Nowelizacja ustawy o KSC uderzy nie tylko w sektor rolno-spożywczy. Nadregulacja wobec przepisów UE, brak czasu na konsultacje

Planowane zmiany w ustawie o KSC mają związek przede wszystkim z unijnymi regulacjami dotyczącymi cyberbezpieczeństwa. Mowa w szczególności o dyrektywie NIS2 wdrożonej w 2022, której celem jest zapewnienie środków prawnych zwiększających bezpieczeństwo w sieci. Co ważne, polskie przepisy stosują w wielu obszarach bardziej restrykcyjne podejście niż Unia. Efektem są zwiększone wymagania dla firm działających w Polsce, uznawane przez wielu ekspertów za nadregulację wobec założeń dyrektywy NIS2.

Wśród podmiotów dotkniętych nowymi przepisami znalazły się również przedsiębiorstwa z branży rolno-spożywczej. To aż 1 200 firm zajmujących się obszarami takimi jak produkcja artykułów spożywczych i sprzedaż hurtowa owoców, warzyw, mięsa, mleka, wyrobów mleczarskich, olejów i napojów (zarówno alkoholowych, jak i bezalkoholowych). Co ważne, nie będą to wyłącznie duże organizacje – regulacje dotkną wszystkie podmioty zatrudniające co najmniej 50 osób lub mające przychód roczny powyżej 10 mln euro.

Nowe regulacje mogą zatem wpłynąć m.in. na ceny i jakość produktów spożywczych w Polsce, ponieważ podmioty z branży spożywczej będą musiały wprowadzić nowe rozwiązania technologiczne, co osłabi ich płynność finansową i możliwości inwestycyjne.

Jedną z najważniejszych kwestii dotyczących nowelizacji ustawy o KSC jest bardzo duża liczba firm objętych nowymi przepisami. Będzie to aż 38,5 tys. podmiotów z branż takich jak ochrona zdrowia, produkcja spożywczo-rolna, administracja publiczna, energetyka, transport, bankowość, gospodarka ściekami czy odpady komunalne. Szczegółowe informacje na ten temat są dostępne w ustawie i na stronie Ministerstwa Cyfryzacji. Warto zaznaczyć, że liczba firm, które muszą zastosować się do nowych przepisów w Polsce, jest największa spośród wszystkich krajów UE. Dla porównania w Niemczech czy w Hiszpanii – czyli w państwach o gospodarkach znacznie większych niż w Polsce – jest to odpowiednio 35 tys. i 25 tys. podmiotów.

Jedną z najmocniej dotkniętych branż będzie sektor rolniczy, w którym wiele firm opiera swoją codzienną pracę na maszynach od azjatyckich (zwłaszcza chińskich) dostawców, którzy mogą być zaliczeni do grupy DWR. Konieczność zmiany wyposażenia to spory koszt i znacząca, a zarazem w pewnym stopniu niespodziewana przeszkoda w prowadzeniu inwestycji w tym obszarze. Wiele wskazuje na to, że odbije się to także na klientach końcowych w postaci kolejnych podwyżek cen produktów spożywczych.

Swoje zaniepokojenie tą kwestią wyraziły różne organizacje branżowe, w tym Polsko-Chińska Główna Izba Gospodarcza SinoCham. Według oświadczenia SinoCham projekt ustawy narusza zasadę równego traktowania przedsiębiorców, a jego zapisy stanowią nadregulację, zwracając uwagę także na brak możliwości przeprowadzenia rzetelnej oceny przez krótkie konsultacje. Organizacja wystosowała 15 maja wobec Ministerstwa Cyfryzacji apel o zniesienie nadmiernych obciążeń dla przedsiębiorców, który jak dotąd nie spotkał się z odpowiedzią.

Kluczowym elementem nowelizacji jest wprowadzenie definicji dostawców wysokiego ryzyka (DWR), czyli firm niespełniających wymagań procedury uznawania oferowanych produktów za bezpieczne. Wśród tych kryteriów znajdują się kwestie takie jak kraj pochodzenia, przepisy w kraju dostawcy czy struktura działalności dostawcy. Choć ustawa nie określa wprost, jakie podmioty będą zaliczane do tej kategorii, można się spodziewać, że będą to m.in. największe spółki technologiczne z Chin. Co to oznacza? Główną konsekwencją będzie fakt, że firmy działające w Polsce zaliczane do grupy podmiotów krytycznych muszą usunąć produkty i sprzęty od DWR jak najszybciej – maksymalnie do 4 lat po dacie wejścia nowych przepisów w życie. Pierwsze zmiany należy zaimplementować już w ciągu 6 miesięcy od nowelizacji, przez co mogą one wpłynąć na firmy z branży rolnej i spożywczej jeszcze w tym roku.

