Nowelizacja ustawy o cyberbezpieczeństwie
Zgodnie z informacjami Rzeczpospolitej Ministerstwo Cyfryzacji wprowadza nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, która zmienia zasady usuwania sprzętu i oprogramowania zagrażających bezpieczeństwu państwa.
Według projektu, instytucje takie jak samorządy, sądy, szpitale, przedsiębiorcy telekomunikacyjni oraz uczelnie będą musiały wycofać ryzykowne produkty bez możliwości otrzymania rekompensaty za poniesione koszty. Nowelizacja wprowadza pojęcie dostawcy wysokiego ryzyka, które obejmuje produkty i usługi ICT mogące stanowić zagrożenie.
Produkty uznane za ryzykowne będą musiały zostać wycofane z użytkowania w okresie od czterech do siedmiu lat. Ekspert BCC ds. polityki publicznej rynku cyfrowego Jan Pilewski wyjaśnia, że decyzję o uznaniu produktu za niebezpieczny podejmować będą minister cyfryzacji oraz kolegium cyberbezpieczeństwa.
Mimo że nie sprecyzowano konkretnych krajów pochodzenia ryzykownych produktów, podmioty posiadające taki sprzęt będą musiały go wyeliminować z użytku.
Wyzwania dla zamawiających
Nowelizacja ustawy oznacza dodatkowe wyzwania dla zamawiających, którzy będą zmuszeni do pokrycia kosztów wycofania i zakupu nowego sprzętu z własnych budżetów. Doktor Jarosław Kola z Wydziału Prawa i Administracji UAM w rozmowie z Rzeczpospolitą podkreśla, że obowiązek wycofania sprzętu dotyczy wszystkich zamawiających, co może prowadzić do znacznych problemów finansowych i organizacyjnych.
W jego opinii, lekceważenie kwestii cyberbezpieczeństwa może prowadzić do poważnych konsekwencji, a projekt nowelizacji przewiduje dodatkowe sankcje za nieprzestrzeganie przepisów.
Surowe kary za nieprzestrzeganie przepisów
Projekt ustawy zakłada wysokie kary administracyjne dla podmiotów, które nie zastosują się do decyzji ministra cyfryzacji o uznaniu dostawcy za dostawcę wysokiego ryzyka.
Piotr Filipowski, managing associate w WKB Lawyers, tłumaczy, że kary mogą wynosić od 20 tysięcy złotych do nawet 10 milionów euro. Mogą być one nałożone zarówno za wykorzystanie produktu dostarczanego przez ryzykownego dostawcę, jak i za niezaprzestanie jego dalszego użytkowania.
Weryfikacja dostawców stanie się kluczowym elementem procesu zamówień publicznych. Zamawiający muszą dokładnie sprawdzać, czy dostawca nie został uznany za dostawcę wysokiego ryzyka, aby uniknąć nałożenia kar. Art. 73 ust. 5 ustawy przewiduje kary do 100 milionów złotych za naruszenie przepisów, które mogą prowadzić do zagrożenia cyberbezpieczeństwa.
Skutki dla przedsiębiorców i instytucji
Nowe przepisy mają poważne konsekwencje zarówno dla przedsiębiorców dostarczających sprzęt, jak i dla instytucji zamawiających. Dla przedsiębiorców oznacza to ryzyko utraty rynku i konieczność dostosowania produktów do nowych standardów. Dla instytucji publicznych – konieczność poniesienia dodatkowych kosztów i ryzyko kar finansowych.
Ministerstwo Cyfryzacji podkreśla, że wycofanie sprzętu i oprogramowania będzie stosowane jedynie w nadzwyczajnych przypadkach, a decyzje podejmowane będą z myślą o ochronie bezpieczeństwa państwa. Mimo to, nowe przepisy zmuszają instytucje do większej uwagi w kwestii wyboru dostawców i produktów ICT, aby uniknąć potencjalnych problemów.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wprowadza istotne zmiany w zakresie eliminacji ryzykownych produktów cyfrowych. Brak rekompensat za wycofanie sprzętu stawia przed instytucjami publicznymi nowe wyzwania finansowe i organizacyjne.
Weryfikacja dostawców i przestrzeganie nowych przepisów stanie się kluczowym elementem działalności zamawiających, aby zapewnić bezpieczeństwo cybernetyczne i uniknąć surowych kar finansowych.
