Nowelizacja ustawy o cyberbezpieczeństwie może kosztować firmy co najmniej 14 mld zł. Branża ostrzega, że realne wydatki mogą być wielokrotnie wyższe.
- Nowelizacja KSC wprowadza procedurę uznania dostawcy za „wysokiego ryzyka”, co może wymusić kosztowną wymianę sprzętu i oprogramowania ICT.
- Według wyliczeń KIKE średni koszt dla jednego małego lub średniego operatora telekomunikacyjnego to 4,3 mln zł w ciągu pięciu lat.
- Łączny koszt dla branży telekomunikacyjnej oszacowano na 14,4 mld zł, choć to tylko scenariusz dotyczący jednego sektora gospodarki.
- Firmy nie otrzymają rekompensat za obowiązkową wymianę sprzętu, a na dostosowanie przewidziano od 4 do 7 lat.
- Eksperci ostrzegają, że jeśli procedura obejmie wiele sektorów gospodarki, koszty mogą sięgnąć dziesiątek, a nawet setek miliardów złotych.
Rząd nie przedstawił wyliczeń pokazujących, jakie wydatki poniosą przedsiębiorcy w związku z nowelizacją przepisów dotyczących cyberbezpieczeństwa. Szacunki w tym zakresie przygotowała część mniejszych firm telekomunikacyjnych. Według tych wyliczeń łączne koszty dostosowania do nowych wymagań mogą wynieść co najmniej kilkanaście miliardów złotych. W bardziej niekorzystnym wariancie wskazywane są kwoty sięgające setek miliardów złotych.
Zmiany wynikają z nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wdraża unijną dyrektywę NIS2 dotyczącą wspólnego poziomu cyberbezpieczeństwa w państwach członkowskich. Ustawa została przyjęta przez Sejm i Senat w styczniu. Nowe regulacje rozszerzają zakres podmiotów objętych obowiązkami w obszarze ochrony systemów informatycznych oraz nakładają dodatkowe wymagania organizacyjne i techniczne.
Kategoria „dostawcy wysokiego ryzyka”
Jednym z nowych rozwiązań jest wprowadzenie kategorii dostawcy wysokiego ryzyka. Decyzję o uznaniu konkretnego dostawcy za taki podmiot będzie mógł wydawać minister cyfryzacji. Rozstrzygnięcie to może dotyczyć określonych produktów, usług lub procesów związanych z technologiami informacyjno-komunikacyjnymi oferowanymi przez daną firmę. Skutkiem takiej decyzji będzie zakaz dalszego nabywania wskazanych rozwiązań, a w przypadku ich wcześniejszego zakupu także obowiązek ich wymiany.
Firmy, które już korzystają ze sprzętu lub oprogramowania objętego decyzją, będą musiały usunąć je ze swojej infrastruktury w określonym terminie. Przewidziany okres na realizację tego obowiązku wynosi od czterech do siedmiu lat. Przepisy nie przewidują mechanizmu rekompensat za konieczność wcześniejszej wymiany działających systemów i urządzeń.
Celem nowych regulacji jest podniesienie poziomu bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez podmioty działające w kluczowych sektorach gospodarki. Przedstawiciele przedsiębiorców zwracali jednak uwagę, że wdrożenie nowych obowiązków może wiązać się z dużymi nakładami finansowymi. Koszty te nie zostały ujęte w rządowej ocenie skutków regulacji dołączonej do projektu ustawy.
Sprzęt spoza UE i NATO bardziej narażony na wykluczenie
Krajowa Izba Komunikacji Ethernetowej, która zrzesza firmy telekomunikacyjne z sektora mikro, małych i średnich przedsiębiorstw, przeprowadziła analizę dotyczącą kosztów ewentualnej wymiany sprzętu i oprogramowania w ramach procedury DWR. Celem było oszacowanie, jakie obciążenia finansowe mogłyby ponieść firmy w przypadku wprowadzenia obowiązku usunięcia określonych rozwiązań technologicznych z ich sieci.
