Szanowni Państwo, Członkowie Związku Pracodawców Polska Miedź

Uprzejmie informuję, że do konsultacji publicznych skierowany został projekt rozporządzenia Ministra Cyfryzacji w sprawie udzielania pomocy de minimis na wsparcie przedsiębiorstw wodociągowo-kanalizacyjnych objętych krajowym systemem cyberbezpieczeństwa w ramach Krajowego Planu Odbudowy i Zwiększania Odporności (numer z wykazu 27).

Przedmiotowy projekt aktu prawnego wraz z Uzasadnieniem oraz Oceną Skutków Regulacji dostępny jest na stronach Rządowego Centrum Legislacji pod adresem:

https://legislacja.rcl.gov.pl/projekt/12395454/katalog/13115611#13115611

Uprzejmie proszę o przekazywanie ewentualnych uwag, opinii i stanowisk do projektu w terminie do 18 marca 2025 roku na adres: kuydowicz@pracodawcy.pl w wersji elektronicznej umożliwiającej edytowanie tekstu.

Polska cyberprzestrzeń jest jedną z najczęściej atakowanych przez hakerów na całym świecie. W 2020 r. 13% polskich firm stało się celem cyberataku ransomware, czyli wymuszenia okupu za umożliwienie dostępu do danych zablokowanych za pomocą złośliwego oprogramowania. Sytuacja w cyberprzestrzeni z każdym rokiem staje się coraz bardziej niebezpieczna. Zespół CSIRT NASK, jeden z trzech zespołów poziomu krajowego zajmujących się incydentami cyberbezpieczeństwa, z roku na rok odnotowuje coraz więcej incydentów. W 2021 r. było to prawie 30 tys. incydentów, a w 2022 r. prawie 40 tys. incydentów. W 2023 r. było to już ponad 80 tys. incydentów – co oznacza wzrost o ponad 100% w stosunku do ubiegłego roku. W ciągu pierwszych 5 miesięcy 2024 r. odnotowano już około 47,6 tys. incydentów i jeśli ten trend się utrzyma to w tym roku może zostać przekroczona liczba 100 tys. zgłoszonych incydentów. W związku z tym konieczne jest podjęcie działań służących zwiększeniu cyberbezpieczeństwa w obszarach kluczowych z punktu widzenia funkcjonowania państwa i społeczeństwa.

Przyjęta do sfinansowania w ramach Krajowego Planu Odbudowy i Zwiększania Odporności (KPO), w ramach komponentu C – Transformacja Cyfrowa, inwestycja C3.1.1. „Cyberbezpieczeństwo – CyberPL, infrastruktura przetwarzania danych optymalizacja infrastruktury służb państwowych odpowiedzialnych za bezpieczeństwo” zakłada wydatkowanie środków na wsparcie podmiotów krajowego systemu cyberbezpieczeństwa w zakresie zwiększania cyberbezpieczeństwa i służy osiągnięciu ww. celu.

KPO jest finansowany w ramach przyjętego przez państwa członkowskie Unii Europejskiej Instrumentu na rzecz Odbudowy i Zwiększania Odporności (Recovery and Resilience Facility – RRF). Jednym z kluczowych wyzwań w tym zakresie jest zwiększenie poziomu cyberbezpieczeństwa w podmiotach kluczowych z punktu widzenia gospodarki. Jednym z takich sektorów, objętych krajowym systemem cyberbezpieczeństwa, jest sektor zaopatrywania w wodę. Szeroko w tym sektorze wykorzystywane są technologie operacyjne (OT) do sterowania i monitorowania świadczonych usług. Wystąpienie incydentu w tym obszarze łatwo mogłoby prowadzić do przerwania ciągłości świadczonych usług. Ponadto, jest to obszar w którym nie jest łatwo uzyskać środki na inwestycje z rynku prywatnego. Dlatego ten obszar wymaga działania ze strony państwa. Podmioty, dla których jest dedykowana pomoc, stanowią również podmioty krajowego systemu cyberbezpieczeństwa, zgodnie z art. 4 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2024 r. poz. 1077 i 1222).

Podstawą do wydania przedmiotowego rozporządzenia jest art. 14lc ust. 4 ustawy z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju. Podmiotem uprawnionym do wydania programów pomocowych umożliwiających takie wsparcie jest właściwy minister pełniący funkcję instytucji odpowiedzialnej za realizację inwestycji – w zakresie, w jakim pomoc, o której mowa powyżej, ma być udzielana w ramach inwestycji.

Projektowane rozporządzenie ma umożliwić udzielanie pomocy de minimis przedsiębiorstwom wodociągowo-kanalizacyjnym na inwestycje z zakresu cyberbezpieczeństwa. Wsparcie będzie udzielane na przedsięwzięcie, którego celem jest zapewnienie cyberbezpieczeństwa wewnątrz danego podmiotu poprzez inwestycje w:

1) środki organizacyjne służące zapewnianiu cyberbezpieczeństwa;

2) środki techniczne służące zapewnianiu cyberbezpieczeństwa;

3) rozwój kompetencji personelu w zakresie cyberbezpieczeństwa.

Projektowane wsparcie pozwoli na zwiększenie cyberbezpieczeństwa w tych podmiotach poprzez inwestycje w sprzęt oraz kompetencje pracowników. Dzięki temu ten sektor gospodarki stanie się bardziej odporny na cyberzagrożenia. Należy podkreślić, że zagwarantuje to zapewnienie ciągłości działania tych przedsiębiorstw co pozytywnie wpłynie również na wszystkie inne podmioty korzystające z usług tych podmiotów.

Osiągnięcie celów inwestycji C3.1.1. „Cyberbezpieczeństwo – CyberPL, infrastruktura przetwarzania danych optymalizacja infrastruktury służb państwowych odpowiedzialnych za bezpieczeństwo” w wyniku podjęcia działań innych niż legislacyjne nie jest możliwe. 

Z wyrazami szacunku