W ostatnim czasie obserwujemy istotny wzrost znaczenia i zainteresowania kwestiami cyberbezpieczeństwa. Jest to naturalny efekt tego, że wiele procesów – zarówno w naszym codziennym życiu, jak i w działalności przedsiębiorstw – przeniosła się do świata cyfrowego. Z drugiej strony mamy rosnącą zarówno liczbę, jak i skalę niebezpieczeństw, zagrożeń w świecie cyfrowym. W związku z tym obserwujemy również wzrost znaczenia regulacji dotyczących cyberbezpieczeństwa. Co chwila pojawiają się nowe przepisy. We wrześniu 2020 r. Minister Cyfryzacji przedstawił projekt nowelizacji Krajowego Systemu Cyberbezpieczeństwa (KSC). Prace nad nim trwają już prawie dwa lata – a projekt podlegał zasadniczym zmianom. Wbrew dobrym praktykom i postanowieniom Regulaminu Pracy Rady Ministrów, nie wszystkie zmiany wprowadzane w ramach prac nad nowelizacją KSC poddano konsultacjom społecznym. Jednocześnie na poziomie Unii Europejskiej obecnie już w zasadzie na finiszu jest projekt nowej dyrektywy dotyczącej cyberbezpieczeństwa – dyrektywy NIS 2, która w całości zastąpi dyrektywę NIS – czyli główny akt prawny dotyczący cyberbezpieczeństwa. Co istotne, przepisy te będą musiały zostać implementowane do krajowych porządków prawnych wszystkich państw w Unii Europejskiej. Dlatego kontynuowanie prac nad KSC powinno zostać wstrzymane, tak aby uwzględnić zapisy dyrektywy NIS2. W przeciwnym razie może się okazać, że nowa wersja krajowych przepisów za chwilę będzie wymagać kolejnych zmian.
– Wdrożenie dyrektywy NIS 2 to nie będzie prosty proces z uwagi na poziom skomplikowania oraz zakres zmian. Tymczasem w Polsce toczy się proces związany z projektowanymi zmianami do polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Niezależnie od kontrowersji, które ten projekt budził i chyba nadal budzi – związanych z instytucjami, jakie wprowadza, ale również z zarzutami, jakie pojawiają się odnośnie tego, że proces konsultacji społecznych nie był w pełni prawidłowy – wydaje się, że procedowanie tych dwóch aktów równoległe jest nieefektywne – powiedział serwisowi eNewsroom Wojciech Piszewski, Counsel w kancelarii Maruta Wachta, specjalizujący się m.in. w zagadnieniach compliance, prawa ochrony danych osobowych i e-commerce. – Może to doprowadzić do sytuacji, w której równolegle będziemy mieli dwa duże projekty zmieniające porządek prawny i regulacyjny w zakresie cyberbezpieczeństwa. Jeżeli dojdzie do przyjęcia zmian w KSC – za chwilę może się okazać, że konieczne jest wdrożenie kolejnych zmian, które będą efektem implementacji dyrektywy NIS 2. Obowiązek jej wdrożenia nieuchronnie przyjdzie. Taki stan rzeczy w obszarze cyberbezpieczeństwa nie wydaje się sprzyjać ani przedsiębiorcom, ani ogólnemu poziomowi bezpieczeństwa w kraju. Cyberbezpieczeństwo jest takim obszarem, który wymaga spokoju i pełnej analizy skutków regulacji dla przedsiębiorców i dla poziomu cyberochrony. Mając to wszystko na uwadze wydaje się, że obecnie zdecydowanie bardziej właściwym rozwiązaniem byłoby zatrzymanie prac legislacyjnych i zastanowienie się nad połączeniem obu tych projektów – a następnie procedowanie ich wspólnie, jako jednego projektu. Takiego, który z jednej strony przejmowałby część rozwiązań instytucji planowanych w obecnej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, a z drugiej strony wdrażałby zmiany wynikające z dyrektywy NIS 2. Podsumowując, Krajowy System Cyberbezpieczeństwa powinien poczekać na dyrektywę NIS 2 tak, aby prawidłowo wdrożyć wszystkie nowe obowiązki wynikające z tego aktu prawnego – rekomenduje Piszewski.
