Raport Frontier Economics podejmuje próbę wyliczenia potencjalnych kosztów zmian w KSC

Raport „Impact of strict vendor screening as part of NIS2’s implementation in Poland” autorstwa Frontier Economics, przygotowany na zlecenie SinoCham (Polsko-Chińska Główna Izba Gospodarcza), podejmuje tematykę potencjalnych kosztów, jakie może przynieść wdrożenie nowej ustawy o Krajowym Systemie Cyberbezpieczeństwa, w jej proponowanym przez Ministerstwo Cyfryzacji kształcie. Według raportu, koszt niektórych zapisów może być znaczący. 

Raport skupia się nie tyle nawet na całej nowelizacji KSC, ale, przede wszystkim, na ocenie wpływu mechanizmu tzw. selekcji dostawców. Idące nieco dalej niż dyrektywa NIS2 (której nowelizacja KSC jest de facto wdrożeniem w polskim prawie) ma na celu zwiększenie cyberbezpieczeństwa. Wdrożenie tej regulacji, jak twierdzą autorzy raportu, wiąże się z dodatkowymi kosztami szacowanymi na około 2 miliardy euro rocznie dla polskich przedsiębiorstw, szczególnie w sektorach takich jak produkcja żywności, motoryzacja oraz produkcja maszyn i urządzeń. „Środki z zakresu cyberbezpieczeństwa są wyraźnie istotne”, jednak raport zwraca uwagę, że prawodawcy „powinni zadbać, aby narzucane koszty były proporcjonalne do celów i zagrożeń związanych z brakiem działań”.

Nowa ustawa wprowadza również kategorię dostawców wysokiego ryzyka (HRV, High Risk Vendor), których produkty mogą zostać wycofane z obiegu gospodarczego w Polsce. Jest to potencjalne zagrożenie dla dostawców z państw nienależących do NATO oraz UE. Ten właśnie element zapisów projektu ustawy jest często wskazywany jako kontrowersyjny i nietrudno zrozumieć dlaczego. Nie ma tu bowiem żadnego wskaźnika technicznego, określonej liczby wytycznych z zakresu technologii, a jedynie czynnik polityczny – bo tak należy odczytywać oparcie go jedynie o kraj pochodzenia. Dlatego też często mówi się wprost, że zapis ten jest kierowany w firmy chińskie. Ja jednak pozwolę sobie na mały eksperyment myślowy. Załóżmy, że rzeczywiście dochodzeniu w ramach KSC będą poddawane firmy jedynie spoza UE i NATO. To oznacza więc nie tylko firmy chińskie, ale też… południowokoreańskie czy japońskie. Co więcej, obejście tego typu przepisów jest stosunkowo łatwe. Założenie spółki np. na Węgrzech (wybór, oczywiście, nieprzypadkowy) i to z niej uczynienie „producenta”, który produkcję jedynie realizuje (znowu wybór całkiem przypadkowy) w Chinach, to raczej nic szczególnie trudnego.

Autorzy raportu wskazują też, że znowelizowana ustawa o KSC wpłynie na import kluczowych technologii, w tym chińskich komponentów fotowoltaicznych niezbędnych do rozwoju zielonej energii w Polsce. Polska (chociaż nie tylko, bo przecież rzecz de facto dotyczy wielu Europy) jest bowiem uzależniona od importu paneli z Chin – aż 83% tych urządzeń pochodzi właśnie z tego kraju. Oczywiście, autorzy raportu przytaczają przykłady krajów, które posiadają dużo niższą zależność od produkcji chińskiej w obszarze paneli fotowoltaicznej, jak Grecja (1%) czy Niemcy (8%). Rzecz w tym, że produkty, które dominują na tych rynkach także mogą zawierać komponenty chińskie. W pewnym uproszczeniu, autorzy raportu twierdzą, że wprowadzenie zasady o wyborze HRV właśnie w oparciu o kraj może zwiększyć koszty operacyjne przedsiębiorstw poprzez konieczność „przebudowy łańcuchów dostaw” i poszukiwania alternatywnych dostawców, co będzie wiązać się z dodatkowymi wydatkami.

