Jednym z najważniejszych z punktu widzenia warunków prowadzenia działalności gospodarczej projektów procedowanych aktualnie przez rząd jest projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa. Przygotowywane regulacje mają wdrażać do polskiego porządku prawnego rozwiązania zawarte w dyrektywie NIS 2, nakładając na przedsiębiorców z wielu branż nowe obowiązki organizacyjne wymagające w konsekwencji poniesienia dodatkowych, często wysokich kosztów. Dlatego implementując przepisy wspólnotowe, trzeba – jak zwróciła na to uwagę w swoim stanowisku do projektu Rzeczniczka MŚP Agnieszka Majewska – kierować się zasadą proporcjonalności i unikać nakładania nadmiernych zobowiązań zwłaszcza w odniesieniu do podmiotów sektora MŚP. W tym duchu Agnieszka Majewska przedstawiła szereg propozycji modyfikacji proponowanych przepisów.
Odnosząc się do uwag zgłoszonych w toku konsultacji społecznych, Ministerstwo Cyfryzacji uwzględniło (w całości lub w części) szereg postulatów Minister Majewskiej. Ministerstwo pozytywnie odniosło się do propozycji, by w odniesieniu do mikroprzedsiębiorców wydłużyć (z dwóch do trzech miesięcy) okres na złożenie obowiązkowego wniosku o wpis do wykazu podmiotów kluczowych i ważnych. Mikroprzedsiębiorcy nie będą też zobowiązani do podania danych dwóch, a tylko jednej osoby do kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa.
Rzeczniczka MŚP krytycznie odniosła się też do faktu, że w przypadku wpisania do wykazu z urzędu firmie nie została stworzona żadna procedura wzruszenia decyzji. Dlatego wnioskowała o stworzenie drogi odwoławczej, a także wydłużenia terminów na uzupełnienie brakujących danych, na dostosowanie się do wymogów ustawy oraz na przeprowadzenie audytu. Ministerstwo odniosło się do tych uwag częściowo pozytywnie, wydłużając termin na dostarczenie brakujących danych do 2 miesięcy, na dostosowanie się do ustawy do 6 miesięcy oraz na pierwszy audyt do 24 miesięcy.
Analiza projektu ujawniła konieczność opracowania i wdrożenia odpowiednich aktów delegowanych. Odnosząc się do kolejnego z postulatów – by Rada Ministrów została zobligowana do wydania rozporządzenia doprecyzowującego wymogi systemem zarządzania bezpieczeństwem informacji – MC wyjaśniło, iż decyzja o wydaniu rozporządzenia poprzedzona zostanie analizą co do zasadności, natomiast planowane jest wydawanie rozporządzeń dostosowane do wielkości podmiotów z uwzględnieniem odpowiednio długiego vacatio legis.
Ministerstwo przychyliło się w pełni do postulatu, by przeprowadzany na własny koszt audyt systemu bezpieczeństwa przez podmioty kluczowe oraz podmioty ważne odbywał się nie co dwa, lecz co trzy lata. Ostatecznie MC stanęło na stanowisku, z którego wynika, iż podmioty ważne zostały w ogóle wyłączone z obowiązku dokonywania audytów regularnych, natomiast podmioty kluczowe zobowiązane były do takich audytów co 3 lata.
Za szczególnie istotne uznać należy częściowe przyjęcie postulatów Rzeczniczki MŚP krytykujących projektowane sankcje za naruszenia niektórych z regulacji, które w jej ocenie były nieproporcjonalnie dotkliwe. Ministerstwo zdecydowało się złagodzić te przepisy m.in. przez rezygnację z sankcji polegającej na wykreśleniu z rejestru działalności regulowanej i cofnięcia koncesji. Uwzględniony został również postulat, by podmiotom kluczowym i podmiotom ważnym wydłużyć okres dostosowania się do minimalnych wymogów krajowego systemu bezpieczeństwa z 3 do 6 miesięcy.
W odniesieniu do części regulacji, do których Rzecznik także wyraziła wątpliwości – Ministerstwo Cyfryzacji udzieliło dodatkowych wyjaśnień, co do intencji projektodawców i są one analizowane.
Aktualnie projekt jest na etapie Komitetu ds. Europejskich. Biuro Rzecznika Małych i Średnich Przedsiębiorców będzie monitorować dalszy tok prac nad projektem, tak by jego ostateczny kształt uwzględniał w jak największym stopniu możliwości przedsiębiorców w zakresie dostosowania do koniecznych zmian.