Setki stron, tysiąc uwag. Nadchodzi olbrzymia zmiana dla 40 tys. firm w Polsce

– Chcecie przeprowadzić upaństwowienie majątku przedsiębiorców. Robicie to za nasze pieniądze – tak o najnowszej nowelizacji Krajowego Systemu Cyberbezpieczeństwa(KSC) mówił podczas debaty na ten temat Karol Skupień, prezes zarządu Krajowej Izby Komunikacji Ethernetowej (KIKE). Panel stał się areną starcia pomiędzy przedstawicielami rządu, a stroną pracodawców. Nowe prawo budzi bowiem wiele kontrowersji, również natury konstytucyjnej.

Podczas Konferencji KIKE w mijający wtorek (15.04.) odbył się panel pt.: „Cyberbezpieczeństwo czy biurokracja? Jak nowelizacja KSC zmieni branżę telekomunikacyjną”. Brali w niej udział zarówno przedstawiciele strony rządowej, jak prywatni przedsiębiorcy.

Krajowy System Cyberbezpieczeństwa. Kontrowersje

Nowelizacja Krajowego Systemu Cyberbezpieczeństwa budzi wiele emocji. Odpowiada za nią Ministerstwo Cyfryzacji, które pod wodzą min. Krzysztofa Gawkowskiego, zapowiedziało, że chce, aby projekt przeszedł przez rząd do wakacji tego roku. Sprawa jednak nie jest taka oczywista.

Największym wyzwaniem będzie uzgodnienie projektu, który ma godzić wiele interesów. To jednak jest bardzo duży akt, który wiąże się z nałożeniem wielu obowiązków na tysiące podmiotów. To 1000 poprawek i setki stron, co nie pomaga procesowi legislacji. Nie pomaga jednak również wiele półprawd co do tego projektu, jak np. to, że wspierając KSC, wspierasz Putina, co jest oczywiście absurdem. To jest więc dla nas nie lada wyzwanie – mówił podczas panelu Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa z Ministerstwa Cyfryzacji.

Rzeczywiście, resort przedstawia już piątą wersję nowelizacji, która wciąż wzbudza wiele kontrowersji. Ale po kolei. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa ma wdrożyć unijną dyrektywę NIS 2 w Polsce. Według Brukseli jest to nowy standard w zakresie cyberbezpieczeństwa, który ma odpowiadać m.in. na rosnące zagrożenia hakerskie na Starym Kontynencie. W Polsce przepisy wynikające z Dyrektywy NIS2 obejmą firmy z wielu sektorów, sklasyfikowanych jako podmioty kluczowe lub ważne.

Do podmiotów kluczowych zaliczają się m.in.: energetyka, transport, bankowość, finanse, służba zdrowia, infrastruktura wodno-kanalizacyjna, usługi ICT oraz administracja publiczna. Z kolei do podmiotów ważnych należą m.in.: produkcja żywności, chemikaliów, pojazdów i elektroniki, wyroby medyczne, gospodarka odpadami, a także usługi pocztowe i kurierskie. Wszystkie one będą musiały raportować ataki na ich infrastrukturę cyfrową, co wywołuje wiele obaw.

Co ma zapewnić KSC?

Paweł Zegarow, Kierownik Zespołu Strategii i Rozwoju Bezpieczeństwa Cyberprzestrzeni w rządowej agencji NASK na panelu starał się uspokajać i tłumaczyć, że nowelizacja jest potrzebna.

– KSC adresuje problemy, z jakimi borykamy się tu i teraz, m.in. dotarcia do firm z odpowiednią informacją o zagrożeniu. NASK będzie koordynatorem w procesie ujawniania podatności i będziemy te informacje raportować jeszcze wyżej do przedstawicieli rządu oraz europejskiej agencji temu dedykowanej – wyjaśniał.

Jego zdaniem, czy nowe prawo będzie „biurokracją”, zależy od punktu widzenia danej organizacji.

– Jeśli będzie to traktowane jako pole do odhaczenia, to będzie to biurokracja, ale cyberbezpieczeństwo to gra zespołowa i nikt nie ma satysfakcji z dokładania regulacji przedsiębiorstwom. A cyberbezpieczeństwo przenika każdy aspekt ludzkiej działalności. Kooperacja, a nie konkurencja – to jest kluczowe – zaznaczał.