Zdaniem autorów raportu, oprócz wzrostu kosztów operacyjnych dla polskich przedsiębiorstw, selekcja HRV w proponowanym kształcie może zmniejszyć konkurencyjność na rynku krajowym, co prowadziłoby do wzrostu cen w sytuacji ograniczenia liczby dostawców. Raport zauważa, że w branżach z wysoką koncentracją dostawców, jak np. sektor 5G, takie restrykcje mogą skutkować wyższymi kosztami infrastruktury, spowalniając rozwój sieci i negatywnie wpływając na produktywność krajową. Dodatkowo, ograniczenia handlowe wprowadzone na podstawie HRV mogą, jak twierdzą autorzy raportu, prowadzić do spadku eksportu poza UE o 237 milionów euro rocznie, co łącznie przez dziesięć lat oznaczałoby straty w wysokości nawet 2,9 miliarda euro.

W tej wyliczance pojawia się także jeden element, który jest trudny do oceny. Replika ze strony Chin. Nie ma pewności co do tego, czy w ogóle nastąpi, a jeśli nawet, jaka może być jej skala. Autorzy raportu mówią o kwocie 3,1 miliarda euro, ale należy pamiętać, że to wartość całościowego eksportu z Polski do Chin (w oparciu o dane z 2022 roku). Jaka byłaby rzeczywista skala chińskiej odpowiedzi? Tego nie wiemy.

Autorzy raportu zwracają też szczególną uwagę na to, że obecnie proponowana nowelizacja ustawy o KSC obejmuje niemiernie szeroki zakres branż. To oczywiście prawda. Nie jest jednak tajemnicą, że Ministerstwo Cyfryzacji wskazało te sektory gospodarki, których narażenie na wrogie działania, a w konsekwencji np. zaburzenie ich funkcjonowania, może być poważnym ryzykiem nie tyle nawet dla tych przedsiębiorstw, ile dla samowystarczalności kraju w podstawowych obszarach.

Czy raport Frontier Economics podejmuje pełnię problemu? Z pewnością nie. Zajmuje się wyłącznie warstwą ekonomiczną i robi to dość szczegółowo. Jak sądzę, tak właśnie należy go traktować, jako próbę oszacowania kosztów, chociaż z pewną tezą w tle. Między wierszami raportu przewija się gdzieniegdzie myśl, że polskie podejście do wdrożenia NIS2 idzie o krok, a może nawet kilka kroków, za daleko. To, być może prawda. Jednak raport pomija jeden, kluczowy, jak sądzę, element. Nasze położenie geograficzne. Mając za sąsiada Rosję trzeba szczególną uwagę zwracać na warstwę bezpieczeństwa. Nikt oczywiście nie mówi w przypadku KSC o produktach rosyjskich, gdyż tychże zwyczajnie nie ma w obszarze nowoczesnych technologii IT. Oczywistym, chociaż nie zapisanym wprost, „celem” są tu firmy chińskie i poniekąd jest to zrozumiałe z geopolitycznego punktu widzenia. Pekin nie jest bowiem szczególnie krytyczny wobec Moskwy i prowadzonej przez nią napastniczej wojny na Ukrainie. W tej sferze po prostu polityka wyraźnie wchodzi w biznes i ingeruje w pozostałości po czymś, co niedawno było jeszcze nazywane wolnym rynkiem. Chińskie spojrzenie na ten temat jest oczywiste i wydaje się premiować jedynie spojrzenie ekonomiczne. 

Jedno jest pewne, wprowadzenie zmian w KSC to wyzwanie dla decydentów, którzy muszą wyważyć między potrzebą zwiększenia bezpieczeństwa, a kosztami, jakie poniosą polskie firmy. To delikatny balans, który – jeśli nie zostanie odpowiednio wyważony – może wpłynąć na konkurencyjność polskiej gospodarki. Ostatecznie sprowadza się to do odpowiedzi na pytanie: „jaką cenę jesteśmy skłonni zapłacić za bezpieczeństwo?”

Więcej o proponowanych zmianach w Ustawie o Krajowym Systemie Cyberbezpieczeństwa:

Zakończono prace nad zmianą w KSC. Wprowadzono istotne zmiany w kontekście ochrony polskiej infrastruktury przed cyberatakami