Nowelizacja ustawy o KSC uderzy nie tylko w sektor rolno-spożywczy. Nadregulacja wobec przepisów UE, brak czasu na konsultacje

Materiał informacyjny w ramach kampanii edukacyjnej „Przyszłość Cyfrowa Polski”
Trwają prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która ma wejść w życie jeszcze w tym roku. Zmiany dotkną prawie 40 tysięcy firm działających w Polsce z łącznie 18 sektorów, w tym 1 200 podmiotów z branży rolno-spożywczej. Nowe przepisy budzą spore kontrowersje – wiążą się one m.in. z bardzo szerokim zakresem regulacji i jednocześnie krótkim czasem na konsultacje.

Z czego wynikają zmiany? Dyrektywa NIS2 i ustawa KSC

Planowane zmiany w ustawie o KSC mają związek przede wszystkim z unijnymi regulacjami dotyczącymi cyberbezpieczeństwa. Mowa w szczególności o dyrektywie NIS2 wdrożonej w 2022, której celem jest zapewnienie środków prawnych zwiększających bezpieczeństwo w sieci. Co ważne, polskie przepisy stosują w wielu obszarach bardziej restrykcyjne podejście niż Unia. Efektem są zwiększone wymagania dla firm działających w Polsce, uznawane przez wielu ekspertów za nadregulację wobec założeń dyrektywy NIS2.

Wśród podmiotów dotkniętych nowymi przepisami znalazły się również przedsiębiorstwa z branży rolno-spożywczej. To aż 1 200 firm zajmujących się obszarami takimi jak produkcja artykułów spożywczych i sprzedaż hurtowa owoców, warzyw, mięsa, mleka, wyrobów mleczarskich, olejów i napojów (zarówno alkoholowych, jak i bezalkoholowych). Co ważne, nie będą to wyłącznie duże organizacje – regulacje dotkną wszystkie podmioty zatrudniające co najmniej 50 osób lub mające przychód roczny powyżej 10 mln euro.

Nowe regulacje mogą zatem wpłynąć m.in. na ceny i jakość produktów spożywczych w Polsce, ponieważ podmioty z branży spożywczej będą musiały wprowadzić nowe rozwiązania technologiczne, co osłabi ich płynność finansową i możliwości inwestycyjne.

Koniecznie sprawdź: Twoja firma też może być objęta nowymi regulacjami

Jedną z najważniejszych kwestii dotyczących nowelizacji ustawy o KSC jest bardzo duża liczba firm objętych nowymi przepisami. Będzie to aż 38,5 tys. podmiotów z branż takich jak ochrona zdrowia, produkcja spożywczo-rolna, administracja publiczna, energetyka, transport, bankowość, gospodarka ściekami czy odpady komunalne. Szczegółowe informacje na ten temat są dostępne w ustawie i na stronie Ministerstwa Cyfryzacji. Warto zaznaczyć, że liczba firm, które muszą zastosować się do nowych przepisów w Polsce, jest największa spośród wszystkich krajów UE. Dla porównania w Niemczech czy w Hiszpanii – czyli w państwach o gospodarkach znacznie większych niż w Polsce – jest to odpowiednio 35 tys. i 25 tys. podmiotów.

Co obecny kształt ustawy oznacza dla branży rolnej?

Jedną z najmocniej dotkniętych branż będzie sektor rolniczy, w którym wiele firm opiera swoją codzienną pracę na maszynach od azjatyckich (zwłaszcza chińskich) dostawców, którzy mogą być zaliczeni do grupy DWR. Konieczność zmiany wyposażenia to spory koszt i znacząca, a zarazem w pewnym stopniu niespodziewana przeszkoda w prowadzeniu inwestycji w tym obszarze. Wiele wskazuje na to, że odbije się to także na klientach końcowych w postaci kolejnych podwyżek cen produktów spożywczych.

Swoje zaniepokojenie tą kwestią wyraziły różne organizacje branżowe, w tym Polsko-Chińska Główna Izba Gospodarcza SinoCham. Według oświadczenia SinoCham projekt ustawy narusza zasadę równego traktowania przedsiębiorców, a jego zapisy stanowią nadregulację, zwracając uwagę także na brak możliwości przeprowadzenia rzetelnej oceny przez krótkie konsultacje. Organizacja wystosowała 15 maja wobec Ministerstwa Cyfryzacji apel o zniesienie nadmiernych obciążeń dla przedsiębiorców, który jak dotąd nie spotkał się z odpowiedzią.

Polityczne kryteria w ramach nowelizacji: definicja dostawców wysokiego ryzyka (DWR) i nowe obowiązki dla firm

Kluczowym elementem nowelizacji jest wprowadzenie definicji dostawców wysokiego ryzyka (DWR), czyli firm niespełniających wymagań procedury uznawania oferowanych produktów za bezpieczne. Wśród tych kryteriów znajdują się kwestie takie jak kraj pochodzenia, przepisy w kraju dostawcy czy struktura działalności dostawcy. Choć ustawa nie określa wprost, jakie podmioty będą zaliczane do tej kategorii, można się spodziewać, że będą to m.in. największe spółki technologiczne z Chin. Co to oznacza? Główną konsekwencją będzie fakt, że firmy działające w Polsce zaliczane do grupy podmiotów krytycznych muszą usunąć produkty i sprzęty od DWR jak najszybciej – maksymalnie do 4 lat po dacie wejścia nowych przepisów w życie. Pierwsze zmiany należy zaimplementować już w ciągu 6 miesięcy od nowelizacji, przez co mogą one wpłynąć na firmy z branży rolnej i spożywczej jeszcze w tym roku.