System S46

Zegarow wspomniał przy tym temacie również o systemie S46. O co chodzi? To system teleinformatyczny, który ma zadanie wspierać zgłaszanie i obsługę incydentów, wymianę informacji i współpracę pomiędzy uczestnikami KSC. W opinii rządu zapewnia również szacowanie ryzyka na poziomie krajowym i ostrzeganie o zagrożeniach cyberbezpieczeństwa.

Ten system ma działać nawet wtedy, kiedy nie będziemy mieli dostępu do internetu. W Ocenie Skutków Regulacji jest mowa o tym, że systemem zostanie objętych 38 tys. podmiotów. Z naszych szacunków wynika, że będzie ich jeszcze więcej. Jego siła będzie polegała na tym, że będą mu dostarczane duże ilości dobrej jakości danych – przekonuje.

Podsumowując swoją wypowiedź, ekspert NASK wskazał, że KSC to „gigantyczna regulacja, która w jednym miejscu chce zaadresować wiele wyzwań”. – Ma ona służyć nie tylko w czasach pokoju – dodał.

Problemy konstytucyjne KSC i dostawcy wysokiego ryzyka

Co więcej, nowy projekt nowelizacji wciąż ma budzić wiele obaw natury konstytucyjnej. Dlaczego? Bowiem to minister cyfryzacji będzie mógł wstrzymać lub ograniczyć koncesję podmiotu kluczowego, zawiesić jego działalność, lub nawet zakazać wykonywania funkcji, gdyby nie stosował się do wykonywania uprzednio wydanych nakazów lub decyzji. We wcześniejszych wersjach projektu te kompetencje posiadał organ koncesyjny lub sąd rejestrowy, które mogły działać na wniosek ministra cyfryzacji.

Dodatkowo, kolejny problem dotyczy firm, które mogą być uznane przez ministra cyfryzacji jako dostawcy wysokiego ryzyka. Jak zapewnia rząd, instytucja dostawcy wysokiego ryzyka ma eliminować z użycia niebezpieczny sprzęt i usługi z kluczowych dla funkcjonowania państwa systemów informatycznych.

Przedsiębiorca, wobec którego zostałaby wydana decyzja ministra cyfryzacji, byłby uznany za dostawcę wysokiego ryzyka. W rezultacie, podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do swoich systemów określonych typów produktów, rodzajów usług, ani konkretnych procesów od takiego dostawcy.

– Potencjalnie każdy może zostać dostawcą wysokiego ryzyka. Taki mechanizm powinien dotyczyć tylko sieci 5G i to też nie całej, a tylko komponentów krytycznych – ostrzegała podczas panelu Kinga Pawłowska-Nojszewska z KIKE i Kancelarii Prawnej Media.

Brak postulatów

Ale to nie wszystko. Mecenas Pawłowska-Nojszewska mówiła także o najważniejszych postulatach trzeciej strony, których nowelizacja nie obejmuje. Jednym z nich jest wprowadzenie lepszej, dokładniejszej skali obowiązków pomiędzy podmiotami kluczowymi a podmiotami ważnymi.

Natomiast aktualne pozostają postulaty, które mniej lub bardziej spełniają definicje nadregulacji, jak chociażby rygor natychmiastowej wykonalności kar finansowych. Skoro zapewnienie bezpieczeństwa wiąże się z wyzwaniami organizacyjnymi i wydatkami, nałożenie wysokiej kary może się okazać przeciwskuteczne – argumentowała.

Zwróciła też uwagę, że podmioty publiczne, które są podmiotami ważnymi, mają obniżony próg wymogów do spełnienia w porównaniu z podmiotami prywatnymi, które mają ten sam status.

– Liczymy, że uda się przekonać resort cyfryzacji, że obniżenie jest wskazane także w odniesieniu do firm – zaznaczyła.

Stanisław Lem na panelu

Swoje zdanie przedstawił także prof. Ryszard Piotrowski z Uniwersytetu Warszawskiego.

Czy KSC jest zgodne z konstytucją? Świetnie to opisał Stanisław Lem. Jego zdaniem jesteśmy w pułapce technologii. Nie możemy się cofnąć, a to co nas czeka nosi znamiona katastrofy. Patrzę na to wszystko z pewnym sceptycyzmem. Można ten projekt jeszcze poprawić, aby zmniejszyć obciążenia dla firm. Ale w interesie państwa jest również to, aby to państwo nie miało ostatniego słowa. Innymi słowy, jak się wyłącza sąd, to pozbawia się obywateli prawa do prawa – przekonywał prawnik.

