Rzecznik MŚP: Ustawa o cyberbezpieczeństwie nie obciąży najmniejszych firm telekomunikacyjnych

Rzecznik MŚP we wrześniu ubiegłego roku zgłosił ministrowi cyfryzacji swoje uwagi i zastrzeżenia do Projektu ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych. W szczególności wskazano, że projekt wymaga dostosowania jego rozwiązań do zasad Prawa Przedsiębiorców – Konstytucji Biznesu, w tym zasady proporcjonalności i adekwatności. Rzecznik MŚP wskazał, że Konstytucja Biznesu ma charakter gwarancyjny dla około 6000 mikro-, małych i średnich przedsiębiorców z branży telekomunikacyjnej. Dlatego uzasadnienie do projektu powinno zostać uzupełnione o przewidywany wpływ Projektu na sektor MŚP.

Zobacz: Pracodawcy RP: Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa to dalsze opóźnienia we wdrażaniu sieci 5G
Zobacz: Projekt ustawy o cyberbezpieczeństwie uderzy w rynek i opóźni wdrażanie 5G. Oznacza też 15 mld zł kosztów operatorów

Dodatkowo Rzecznik MŚP zwrócił uwagę, że równolegle do projektu procedowany jest projekt ustawy – Prawo komunikacji elektronicznej, dlatego w celu uniknięcia wprowadzenia sprzecznych uregulowań z dotyczącymi bezpieczeństwa sieci i usług, regulacje te powinny zostać określone w sposób kompleksowy, jednoznaczny oraz spójny w jednym akcie prawnym.

W odpowiedzi z dnia 15 marca 2021 roku, Dyrektor Departamentu Cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów poinformował, że przepisy dotyczące obowiązków przedsiębiorców komunikacji elektronicznej w zakresie bezpieczeństwa sieci i usług komunikacji elektronicznej oraz przepisy CRIST Telco zostaną dodane do ustawy o krajowym systemie cyberbezpieczeństwa poprzez ustawę wprowadzającą Prawo Komunikacji Elektronicznej. Zapewnił również, że przedsiębiorcy telekomunikacyjni wdrażać będą środki techniczne i organizacyjne adekwatne do oszacowanego ryzyka, z uwzględnieniem tego, że oczywistym jest fakt, że dużego przedsiębiorcę komunikacji elektronicznej będą dotyczyły innego rodzaju ryzyka niż małego przedsiębiorcę komunikacji elektronicznej.

Ocena skutków regulacji została uzupełniona o ocenę wpływu projektowanych przepisów na sektor MŚP. Wykazano, że zmiany w ustawie w szczególności będą dotyczyć tych mało i średnich przedsiębiorców, którzy są operatorami usług kluczowych lub dostawcami usług cyfrowych.

Mali i średni przedsiębiorcy będą musieli wycofać sprzęt lub oprogramowanie dostawcy wysokiego ryzyka z użycia zasadniczo w ciągu 7 lat, ale tylko wtedy, jeśli będą należeć do wyszczególnionych przez ustawodawcę kategorii:

• podmioty krajowego systemu cyberbezpieczeństwa,
• przedsiębiorcy komunikacyjni sporządzający plany działań w sytuacji szczególnego zagrożenia,
• operatorzy infrastruktury krytycznej,
• przedsiębiorcy o szczególnym znaczeniu gospodarczo obronnym.

Obowiązek wycofania produktów, usług i procesów dostawcy wysokiego ryzyka nie będzie dotyczył mikroprzedsiębiorców telekomunikacyjnych, ponieważ będzie on dotyczył wyłącznie przedsiębiorców telekomunikacyjnych sporządzających plany działań w sytuacji szczególnego zagrożenia, których jest w Polsce około 100. Są to z reguły najwięksi przedsiębiorcy telekomunikacyjni w Polsce.

Zapis ten ma istotne znaczenie dla przedsiębiorców z sektora MŚP, bowiem nakładanie obowiązków w zakresie cyberbezpieczeństwa wiąże się z istotnymi nakładami, co stanowi istotne obciążenie głównie dla najmniejszych firm krajowych.

– skomentował Adam Abramowicz, rzecznik małych i średnich przedsiębiorców

Więcej informacji można znaleźć w piśmie Rzecznika MŚP do ministra cyfryzacji oraz w odpowiedzi Departamentu Cyberbezpieczeństwa w KPRM.