Badanie objęło 152 przedsiębiorców działających na rynku telekomunikacyjnym. Ankiety były zbierane od listopada ubiegłego roku do stycznia bieżącego roku. W analizie skupiono się na urządzeniach i oprogramowaniu pochodzących od dostawców spoza Unii Europejskiej oraz NATO, ponieważ ten segment został uznany za najbardziej narażony na konieczność wymiany w przyszłości.
– Bardzo ważne jest budowanie świadomości wśród przedstawicieli administracji publicznej oraz przedsiębiorców na temat skali skutków finansowych potencjalnego nakazu usuwania sprzętu i oprogramowania – uzasadnia Karol Skupień, prezes KIKE, w raporcie o kosztach procedury DWR.
W opracowaniu zwrócono uwagę na niepewność związaną z zakresem przyszłych regulacji. Przedsiębiorcy nie mają obecnie jasnych informacji, które dokładnie urządzenia i systemy mogłyby zostać objęte obowiązkiem wymiany ani jacy dostawcy mogliby zostać formalnie zakwalifikowani jako dostawcy wysokiego ryzyka.
– Nie znamy zakresu sprzętu i oprogramowania, które mogą być w przyszłości objęte nakazem, ani listy dostawców, którzy być może zostaną uznani za DWR – przyznaje Karol Skupień.
Prezes KIKE wskazał jednocześnie, że w nowelizacji przepisów dotyczących krajowego systemu cyberbezpieczeństwa pojawiły się zapisy, które w większym stopniu odnoszą się do podmiotów spoza Unii Europejskiej i NATO niż do firm pochodzących z państw członkowskich tych struktur.
Problemy z ciągłością działalności
W sektorze małych i średnich firm telekomunikacyjnych zwrócono uwagę na pochodzenie wykorzystywanego sprzętu informatycznego i sieciowego. Dane pokazują, że w 81 procentach przedsiębiorstw ponad połowa używanych urządzeń, takich jak komputery, serwery czy routery, została wyprodukowana poza krajami Unii Europejskiej i NATO. Jednocześnie 23 procent badanych podmiotów deklaruje, że niemal cały ich park sprzętowy, przekraczający 90 procent zasobów, pochodzi z tych kierunków.
Wskazano, że w tej grupie firm mogą pojawić się zagrożenia związane z przerwami w świadczeniu usług oraz zakłóceniami procesów biznesowych. W kolejnych 4 procentach przedsiębiorstw udział sprzętu spoza UE i NATO mieści się w przedziale od 30 do 50 procent. W ich przypadku również brane są pod uwagę trudności związane z utrzymaniem ciągłości działania i stabilności świadczonych usług.
Łącznie 85 procent ankietowanych firm może napotkać problemy różnej skali dotyczące utrzymania efektywności, jakości oraz liczby realizowanych usług, jeśli pojawią się ograniczenia w dostępie do sprzętu lub jego serwisowania.
Inaczej wygląda sytuacja w obszarze oprogramowania, obejmującego programy komputerowe, aplikacje oraz sterowniki. W 58 procentach firm udział rozwiązań pochodzących spoza UE i NATO nie przekracza 10 procent. Oznacza to, że ewentualna konieczność zastąpienia takiego oprogramowania w większości przypadków nie powinna prowadzić do istotnych zakłóceń w bieżącej działalności ani w realizacji usług.
Kilkanaście miliardów złotych kosztów
Szacunkowe koszty związane z wymianą urządzeń oraz oprogramowania pochodzącego od dostawców objętych procedurą DWR zostały określone na podstawie badań ankietowych przeprowadzonych wśród przedsiębiorców telekomunikacyjnych. Według tych wyliczeń przeciętny podmiot działający w branży może w ciągu pięciu lat ponieść wydatki rzędu 4,3 mln zł netto. Łączny koszt dla całego sektora w tym samym okresie oszacowano na 14,4 mld zł.
