Departament Cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów odpowiedział Rzecznikowi Małych i Średnich Przedsiębiorców w sprawie wątpliwości dotyczących rządowego projektu ustawy o krajowym systemie cyberbezpieczeństwa.
Adam Abramowicz domagał się uzupełnienia uzasadnienia do projektu o informacje na temat wpływu regulacji na MŚP z branży telekomunikacyjnej. Wspominał też jednoczesne prace nad projektem ustawy Prawo komunikacji elektronicznej. W związku z tym apelował o kompleksowe i jednoznaczne regulacje w jednym akcie prawnym. Praca nad dwoma projektami, których zakres może się zazębiać, mogłaby doprowadzić do pojawienia się sprzecznych uregulowań.
Departamentu Cyberbezpieczeństwa KPRM stara się uspokoić Rzecznika MŚP w swoim piśmie. Informuje, że przepisy dotyczące obowiązków przedsiębiorców komunikacji elektronicznej w zakresie bezpieczeństwa sieci i usług komunikacji elektronicznej będą wprowadzone przez ustawę o Prawie Komunikacji Elektronicznej. I za tym pośrednictwem trafią do ustawy o krajowym systemie cyberbezpieczeństwa. Podobnie wygląda kwestia przepisów CRIST telco.
Przedsiębiorcy telekomunikacyjni wdrażać będą środki techniczne i organizacyjne adekwatne do oszacowanego ryzyka. Im większe przedsiębiorstwo, tym wyższy stopień zakładanego ryzyka.
Robert Kośla w piśmie dodaje też, że ocena skutków regulacji została też uzupełniona oceną wpływu projektowanych przepisów na sektor MŚP. Zmiany w ustawie będą dotyczyć głównie MŚP będących operatorami usług kluczowych lub dostawcami usług cyfrowych.
Chociaż będą musieli wycofać sprzęt lub oprogramowanie dostawcy wysokiego ryzyka z użycia (w ciągu 7 lat), to jednak dotyczyć to będzie jedynie w przypadku przynależności do jednej z kategorii:
- podmiot krajowego systemu cyberbezpieczeństwa
- przedsiębiorcy komunikacyjni sporządzający plany działań w sytuacji szczególnego zagrożenia
- operatorzy infrastruktury krytycznej
- przedsiębiorcy o szczególnym znaczeniu gospodarczo obronnym
Obowiązek taki nie będzie dotyczył mikroprzedsiębiorców telekomunikacyjnych. Dotyczy to bowiem przedsiębiorców telekomunikacyjnych sporządzający plany działań w sytuacji szczególnego zagrożenia. Tych jest w Polsce około stu i są to głównie najwięksi przedsiębiorcy telekomunikacyjni w kraju.
Pismo: https://rzecznikmsp.gov.pl/wp-content/uploads/2021/03/1-MC.pdf
