko.
Przeregulowany projekt?
Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), który ma przenieść unijne regulacje na grunt krajowy, budzi jednak poważne wątpliwości.
– Polski projekt nowelizacji ustawy o KSC idzie dalej, niż wspomniana dyrektywa. Skala regulacji, obejmująca bardzo szeroki katalog sektorów i dziesiątki tysięcy podmiotów, budzi pytania o jej adekwatność i wykonalność, a przede wszystkim realną skuteczność – mówi płk dr Piotr Potejko.
Ekspert wyjaśnia, że propozycja noweli przesuwa punkt ciężkości z oceny konkretnych technologii na kwalifikację dostawców według kryteriów podmiotowych, w tym kraju pochodzenia.
– W cyberbezpieczeństwie decydujące znaczenie mają testy, certyfikacja, audyty i kontrola operacyjna rozwiązań technicznych. Punktem wyjścia nie jest państwo pochodzenia, lecz technologie, które można badać, konfigurować i dostosowywać do własnych wymogów bezpieczeństwa. Praktyka gospodarcza pokazuje, że regulacje oparte wyłącznie na kryterium pochodzenia bywają nieskuteczne, bowiem produkty objęte embargiem potrafią omijać ograniczenia poprzez zmianę formalnej metki – tłumaczy Potejko.
Firmy transgraniczne z nie lada problemami
Zdaniem eksperta zaproponowane regulacje stwarzają poważne wyzwania m.in. dla przedsiębiorstw działających transgranicznie.
– Jeżeli dany dostawca technologii jest dopuszczony do użytku w Niemczech czy Czechach, a w Polsce zostanie wykluczony, powstaje pytanie o konsekwencje dla działalności w ramach jednolitego rynku. Co z urządzeniami wykorzystywanymi w spedycji, transporcie czy logistyce przez firmy, które regularnie operują na terytorium Polski? Auta i pociągi otrzymają zakaz wjazdu do Polski? Brak jasnych odpowiedzi grozi fragmentacją rynku i dodatkowymi kosztami dla przedsiębiorców. Przede wszystkim zaś chaosem, który osłabi działanie nowego prawa – wyjaśnia Potejko.
„Nowe przepisy powinny działać jak skalpel, a nie siekiera”
– Nie ulega wątpliwości, że rząd ma rację, wskazując na szczególną podatność Polski na cyberataki i zagrożenia hybrydowe. Warto jednak pamiętać, że inne państwa UE również mierzą się z podobnymi wyzwaniami. Ich doświadczenia pokazują, że skuteczna regulacja cyberbezpieczeństwa opiera się przede wszystkim na zdolności szybkiej i precyzyjnej reakcji na realne zagrożenia, a nie na masowym wykluczaniu całych kategorii dostawców. Z punktu widzenia gospodarki i bezpieczeństwa kluczowe jest, aby nowe przepisy działały jak skalpel, a nie siekiera – uważa ekspert ds. cyberbezpieczeństwa.
Potejko podkreśla, że państwo powinno mieć narzędzia do zdecydowanego działania w sytuacjach kryzysowych, ale regulacja nie może generować chaosu na rynku, ograniczać konkurencji ani zwiększać ryzyka regulacyjnego dla firm, które inwestują i planują w długim horyzoncie.
– Implementacja NIS2 to właściwy kierunek. Aby jednak wzmocnić bezpieczeństwo bez osłabiania rynku, potrzebne są przepisy bardziej precyzyjne, oparte na technologii i analizie ryzyka, a nie na szerokich kwalifikacjach podmiotowych. W przeciwnym razie koszt regulacji może okazać się wyższy niż korzyści, jakie ma ona przynieść – wskazuje Potejko.