Usunięcie sprzętów od DWR nie jest jedynym nowym obowiązkiem. Oprócz tego już niedługo przedsiębiorstwa objęte ustawą muszą m.in.: stworzyć systemy zarządzania bezpieczeństwem informacji zgodne ze stosownymi normami ISO, wdrożyć zabezpieczenia przed incydentami cyberbezpieczeństwa według aktualnej wiedzy, zgłaszać incydenty do organów nadzorczych w terminie 72 godzin i informować o nich swoich użytkowników, wykonać audyt wstępny przed upływem 12 miesięcy, a co 2 lata przeprowadzać regularne audyty cyberbezpieczeństwa, zapewnić dostęp do wiedzy w zakresie cyberbezpieczeństwa wśród pracowników.

Lista wymogów dla firm jest zatem dość długa, a dodatkowo Ministerstwo Cyfryzacji może określić nowe wymagania dla poszczególnych sektorów drogą rozporządzenia. To kolejny kontrowersyjny aspekt nowelizacji. Zapisy są szczególnie restrykcyjne dla podmiotów ważnych i kluczowych, czyli m.in. podmiotów z rynku komunikacji elektronicznej czy dostawców usług zaufania. Wykaz podmiotów kluczowych i ważnych będzie prowadzony przez ministra ds. informatyzacji. Zaliczenie firmy do jednej z tych grup ma dodatkowo wymagać zgłoszenia się do specjalnego rejestru przed upływem dwóch miesięcy od momentu uznania podmiotu za ważny lub kluczowy.

Konsekwencje niedostosowania się do przepisów – kary mogą być naprawdę wysokie

Nowe przepisy oznaczają spore koszty dla prawie 40 tys. firm działających w Polsce, które mogą wynosić nawet 100 tys. zł rocznie – dla największych przedsiębiorstw kwota ta będzie wielokrotnie wyższa. Łączne koszty wdrożenia zmian w samym sektorze publicznym oszacowano na ponad 900 mln w ciągu 3 lat. Nie można pominąć także potencjalnych kar, które grożą przedsiębiorstwom niestosującym się do nowych przepisów. Ustawa przewiduje następujące kwoty:

  • minimalna kara dla podmiotów ważnych – 15 tys. zł;
  • minimalna kara dla podmiotów kluczowych – 20 tys. zł;
  • maksymalna kara dla podmiotów ważnych – 7 mln euro lub 1,4% przychodów w roku poprzedzającym karę;
  • maksymalna kara dla podmiotów kluczowych – 10 mln euro lub 2% przychodów.

Nowelizacja ustawy o KSC budzi wiele kontrowersji, które skupiają się głównie wokół restrykcyjności przepisów, nadregulacji wobec dyrektywy NIS2 i bardzo krótkiego czasu konsultacji. Część prawników wskazuje także na zagrożenia związane z ograniczeniem konkurencyjności polskich i europejskich firm z uwagi na wzrost ryzyka inwestycyjnego oraz dodatkowe koszty wobec podmiotów spoza UE.

Ostatni moment na konsultacje

Ostateczny projekt ustawy ogłoszono 24 kwietnia 2024 roku, z kolei wdrożenie przepisów musi nastąpić przed 17 października, według harmonogramu implementacji dyrektywy NIS ustalonego przez Unię Europejską. Czas, jaki zaplanowano na konsultacje, jest jednak bardzo krótki i wynosi zaledwie miesiąc. Oznacza to, że przedsiębiorcy mogą zgłosić swoje zastrzeżenia jedynie do 24 maja – miesięczny termin został niezmieniony od pierwotnej wersji nowelizacji, która miała obejmować jedynie 500 firm zamiast aż 38,5 tys., wbrew wcześniejszym deklaracjom Ministra Cyfryzacji. Z nieznanych powodów firmy z branży żywności zostały jednak pominięte w konsultacjach publicznych, czego skutkiem jest bardzo duży brak świadomości w zakresie nowych przepisów wśród podmiotów z tego sektora, podobnie zresztą jak wielu innych.

Dołącz do nas na Facebooku!

Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!

Polub nas na Facebooku!

Dołącz do nas na X!

Codziennie informujemy o ciekawostkach i aktualnych wydarzeniach.

Obserwuj nas na X!

Kontakt z redakcją

Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?

Napisz do nas!

Materiał oryginalny: Nowelizacja ustawy o KSC uderzy nie tylko w sektor rolno-spożywczy. Nadregulacja wobec przepisów UE, brak czasu na konsultacje - Portal i.pl

Wróć na dziennikzachodni.pl Dziennik Zachodni