do ministra cyfryzacji
w sprawie nadmiernych obciążeń regulacyjnych związanych z implementacją dyrektywy NIS 2
Zgłaszający: Michał Połuboczek
Data wpływu: 02-10-2025
Szanowny Panie Premierze,
w związku z pracami legislacyjnymi nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, mającą na celu wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS 2), pojawiają się liczne wątpliwości dotyczące zakresu i sposobu implementacji unijnych przepisów w Polsce. Dostrzegając potrzebę ochrony interesów RP, należy jednocześnie zwrócić uwagę na interes polskich przedsiębiorców, szczególnie tych mniejszych.
W ostatnich tygodniach organizacje przedsiębiorców, eksperci branżowi oraz przedstawiciele środowisk akademickich zwracali uwagę, że w projektowanych rozwiązaniach polski ustawodawca przewiduje regulacje idące znacznie dalej niż wymaga tego prawo unijne. To zjawisko, określane mianem gold-plating, może skutkować nadmiernymi kosztami dostosowawczymi dla przedsiębiorstw, zwłaszcza z sektora małych i średnich przedsiębiorstw, a także negatywnie wpłynąć na konkurencyjność polskiej gospodarki w skali europejskiej.
Jednocześnie eksperci oraz przedstawiciele administracji rządowej wskazują, że wejście w życie ustawy w projektowanym kształcie będzie wiązało się z kosztem rzędu 8 mld złotych tylko w pierwszym roku funkcjonowania przepisów. Według raportu Komisji Europejskiej instytucje objęte nowymi przepisami będą musiały zwiększyć swoje budżety na ten cel o około 22%.
Do dzisiaj nie przedstawiono pełnej oceny skutków regulacji, która pozwalałaby opinii publicznej i samym zainteresowanym podmiotom na właściwe oszacowanie konsekwencji finansowych i organizacyjnych wejścia w życie nowych przepisów.
W związku z powyższym proszę o odpowiedź na następujące pytania:
1. Jakie są szacowane koszty dostosowawcze dla przedsiębiorstw w związku z implementacją dyrektywy NIS 2, w podziale na:
a) duże przedsiębiorstwa,
b) małe i średnie przedsiębiorstwa (MŚP)?
2. Jakie koszty dla budżetu państwa przewiduje Rada Ministrów w związku z wdrożeniem nowych obowiązków, w szczególności dotyczących organów nadzoru, zespołów CSIRT oraz instytucji odpowiedzialnych za certyfikację?
3. Czy Rada Ministrów dokonała analizy wpływu projektowanych regulacji na konkurencyjność polskiej gospodarki w porównaniu do innych państw członkowskich UE, które wdrażają NIS 2 w węższym zakresie?
4. Czy w toku prac legislacyjnych zostanie przedstawiona pełna i poprawnie wykonana ocena skutków regulacji (OSR), obejmująca m.in. szacunkowe koszty wdrożenia dla różnych kategorii przedsiębiorstw, a także analizę alternatywnych scenariuszy implementacji (w tym bez elementów wykraczających poza obowiązki wynikające z prawa UE)?
5. Czy prawdą jest, że za ustawą lobbuje grupa interesariuszy, która chce zarabiać na przeprowadzeniu audytów oraz świadczeniu usług doradczych dla jednostek samorządu terytorialnego w zakresie realizacji wymogów ustawy?
6. Czy wprowadzenie ustawy o krajowym systemie cyberbezpieczeństwa będzie wiązało się z podniesieniem podatków?
7. Jak Pan Premier ocenia zjawisko gold-plating w zakresie tej ustawy, czy nie jest ono sprzeczne z zapowiadaną deregulacją gospodarki, którą Pan słusznie zapowiadał na początku roku?