Podstawą obliczeń była liczba ponad 3 tys. firm funkcjonujących na rynku telekomunikacyjnym, wskazana w ocenie skutków regulacji. Średni koszt przypadający na jednego przedsiębiorcę został wyliczony jako średnia ważona na podstawie danych przekazanych przez uczestników badania. Obejmuje on zarówno wydatki jednorazowe, jak i koszty powtarzalne związane z utrzymaniem nowych rozwiązań.
Zakup nowego sprzętu i oprogramowania oznacza dla przeciętnej firmy jednorazowy wydatek przekraczający 1,1 mln zł. Oprócz tego raport uwzględnia zwiększone koszty serwisu oraz wsparcia technicznego. W skali roku mają one wynosić ponad 642 tys. zł na jednego przedsiębiorcę. Ponieważ są to wydatki stałe, w perspektywie pięciu lat ich łączna wartość w skali całej branży ma przekroczyć 3,2 mld zł.
Przyjęte wyliczenia oparto na założeniu, że wymianie może podlegać cały sprzęt i oprogramowanie pochodzące od dostawców spoza Unii Europejskiej i NATO. Wskazano jednocześnie, że rzeczywista liczba firm objętych skutkami procedury DWR może różnić się od przyjętej w analizie. Autorzy raportu zaznaczyli również, że nie uwzględniono kosztów związanych z innymi obowiązkami wynikającymi z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.
Do takich dodatkowych wymogów należą między innymi wdrożenie systemu zarządzania bezpieczeństwem informacji, przeprowadzanie okresowych audytów bezpieczeństwa oraz obowiązek zgłaszania incydentów do właściwych zespołów reagowania na incydenty bezpieczeństwa komputerowego. Do tej pory nie opublikowano całościowej analizy, która obejmowałaby pełne koszty dostosowania się przedsiębiorców do wszystkich wymogów przewidzianych w zmienionych przepisach.
Przeciwnicy grzmią
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa od początku wywołuje spór wśród uczestników rynku i organizacji branżowych. Prace nad zmianami trwały ponad sześć lat. W poprzedniej kadencji projekt został wycofany z Sejmu po krytyce ze strony części środowisk gospodarczych. Obecnie ustawa została już uchwalona i oczekuje na decyzję prezydenta.
Do kancelarii głowy państwa kierowane są stanowiska zarówno przeciwników, jak i zwolenników nowych przepisów. Jedenaście organizacji przedsiębiorców zwróciło się z apelem o skierowanie ustawy do Trybunału Konstytucyjnego.
– W oparciu o naszą najlepszą wiedzę proponowane rozwiązania są w sposób oczywisty niezgodne z przepisami Konstytucji RP – argumentują przeciwnicy nowelizacji.
Sygnatariusze apelu wskazują na zapisy dotyczące dostawców wysokiego ryzyka. Według nich nowe regulacje mogą prowadzić do sytuacji, w której przedsiębiorcy korzystający z określonego sprzętu elektronicznego zostaną zobowiązani do jego wymiany bez przewidzianego mechanizmu rekompensaty finansowej.
Pod apelem podpisały się organizacje reprezentujące różne branże, w tym BioForum Związku Firm Biotechnologicznych, Federacja Przedsiębiorców Polskich, Fundacja Nasza Wizja, Krajowa Izba Komunikacji Ethernetowej, Ogólnopolska Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl, Organizacja Pracodawców Rada Przedsiębiorców, Polska Izba Handlu, Polskie Towarzystwo Gospodarcze, Rada Bezpieczeństwa Biznesowego Małych i Średnich Operatorów Telekomunikacyjnych, Związek Pracodawców Mediów Elektronicznych i Telekomunikacji Mediacom oraz Związek Pracodawców Business Centre Club.
Odmienne stanowisko przedstawił Związek Cyfrowa Polska, który apeluje o podpisanie ustawy. Organizacja ta wskazuje na potrzebę szybkiego wejścia przepisów w życie w celu wzmocnienia narzędzi służących ochronie infrastruktury krytycznej.
Źródło: WNP
Fot. Unsplash.