Usunięcie sprzętów od DWR nie jest jedynym nowym obowiązkiem. Oprócz tego już niedługo przedsiębiorstwa objęte ustawą muszą m.in.: stworzyć systemy zarządzania bezpieczeństwem informacji zgodne ze stosownymi normami ISO, wdrożyć zabezpieczenia przed incydentami cyberbezpieczeństwa według aktualnej wiedzy, zgłaszać incydenty do organów nadzorczych w terminie 72 godzin i informować o nich swoich użytkowników, wykonać audyt wstępny przed upływem 12 miesięcy, a co 2 lata przeprowadzać regularne audyty cyberbezpieczeństwa, zapewnić dostęp do wiedzy w zakresie cyberbezpieczeństwa wśród pracowników.

Lista wymogów dla firm jest zatem dość długa, a dodatkowo Ministerstwo Cyfryzacji może określić nowe wymagania dla poszczególnych sektorów drogą rozporządzenia. To kolejny kontrowersyjny aspekt nowelizacji. Zapisy są szczególnie restrykcyjne dla podmiotów ważnych i kluczowych, czyli m.in. podmiotów z rynku komunikacji elektronicznej czy dostawców usług zaufania. Wykaz podmiotów kluczowych i ważnych będzie prowadzony przez ministra ds. informatyzacji. Zaliczenie firmy do jednej z tych grup ma dodatkowo wymagać zgłoszenia się do specjalnego rejestru przed upływem dwóch miesięcy od momentu uznania podmiotu za ważny lub kluczowy.

Nowe przepisy oznaczają spore koszty dla prawie 40 tys. firm działających w Polsce, które mogą wynosić nawet 100 tys. zł rocznie – dla największych przedsiębiorstw kwota ta będzie wielokrotnie wyższa. Łączne koszty wdrożenia zmian w samym sektorze publicznym oszacowano na ponad 900 mln w ciągu 3 lat. Nie można pominąć także potencjalnych kar, które grożą przedsiębiorstwom niestosującym się do nowych przepisów. Ustawa przewiduje następujące kwoty:

• minimalna kara dla podmiotów ważnych – 15 tys. zł;
• minimalna kara dla podmiotów kluczowych – 20 tys. zł;
• maksymalna kara dla podmiotów ważnych – 7 mln euro lub 1,4% przychodów w roku poprzedzającym karę;
• maksymalna kara dla podmiotów kluczowych – 10 mln euro lub 2% przychodów.

Nowelizacja ustawy o KSC budzi wiele kontrowersji, które skupiają się głównie wokół restrykcyjności przepisów, nadregulacji wobec dyrektywy NIS2 i bardzo krótkiego czasu konsultacji. Część prawników wskazuje także na zagrożenia związane z ograniczeniem konkurencyjności polskich i europejskich firm z uwagi na wzrost ryzyka inwestycyjnego oraz dodatkowe koszty wobec podmiotów spoza UE.

Ostateczny projekt ustawy ogłoszono 24 kwietnia 2024 roku, z kolei wdrożenie przepisów musi nastąpić przed 17 października, według harmonogramu implementacji dyrektywy NIS ustalonego przez Unię Europejską. Czas, jaki zaplanowano na konsultacje, jest jednak bardzo krótki i wynosi zaledwie miesiąc. Oznacza to, że przedsiębiorcy mogą zgłosić swoje zastrzeżenia jedynie do 24 maja – miesięczny termin został niezmieniony od pierwotnej wersji nowelizacji, która miała obejmować jedynie 500 firm zamiast aż 38,5 tys., wbrew wcześniejszym deklaracjom Ministra Cyfryzacji. Z nieznanych powodów firmy z branży żywności zostały jednak pominięte w konsultacjach publicznych, czego skutkiem jest bardzo duży brak świadomości w zakresie nowych przepisów wśród podmiotów z tego sektora, podobnie zresztą jak wielu innych.