Nawet milion złotych zapłaci każdy polski przedsiębiorca z branży gospodarowania odpadami za dostosowanie swojej firmy do szykowanych przez resort cyfryzacji regulacji. Według szacunków Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl może to dotyczyć blisko 9 000 podmiotów. Nowe zasady wymiany sprzętu oraz oprogramowania nakłada przygotowywana właśnie ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC).
Regulacje zawarte w dyrektywie NIS2 zostaną w Polsce zaimplementowane w ramach ustawy o Krajowym Systemie Bezpieczeństwa. Przepisy wzięła pod lupę Ogólnopolska Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl. Na podstawie analiz oraz przeprowadzonych wśród przedsiębiorców ankiet opublikowano raport, z którego wynika, że nowelizacja przepisów daleko wykracza poza niezbędny katalog wymagany przez Unię Europejską. – Projekt ustawy wykracza poza regulacje unijnej dyrektywy i w sposób nieproporcjonalny do założonych celów, rzeczywistych potrzeb i możliwości finansowych wielu podmiotów wprowadza tak zwane nadregulacje – mówi Robert Składowski, Prezes Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl.
KSC znacznie zaostrza m.in. przepisy dot. DWR, czyli Dostawców Wysokiego Ryzyka. Tak surowe podejście ustawodawca uzasadnia troską o zapewnienie wysokiej jakości usług IT oraz wyeliminowania z polskiego rynku niebezpiecznego sprzętu czy oprogramowania. – Niejasna procedura kwalifikacji dostawców sprzętu lub oprogramowania budzi uzasadnione obawy zwłaszcza, że projektodawca obejmuje tą procedurą dostawców dostarczających sprzęt dla wszystkich podmiotów kluczowych lub ważnych. Spowoduje to konieczność wyeliminowania przez takie podmioty dostawców wysokiego ryzyka i to na własny koszt. Konsekwencją będą podniesione ceny usług lub towarów, co odczują konsumenci. Do tego dochodzi utrata konkurencyjności polskich przedsiębiorców wobec firm z innych państw, w których ustawodawstwie nie przewidziano tak daleko rozszerzonej procedury uznania danego dostawcy za dostawcę wysokiego ryzyka – dodaje Składowski.
Nowe regulacje dosięgną blisko 40 tysięcy firm z 18 sektorów gospodarki takich jak m.in.: śmieci, ścieki, poczta, produkcja, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności, zarządzanie ICT czy przestrzeń kosmiczna. Eksperci wskazują jednak, że ministerstwo nie tylko nie doszacowało liczby podmiotów, które obejmie ustawa, ale też kosztów, jakie będą musieli ponieść polscy przedsiębiorcy.
Milion złotych w ciągu 5 lat na jedną firmę
Jak wynika z raportu Federacji dostosowanie się do nowych regulacji tylko w pierwszym roku będzie kosztować każdą polską firmę z branży gospodarowania odpadami średnio 380 620 zł. To nie wszystko, bowiem jak wyliczono w ciągu kolejnych 5 lat za zakup nowego sprzętu, implementację oprogramowania oraz szkolenia zapłacą one kolejne 594 300 zł.
Nowe przepisy dotyczyć będą także jednostek samorządu terytorialnego, jednostek budżetowych i związków metropolitalnych. – Szczególnie niepokojące są zawarte w projekcie kary finansowe dla kierowników takich jednostek, przewidziane nawet za jednorazowe zaniechanie. Mogą one sięgać nawet sześciokrotności miesięcznej pensji. Tak surowe sankcje mogą pogłębić istniejące problemy kadrowe, zwłaszcza w jednostkach, które już teraz borykają się z trudnościami w zatrudnieniu odpowiednio wykwalifikowanego personelu – dodaje Prezes Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl.
Brak wiedzy i wsparcia dla polskich firm
Eksperci Federacji nie mają wątpliwości, że szybki rozwój technologii, zwiększona liczba i złożoność ataków cybernetycznych wymagają bardziej kompleksowych i skutecznych środków ochronnych. Niepokojące jest jednak, że ustawodawca nie przewidział odpowiedniego wsparcia, które pozwoliłoby przedsiębiorcom przygotować się na wydatki, związane z ew. wymianą sprzętu i systemów informatycznych, a całej branży na dostosowanie się do nowych przepisów. Takie zaniedbania dotyczą nawet sfery informacyjnej – okazuje się bowiem, że ponad 70% firm z branży gospodarowania odpadami w ogóle nie jest świadoma wprowadzanych zmian i wiążących się z nimi inwestycjami. Tymczasem będą musieli ponieść dodatkowe wydatki na audyty bezpieczeństwa, zatrudnienie ekspertów od cyberbezpieczeństwa i wdrożenie nowych rozwiązań.
Z przeprowadzonej w ramach prac nad Raportem ankiety wynika też, że blisko jedna trzecia (28 proc.) zbadanych podmiotów nie potrafi ocenić kosztów, jakie poniesie w związku z wprowadzeniem nowych regulacji. Jednocześnie, tylko co dziesiąty przedsiębiorca zdaje sobie sprawę, że nowelizacja przepisów może pociągnąć za sobą konieczność wymiany sprzętu teleinformatycznego, urządzeń elektronicznych i maszyn.
Konieczny dialog rządu z firmami
Eksperci biorący udział w przygotowaniu raportu dotyczącego prac nad ustawą o Krajowym Systemie Bezpieczeństwa, a zwłaszcza jej skutków dla sektora gospodarowania odpadami, wskazali na pilną potrzebę rzetelnego przeprowadzenia oceny skutków regulacji, ale także doprecyzowania proponowanych w ustawie zapisów. – Konieczna jest ścisła współpraca między rządem, przedsiębiorcami i ekspertami, aby znaleźć rozwiązania, które będą zarówno skuteczne w zapewnieniu bezpieczeństwa, jak i nie będą nadmiernie obciążały przedsiębiorców – czytamy w Raporcie.
Celem wdrażanej przez resort cyfryzacji dyrektywy NIS2 jest wzmocnienie cyberbezpieczeństwa w państwach członkowskich Unii Europejskiej. Regulacje zawarte w dyrektywie zostaną w Polsce zaimplementowane w ramach ustawy o Krajowym Systemie Bezpieczeństwa. Jak zapowiada resort – nowe przepisy wejdą w życie w pierwszym kwartale 2025 r. Ustawa budzi duże kontrowersje różnych środowisk, reprezentujących sektory objęte ustawą przede wszystkim z uwagi na koszty wdrożenia. Szacuje się bowiem, że dostosowanie się do nowych regulacji to dla Polski wydatek ok. 2 mld euro rocznie.