Interpelacja nr 2865

do ministra cyfryzacji

w sprawie projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa obejmującej przepisami przedsiębiorstwa z woj. śląskiego

Zgłaszający: Grzegorz Matusiak

Data wpływu: 17-05-2024

Szanowny Panie Premierze!

Ministerstwo Cyfryzacji prowadzi konsultacje dotyczące nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która obejmie swoim działaniem osiemnaście sektorów, w tym górnictwo, firmy zajmujące się sprzedażą hurtową owoców, warzyw, mięsa, wyrobów mięsnych, mleka, wyrobów mleczarskich, jaj, olejów, tłuszczów jadalnych, produkcją artykułów spożywczych i maszyn.

Szereg firm z wymienionych sektorów działa na terenie województwa śląskiego w szczególności: Brzezinka sp. z o.o. SKA, Jastrzębska Spółka Węglowa SA, Karbonia SA, Polska Grupa Górnicza SA, Przedsiębiorstwo Górnicze SILESIA sp. z o.o., Rathdowney Polska sp. z o.o., Spółka Restrukturyzacji Kopalń SA, Tauron Wydobycie SA, Węglokoks Kraj sp. z o.o., ZG EKO-PLUS sp. z o.o., ZG SILTECH sp. z o.o. Jest też szereg przedsiębiorstw prywatnych z branży rolnej czy spożywczej. Przykładowo, w województwie śląskim działają Firma Handlowa "Rolnik" spółka jawna, Candy Floss M I R Czwiertnia spółka komandytowa, Makar Bakalie spółka z ograniczoną odpowiedzialnością spółka komandytowa, Łakoć spółka z ograniczoną odpowiedzialnością. W konsultacjach pominięci zostali prywatni producenci maszyn i przemysł ciężki funkcjonujący na Śląsku, w szczególności Zakład Mechaniki Przemysłowej Zamep spółka z ograniczoną odpowiedzialnością, Jastrzębskie Zakłady Remontowe "Dźwigi" spółka z ograniczoną odpowiedzialnością, Wuwer spółka z ograniczoną odpowiedzialnością (szerszą listę zamieszczam na końcu interpelacji). Podmioty te mogą w ogóle nie być świadome faktu objęcia ich nowelizacją ustawy.

Przedsiębiorstwa te są kluczowymi elementami regionalnej i krajowej gospodarki. Istnieje obawa, że wiele z nich nie jest świadomych planowanych regulacji, potencjalnych obowiązków oraz kosztów związanych z wprowadzeniem przepisów ustawy o krajowym systemie cyberbezpieczeństwa. Włączenie tych podmiotów do krajowego systemu cyberbezpieczeństwa mogłoby znacząco poprawić ich ochronę przed zagrożeniami cybernetycznymi, co jest szczególnie istotne w obliczu rosnących zagrożeń w cyberprzestrzeni. Niemniej jednak wątpliwości budzi sposób i zakres tego włączenia, który wydaje się być nadmierny, szczególnie w kontekście przepisów dyrektywy 2022/2555.

Dużym zaskoczeniem jest wprowadzenie i rozszerzenie przewidzianego w poprzednim przedłożeniu tego projektu, przygotowanego przez Pana Ministra Janusza Cieszyńskiego, postępowania w sprawie uznania dostawcy za dostawcę wysokiego ryzyka. Rozszerzenie polega na obciążeniu tą procedurą wszystkich 18 sektorów objętych nową ustawą, zamiast jedynie największych operatorów telekomunikacyjnych. Postępowanie to opiera się na niejawnej opinii Kolegium ds. Cyberbezpieczeństwa, sporządzanej w oparciu o kryteria zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich. Uwzględnia się również prawdopodobieństwo, z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza Unii Europejskiej lub NATO, z uwzględnieniem m.in. przepisów prawa regulujących stosunki między dostawcą sprzętu lub oprogramowania a tym państwem oraz praktyki stosowania prawa w tym zakresie, a także zdolności ingerencji tego państwa w swobodę działalności gospodarczej dostawcy.

Oznacza to, że w ramach wysoce nietransparentnego postępowania mogą zapaść decyzje o wymianie urządzeń dotykające polskie firmy, a w konsekwencji także polskich obywateli. Wymiana urządzeń wiąże się z wymiernymi kosztami oraz ryzykiem spowolnienia lub zaprzestania działalności.

Niepokojące, pod kątem zasad przyzwoitej legislacji, jest również brak zamieszczenia w ocenie skutków regulacji szacowanych kosztów wdrożenia nowych obowiązków oraz brak dołączenia tabeli zgodności i odwróconej tabeli zgodności.

W związku z tym, w trosce nie tylko o mieszkańców województwa śląskiego, ale i o wszystkich przedsiębiorców działających na terenie Polski, proszę o odpowiedź na następujące pytania:

Jakie jest uzasadnienie dla zaostrzenia wymogów klasyfikowania podmiotów z ważnych na kluczowe w sektorze produkcji, wytwarzania i dystrybucji chemikaliów, sektorze produkcji, przetwarzania i dystrybucji żywności oraz sektorze produkcji?

Jakie koszty dla sektora górniczego i spożywczego ze Śląska wiążą się z dostosowaniem do nowych regulacji?

Jakie koszty dla tych sektorów ze Śląska wiążą się z procedurą uznania dostawcy za dostawcę wysokiego ryzyka?

Dlaczego Ministerstwo Cyfryzacji zaniechało oszacowania tych kosztów w ocenie skutków regulacji?

Jakie powody stanęły za objęciem postępowaniem w sprawie uznania dostawcy za dostawcę wysokiego ryzyka wszystkich osiemnastu sektorów? Czy dokonano oszacowania ryzyka i analizy zagrożeń w tym zakresie? Dlaczego inne kraje (jak Francja, Hiszpania, Portugalia), wskazane w załączniku nr 1 do OSR, zastosowały tę procedurą tylko dla telekomunikacji, a nawet tylko do sieci 5G?

Kto zwróci koszty wycofania sprzętu, oprogramowania lub procesów ICT podmiotom ze Śląska? Czy planowane jest wprowadzenie odszkodowania albo funduszu mającego na celu zwrot kosztów poniesionych na wymianę?

Dlaczego hurtownie wina, jaj lub olejów stanowią podmioty kluczowe, objęte najsurowszym nadzorem, który powinien być zarezerwowany dla podmiotów krytycznych dla gospodarki?

Dlaczego hurtownie wina, jaj lub olejów stanowią podmioty objęte postępowaniem w sprawie dostawcy uznanego za dostawcę wysokiego ryzyka?

Dla uświadomienia Panu Premierowi skali biurokratyzacji i poziomu nadregulacji zamieszczam wstępną listę przedsiębiorstw objętych proponowanymi zmianami:

Z poważaniem

Grzegorz Matusiak
Poseł na Sejm Rzeczypospolitej Polskiej