Koszty wdrożenia dyrektywy NIS2 dla firm i gospodarki Unii Europejskiej

Wszystkie zainteresowane strony, w tym rządy, przedsiębiorstwa i konsumenci, mają silny interes w zwalczaniu cyberzagrożeń. Wprowadzane zatem są polityki cyberbezpieczeństwa w celu zmniejszenia ryzyka cyberataków, aby zwiększyć zaufanie konsumentów.

Analitycy Frontier Economics oszacowali koszty stosowania ostatnich przepisów UE dotyczących cyberbezpieczeństwa (NIS2 i Cyber Resilience Act). Przepisy dotyczące cyberbezpieczeństwa mogą mieć zarówno negatywny wpływ na koszty prowadzenia działalności przedsiębiorstw w Polsce, jak i koszty prowadzenia handlu z podmiotami spoza Unii Europejskiej.

Dodatkowe koszty spełnienia wymogów dyrektyw CyberSec

Wg autorów raportu „Assessing The Economic Impact Of EU Initiatives On Cybersecurity”, 31,2 mld euro rocznie kosztować ma przedsiębiorstwa w Unii Europejskiej wdrożenie nowych regulacji dotyczących cyberbezpieczeństwa.

Dotyczy to dodatkowych kosztów związanych z zatrudnieniem specjalistów ds. cyberbezpieczeństwa (w tym personelu pomocniczego), nabyciem oprogramowania i instalacją sprzętu w celu skonfigurowania i utrzymania dodatkowych ram i procesów cyberbezpieczeństwa. Koszty te w pewnym stopniu przełożą się na ceny detaliczne dla użytkowników końcowych i wpłyną na szereg branż, w tym sektor produkcyjny.

Przepisy dotyczące cyberbezpieczeństwa nakładają koszty nie tylko na dostawców, ale także na organy odpowiedzialne za wdrażanie i monitorowanie przepisów. Dyrektywa NIS2 będzie wymagać od organów monitorujących zatrudnienia większej liczby specjalistów, co doprowadzi do wzrostu kosztów o ok. 360 mln euro. Trudności w spełnieniu tych wymogów mogą zaś doprowadzić do nietechnicznych, uproszczonych i potencjalnie niejasnych zasad oceny poziomu cyberbezpieczeństwa.

Niedofinansowane agencje ds. cyberbezpieczeństwa nie będą w stanie zapewnić wystarczającej liczby osób do podjęcia się złożonego zadania administrowania przepisami na mocy NIS2 i zapewnienia, że ​​interwencje regulacyjne będą ukierunkowane na rzeczywistą naturę ryzyka cyberbezpieczeństwa. Istnieje zatem ryzyko, że słabo obsadzone agencje uciekną się do łatwych do wdrożenia rozwiązań (takich jak zakazy dla dostawców), które jednak mogą wiązać się z wysokimi kosztami dla użytkowników.

Wpływ na unijny handel z partnerami spoza UE

Trzeba jednak pamiętać, że państwa członkowskie mają pewną swobodę w zakresie wdrażania dyrektyw UE do krajowych przepisów dotyczących cyberbezpieczeństwa. Niektóre państwa członkowskie wdrożyły bardziej rygorystyczne środki niż te przewidziane przez regulacje (np. kontrola dostawców w niektórych sektorach).

Te bariery w handlu mogą – zdaniem analityków Frontier Economics – wpłyną na chęć i zachęty firm do inwestowania oraz dostarczania produktów i usług w UE. „Bariery handlowe są jeszcze większe, gdy są stosowane w sposób nieprzejrzysty i arbitralny, ponieważ zwiększają stopień niepewności dla firm, które chcą prowadzić handel w UE” – piszą. W efekcie import tych produktów mógłby być niższy o 13,4 mld euro, a eksport o 19,4 mld euro.

Przepisy dotyczące cyberbezpieczeństwa mogłyby doprowadzić do zmniejszenia konkurencji na skoncentrowanych rynkach, opierających się na wysoce wyspecjalizowanym sprzęcie i/lub usługach. Wprowadzenie środków dyskryminacyjnych mogłoby dodatkowo zmniejszyć i tak już ograniczoną liczbę potencjalnych dostawców.

Przykładem tego jest rynek telekomunikacji mobilnej, gdzie oszacowano, że zakazy dla dostawców dotyczące sprzętu 5G mogą zwiększyć koszty budowy tych sieci w całej UE o 3 mld euro rocznie w ciągu następnej dekady. Może to zmniejszyć PKB UE o 40 mld euro do roku 2035.

„Dyskryminacyjne środki w zakresie cyberbezpieczeństwa, takie jak zakazy dla dostawców oparte na czynnikach nietechnicznych, mogą też zniechęcić do inwestycji i zaszkodzić innowacyjności w Unii Europejskiej” – ostrzegają analitycy Frontier Economics. Dostawcy mogą woleć opracowywać produkty i usługi poza UE, aby uniknąć tego ryzyka.

W efekcie środki kontroli dostawców obniżą europejski PKB o około 8,9 mld euro. Biorąc pod uwagę koszty wdrażania środków cyberbezpieczeństwa, ważne jest, aby decydenci starannie zaprojektowali swoje polityki cyberbezpieczeństwa, aby odpowiednio zarządzać kompromisem między kosztami a korzyściami.