Związek Cyfrowa Polska pozytywnie ocenia ogólny cel zmian i większość zaproponowanych rozwiązań w projekcie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.

W stanowisku przesłanym do resortu cyfryzacji apeluje o jak najszybsze procedowanie ustawy.

Niektóre przepisy wymagają jednak doprecyzowania. Eksperci Cyfrowej Polski zwracają uwagę, że brzmienie niektórych zapisów jest niejasne i obawiają się, że mogą być one intepretowane w różny sposób, co może doprowadzić do nadregulacji. Chodzi między innymi o zakres uprawnień egzekucyjnych, nadawanych urzędom. Organizacja ocenia, że zbyt szeroki ich zakres może prowadzić do nadmiernej ingerencji w działalność kluczowych podmiotów na scenie cyfrowej, a przez to do destabilizacji ich funkcjonowania.

Problem może stanowić także czas reakcji przedsiębiorców na zagrożenia. Zgodnie z obecnym zapisem, podmioty kluczowe będą miały 24 godziny na zgłoszenie zagrożenia, a przedsiębiorcy komunikacji elektronicznej – tylko 12 godzin od momentu jego wykrycia. „Termin 12 godzin jest ekstremalnie krótki, przy uwzględnieniu warunków pracy przedsiębiorcy” – oceniają eksperci, i apelują o wydłużenie czasu reakcji do 24 godzin.

Eksperci tej organizacji w swojej opinii odnoszą się także do kwestii dotyczących tzw. dostawców wysokiego ryzyka (DWR), czyli podmiotów, które mogłyby w sposób nieuprawniony administrować danymi lub inaczej oddziaływać na bezpieczeństwo i stabilność sieci.

Związek Cyfrowa Polska uważa to za wysoki priorytet i proponuje skrócenie terminu wycofania sprzętu od dostawców wysokiego ryzyka, zwłaszcza w tak wrażliwych miejscach jak bazy wojskowe, instalacje militarne oraz budynki administracji publicznej.