do ministra cyfryzacji
w sprawie wpływu przepisów nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa na polski sektor rolno-spożywczy
Zgłaszający: Jarosław Sachajko
Data wpływu: 24-05-2024
Szanowny Panie Ministrze,
w dniu 24 kwietnia 2024 r. w serwisie Rządowego Centrum Legislacji opublikowany został nowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Tego samego dnia projekt skierowany został do konsultacji publicznych. Z nieznanych powodów wśród podmiotów zaproszonych do zgłaszania uwag zabrakło niestety zrzeszeń rolników i podmiotów z branży rolno-spożywczej, pomimo że regulacje zawarte w projekcie ustawy zostały rozszerzone także na tę branżę.
Jak czytamy w mediach: „Jedną z najmocniej dotkniętych branż będzie sektor rolniczy, w którym wiele firm opiera swoją codzienną pracę na maszynach od azjatyckich (zwłaszcza chińskich) dostawców, którzy mogą być zaliczeni do grupy DWR. Konieczność zmiany wyposażenia to spory koszt i znacząca, a zarazem w pewnym stopniu niespodziewana przeszkoda w prowadzeniu inwestycji w tym obszarze. Wiele wskazuje na to, że odbije się to także na klientach końcowych w postaci kolejnych podwyżek cen produktów spożywczych”.
Zarówno w uzasadnieniu projektu ustawy, jak i w ocenie skutków regulacji temat wpływu nowych przepisów na funkcjonowanie branży rolno-spożywczej został potraktowany niezwykle wybiórczo. W uzasadnieniu nie ma ani słowa na ten temat, a w OSR ograniczono się jedynie do lakonicznego stwierdzenia, że nowe regulacje będą miały wpływ na nieco ponad 1200 podmiotów działających w tej branży, na które nałożone będą „nowe obowiązki w zakresie zarządzania ryzykiem cyberbezpieczeństwa oraz obowiązki zgłaszania incydentów do właściwych CSIRT sektorowych. Obowiązek wycofania produktów ICT, usług ICT i procesów ICT w przypadku uznania dostawcy za dostawcę wysokiego ryzyka”. Zainteresowani nie uzyskali z ministerstwa na razie żadnych wartościowych informacji dotyczących chociażby tego, jakie konkretnie produkty, usługi czy procesy ICT przez nich stosowane objęte są nowymi regulacjami, które mogą w przyszłości skutkować koniecznością ich bardzo kosztownej wymiany w przypadku uznania przez ministra danego dostawcy za dostawcę wysokiego ryzyka.
Mając na względzie fakt, że zaproponowane przez ministerstwo regulacje mogą mieć kluczowe znaczenie dla funkcjonowania branży rolno-spożywczej w Polsce w najbliższych latach, zwracam się z wnioskiem o rozszerzenie zakresu podmiotów zaproszonych do udziału w konsultacjach publicznych, wydłużenie terminu zgłaszania uwag, tak aby wszyscy interesariusze mieli szansę na przeanalizowanie proponowanych przez ministerstwo zmian, a także o jasne i rzetelne poinformowanie branży o obowiązkach nakładanych regulacjami zawartymi w projekcie ustawy i związanych z nimi ryzykach. Proszę także o przeanalizowanie, czy mając na względzie zasadę proporcjonalności, niezbędne jest, aby polski sektor rolno-spożywczy był objęty przepisami o krajowym systemie cyberbezpieczeństwa.
Szanowny Panie Ministrze, w związku z powyższym proszę o udzielenie odpowiedzi na następujące pytania:
1. Z jakiego powodu kluczowe i ważne podmioty wchodzące w skład sektora produkcji, przetwarzania i dystrybucji żywności zostały objęte regulacjami zawartymi w projekcie ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw? Kto i kiedy podjął decyzję o takim rozszerzeniu materii tej regulacji?
2. Z jakiego powodu do konsultacji publicznych projektu ustawy nie zostali zaproszeni przedstawiciele zrzeszeń rolników i producentów rolno-spożywczych?
3. Jakie działania podjęło ministerstwo w celu zakomunikowania przedstawicielom tej branży nowych obowiązków, które będą wynikały z regulacji zawartych w rzeczonym projekcie ustawy?
4. Gdzie konkretnie podmioty działające w tej branży mogą uzyskać informację o tym, czy będą objęte obowiązkami określonymi w tych przepisach, jaki będzie zakres tych obowiązków i jakie konkretnie sprzęty bądź oprogramowanie przez nich wykorzystywane może zostać uznane za dostarczane przez dostawcę wysokiego ryzyka?
5. Czy ministerstwo analizowało, jaki może być szacunkowy koszt wymiany sprzętu i oprogramowania, który może ponieść branża rolno-spożywcza w przypadku wejścia w życie tej ustawy? Jeśli tak, to proszę o przekazanie wniosków z tych analiz. Jeśli nie, to proszę o ich przeprowadzenie.
6. Z jakiego powodu w ocenie skutków regulacji ww. projektu ustawy nie znalazły się dane dotyczące tych kosztów? Proszę o uzupełnienie OSR w tym zakresie.
7. Czy ww. nowelizacja była konsultowana przed zaprezentowaniem projektu ustawy z Ministerstwem Rolnictwa i Rozwoju Wsi? Jakie było stanowisko tego resortu w zakresie włączenia branży rolno-spożywczej w zakres tej regulacji?