Na to odpowiedział mu dyrektor Wysocki z Ministerstwa Cyfryzacji. – Te wyłączenia dotyczą zasad państwa. Jeśli np. będzie incydent dot. szpiegów gospodarczych, to mamy to omawiać jawnie? Może opublikujmy sposób, w jaki szpieg dostał tę informację. Albo upublicznijmy całą listę naszych szpiegów. No tak postępować nie możemy – ripostował ironicznie z kolei przedstawiciel strony rządowej.

Konstytucjonalista mówił też o swoistym „upaństwowieniu” firm, bądź ich majątku.

Przyjęty model zakłada, że traktuje się podmioty prywatne, jakby one były częścią struktury państwowej, i przerzuca się na nie odpowiedzialność za bezpieczeństwo państwa, bezpieczeństwo obywateli. Rząd chce mieć możliwość nakazania firmom telekomunikacyjnym wycofania się z dostaw sprzętu i oprogramowania, które uważa za niebezpieczne. Nagle to, co prywatne, zostanie ze względu na funkcję, jaką spełnia, upaństwowione – mówił Ryszard Piotrowski, przypominając o konstytucyjnej zasadzie proporcjonalności.

– W myśl projektu większość podmiotów mających wycofać sprzęt nie będzie mogła brać udziału w postępowaniu, które tego dotyczy. To jest z punktu widzenia proporcjonalności bardzo wątpliwe. Być może można też zastosować środek łagodniejszy niż wycofanie, decyzja ministra jest tu bardzo arbitralna – dodał.

Mocną opinię ws. Krajowego Sytemu Cyberbezpieczeństwa przedstawił również Karol Skupień, Prezes Zarządu KIKE. Co to znaczy zarządzenie ryzykiem? – pytał retorycznie.

Przecież robicie to za nasze pieniądze. To my wydajemy środki na ten sprzęt. Czy ktoś więc nas spytał o zdanie? Waszym zdaniem trzeba przymusić przedsiębiorców, aby mieli sprzęt, taki jak państwo sobie życzy, konfigurować je, jak państwo chce. To upaństwowienie części tego urządzenia. To jest odebrane mi części praw do mojego własnego majątku. Dlaczego ja mam żal o taki punkt widzenia. Ludzie regularnie popełniają błędy, powinno się ich edukować, a w Brukseli ktoś powiedział, że to jest złe myślenie i trzeba do wszystkiego przymuszać pod groźbą kary – mówił prezes KIKE.

Dyrektor Wysocki tę wypowiedź skwitował jednym słowem – „populizm”.

– Nie śmiejmy się z siebie, tylko wysłuchajmy argumentów – odpowiedział prezes Skupień.

Brak kadry to duży problem

Mówiąc o KSC, nie można również nie wspomnieć o kadrach, które miałyby w firmach zajmować się raportowaniem zgłoszeń oraz utrzymaniem całej infrastruktury. Te problemy podczas debaty podniosła z kolei Beata Kwiatkowska, Business Development Officer z Secfense.

Najważniejszy jest człowiek w cyberbepzieczeństwie. A największym problemem to niedobór specjalistów w tym obszarze. Na świecie brakuje ponad 4,7 mln specjalistów ds. cyberbezpieczeństwa. W samej Europie ok. 400 tys. A Polska jest jednym z najbardziej atakowanych cyfrowo krajów, co będzie zwiększało nasze zapotrzebowanie na specjalistów – tłumaczyła.

A jeśli są oni dobrem rzadkim, to będą dobrem drogim. Dlatego według niej firmy muszą często wybierać między trzymaniem reżimu kosztowego, a implementowaniem nowych rozwiązań.

Jest spory rozdźwięk między dużym, a małymi firmami telekomunikacyjnymi. Te małe mają ograniczenia budżetowe i muszą wybierać między wdrażaniem cyberbezpieczeństwa, a utrzymaniem konkurencyjności – stwierdziła.

Damian Szymański, zastępca redaktora naczelnego Android.com.pl

Zdjęcie główne: Obraz wygenerowany za pomocą DALL-E 3

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Artykuł Setki stron, tysiąc uwag. Nadchodzi olbrzymia zmiana dla 40 tys. firm w Polsce pochodzi z serwisu ANDROID.COM.PL - społeczność entuzjastów technologii.