- Ministerstwu Cyfryzacji zależy na tym, żeby nowe unijne regulacje całościowo objęły kwestie dotyczące cyberbezpieczeństwa łańcucha dostaw, certyfikacji, dostawców wysokiego ryzyka oraz ENISA.
- Resort podkreśla jednak, że „należy zabiegać o odpowiednio długie okresy przejściowe” dla nowych przepisów.
- Chodzi o projekt regulacji, które m.in. pozwolą Komisji Europejskiej wydawać zakazy stosowania produktów i usług ICT (technologie informacyjno-komunikacyjne) od dostawców wysokiego ryzyka.
- Cyberbezpieczeństwo będzie jednym z tematów poruszanych podczas XVIII Europejskiego Kongresu Gospodarczego w Katowicach (22-24 kwietnia). Trwa rejestracja na to wydarzenie.
Resort cyfryzacji zakończył konsultacje dotyczące pakietu nowych unijnych regulacji w zakresie cyberbezpieczeństwa.
Komisja Europejska przedstawiła propozycję rozwiązań, które dostosują unijne przepisy do napiętej sytuacji geopolitycznej i postępu technologicznego. Oprócz wzmocnienia cyberodporności i bezpieczeństwa łańcuchów dostaw technologii informacyjno-komunikacyjnych (ICT) w Unii Europejskiej, celem Brukseli jest też m.in. zapobieżenie fragmentacji jednolitego rynku cyfrowego.
Trzeba zwiększać cyberodporność, ale potrzebne są odpowiednio długie okresy przejściowe
W odpowiedzi na nasze pytania Ministerstwo Cyfryzacji podkreśla konieczność podjęcia przez Komisję Europejską takich działań.
- W dalszych negocjacjach resort będzie dążył do przyjęcia takich rozwiązań regulacyjnych na poziomie UE, które będą ze sobą spójne. Ministerstwu zależy na tym, żeby regulacje w sposób całościowy obejmowały kwestie dotyczące cyberbezpieczeństwa łańcucha dostaw, certyfikacji, dostawców wysokiego ryzyka oraz Agencji ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa - przyp. red.) – stwierdza biuro prasowe MC.
Zarazem jednak ministerstwo wskazuje, że „należy zabiegać o odpowiednio długie okresy przejściowe” dla nowych przepisów.
Resort ma tu na uwadze:
- podmioty działające na rynku szeroko pojętego cyberbezpieczeństwa,
- cykl życia produktów, które muszą spełniać wymogi dotyczące cyberbezpieczeństwa,
- dobro obywateli, będących odbiorcami i użytkownikami końcowymi rozwiązań cyfrowych.
W polskich warunkach odpowiedni okres przejściowy jest szczególnie istotny, gdyż unijne przepisy wymuszą duże zmiany, a tymczasem krajowe firmy pracują właśnie nad dostosowaniem się do poprzedniej rewolucji – tj. nad zgodnością ze znowelizowaną ustawą o krajowym systemie cyberbezpieczeństwa (KSC), która wejdzie w życie 3 kwietnia.
Jej przepisy – częściowo wynikające z unijnej dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (NIS2) – oznaczają wiele nowych obowiązków dla kilkudziesięciu tysięcy firm i podmiotów publicznych.
Rozwiązania dotyczące dostawców wysokiego ryzyka budzą kontrowersje
Jak pisaliśmy, centralnym elementem pakietu zaproponowanego przez Komisję Europejską jest nowelizacja unijnego aktu o cyberbezpieczeństwie (CSA). Chodzi o ograniczenie ryzyka w unijnym łańcuchu dostaw ICT, stwarzanego przez dostawców z państw trzecich, które budzą obawy pod względem cyberbezpieczeństwa.
Te plany wywołały kontrowersje wśród organizacji przedsiębiorców, bo mogą się okazać dla nich bardzo kosztowne. Komisja Europejska będzie bowiem miała prawo tworzenia wykazów dostawców wysokiego ryzyka (DWR) oraz określania środków łagodzących w odniesieniu do ich produktów i usług. Takimi środkami mogą być m.in.:
- wymogi przejrzystości,
- zakaz przekazywania danych do państw trzecich,
- nakaz segmentacji sieci
- audyty,
- a także zakaz stosowania komponentów od DWR.
W tym ostatnim przypadku za obowiązkową wymianę sprzętu firmy nie dostaną rekompensat. Komisja Europejska szacuje, że w ciągu pięciu lat wycofanie określonego sprzętu wysokiego ryzyka może kosztować operatorów sieci komórkowych od 3,4 mld euro do 4,3 mld euro rocznie. Jednak w opinii Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji (KIGEiT) te koszty są niedoszacowane.
2️⃣2️⃣7️⃣3️⃣ – tyle zgłoszeń zagrożeń cyberbezpieczeństwa otrzymał CSIRT @NASK_pl minionej doby🚨.
— Ministerstwo Cyfryzacji (@CYFRA_GOV_PL) March 27, 2026
Spośród nich zidentyfikowano
1️⃣0️⃣8️⃣2️⃣ nowych incydentów, które są obecnie obsługiwane.@CERT_Polska wpisał również 9️⃣0️⃣5️⃣ domen na listę ostrzeżeń – to strony, które wyłudzają dane… pic.twitter.com/czRSfbzDHB
Co jeszcze zwróciło uwagę przedstawicieli biznesu w trakcie konsultacji?
Jak teraz przyznaje resort cyfryzacji, do rozwiązań dotyczących dostawców wysokiego ryzyka odniosło się „wiele z podmiotów biorących udział w konsultacjach”. Oprócz tego MC wskazuje, że zgłoszono uwagi do elementów projektu CSA2, które:
- wzmacniają rolę i zadania ENISA w zakresie budowania kompetencji cyberbezpieczeństwa, koordynacji oraz współpracy operacyjnej w ramach UE,
- wprowadzają mechanizmy dalszej harmonizacji europejskiej certyfikacji cyberbezpieczeństwa,
- ustanawiają Europejską Grupę Doradczą ds. Certyfikacji Cyberbezpieczeństwa (ECCG) oraz mechanizm wzajemnych przeglądów organów certyfikacji – bezpośrednio wpływające na jednolite traktowanie dostawców w EOG,
- przewidują wdrożenie akademii umiejętności w zakresie cyberbezpieczeństwa.
Ponadto do MC wpłynęły też stanowiska odnośnie do projektu zmieniającego dyrektywę NIS2 (unijne prawo zwiększające wymogi cyberbezpieczeństwa dla kluczowych sektorów gospodarki).
Główne uwagi dotyczą doprecyzowania wyjątków umożliwiających adekwatną reakcję na podwyższone ryzyka, przy zachowaniu zasad jednolitego rynku – informuje nas resort cyfryzacji.
Oprócz tego zgłoszono uwagi dotyczące doprecyzowania zakresu informacji raportowanych w przypadku ransomware (w tym danych o żądaniu okupu i ewentualnej zapłacie) oraz wzmocnienia roli ENISA w ułatwianiu wzajemnej pomocy i analizie ryzyk transgranicznych.
Jak zaznacza MC, wzmocnienie ENISA „może zwiększyć skuteczność nadzoru nad podmiotami działającymi w wielu państwach”.