Projekt nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa to brazylijska telenowela
Nie jestem w stanie poważnie pisać na temat projektu, choć sprawa jest bardzo poważna. Przez ostatnie lata zrobił się z tego cyrk, który bardzo trudno będzie powtórzyć. Omówmy sobie krótko, co działo się do tej pory.
Pierwszy projekt nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa pojawił się w 2020 roku i częściowo brzmiał jakby był napisany przez administrację amerykańską. Projekt miał za zadanie zablokowanie chińskich firm w polskich sieciach 5G i zasadzie to był jego główny wydźwięk. W kolejnych wersjach projekt ewoluował i trzymał się dwóch rzeczy. Pierwsza to faktycznie potrzebne i dobre przepisy dotyczące cyberbezpieczeństwa, obsługi incydentów i ich zgłaszania. Druga to chińskie firmy i z czasem poszerzono kryteria ich wykluczenia. Po pierwszym – chińśkie firmy są złe, bo są złe i chińskie, dodano też nowe kryteria oceny, bazujące na technicznych i nieuznaniowych kryteriach.
Zapisy projektu ewoluowały w kolejnych wersjach w zależności od starć w obozie Rozbitej Prawicy. Tak dodano do niego zapisy powołujące Operatora Strategicznej Sieci Bezpieczeństwa, którym miał być Exatel. Spółka miała dostarczać bezpieczną łączność dla służb i administracji, które miały obowiązkowo korzystać z jego usług, ale… nie wszystkie służby miały być objęte nakazem. To efekt niezgodności ministrów, którzy chcieli zapewnić swoim obszarom wpływów możliwie największe korzyści płynące z nowych przepisów.
Pomimo kilkunastu wersji projekt był zły. Nie zawierał oceny kosztów konieczności wymiany sprzętu dostawcy uznanego za dostawcę wysokiego ryzyka, próbował na siłę wepchnąć Exatela do jakiegoś liczącego się zadania. Do tego pojawiły się zarzuty o zamach na wolność prowadzenia działalności, było wykluczanie małych firm telekomunikacyjnych… Długo można by wymieniać, ale w końcu mamy nowy rząd, nowe Ministerstwo Cyfryzacji i nową wersję projektu. Lepszą? Eee… pomidor! No ale po kolei.
Czytaj też: Nowa władza, stary program Inwigilacja Plus. Służby chcą czytać nasze maile
Kolejny nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa czerpie garściami z przepisów unijnych
Zacznijmy od części przepisów, które raczej nie powinny budzić kontrowersji. To zapisy dotyczące faktycznie systemów cyberbezpieczeństwa, które dużo czerpią z unijnej dyrektywy NIS2. A nawet bardzo dużo, bo spotkałem się z opiniami, że projekt wygląda niemal jak jej przepisanie, co wskazuje na duży pośpiech przy tworzeniu przepisów. Nic dziwnego, bo jeśli nie wdrożymy wytycznych dyrektywy do 17 października, będzie to kolejny powód do nałożenia na Polskę kar. A trochę ich już płacimy.
Projekt Ustawy reguluje ścieżkę zgłaszania incydentów cyberbezpieczeństwa i powołuje sektorowe zespoły CSIRT, które będą się nimi zajmować oraz klasyfikuje podmioty objęte Ustawą na ważne i kluczowe. Dla przykładu, w przypadku wystąpienia poważnego incydentu cyberbezpieczeństwa u przedsiębiorcy telekomunikacyjnego (podmiot krytyczny), będzie on musiał zgłosić wczesne ostrzeżenie o jego wykryciu w ciągu maksymalnie 12 godzin. CSIRT będzie miał 8 godzin na przekazanie informacji do CSIRT MON, NASK lub GOV, np. z prośbą o wsparcie techniczne. To najszybsza ścieżka przewidziana przez Ustawę.
W przypadku wystąpienia incydentu krytycznego, Minister Cyfryzacji, po konsultacjach, będzie mógł wydać polecenie zabezpieczające. Może to być nakaz instalacji poprawki bezpieczeństwa lub wycofania niebezpiecznego oprogramowania w stosunku do podmiotu, u którego wystąpił incydent.
Czytaj też: Spór o nowe przepisy. Ministerstwo Cyfryzacji nie chce pieniędzy operatorów?
Pieniądze, więcej pieniędzy i… nie wiadomo jak duże pieniądze
Projekt dużo i jednocześnie za mało mówi o pieniądzach. Zakłada on rozszerzenie budżetu Funduszu Cyberbezpieczeństwa ze 100, do 250 mln zł. Na co nie można narzekać, bo jest to na tyle ważny obszar, że nie może zostać niedofinansowany.
Z pieniędzmi związane jest też rozszerzenie zatrudnienia. Mówimy o 54 nowych etatach w UKE i 7 w Ministerstwie Cyfryzacji. Co, jak wyżej, nie powinno być powodem do krytyki. Podobnie jak przeznaczenie 21 mln zł na delegacje pracowników NASK w ciągu 10 lat. To zwyczajnie musi kosztować, choć pewnie polityczni oponenci znajdą tu powody do krytyki.
Pieniądze to również kary. Nowe przepisy zakładają, że minimalna kwota kary związanej z incydentem cyberbezpieczeństwa to 15 tys. zł w przypadku podmiotów ważnych oraz 20 tys. zł w przypadku podmiotów kluczowych. Kwoty maksymalne to już odpowiednio 7 mln euro oraz 10 mln, ale już nie złotych, a euro. To już nie przelewki.
O pieniądzach jest za to za mało w kontekście oceny skutków regulacji. Podobnie jak w poprzednich wersjach projektu, co było wielokrotnie krytykowane, tak i w nowym nie pokuszono się o to, jakie mogą być koszty przymusowej wymiany sprzętu w przypadku uznania jego dostawcy, za dostawcę wysokiego ryzyka. To koszt, jaki będą musieli ponieść nie tylko operatorzy telekomunikacyjni i który niewykluczone, że zostanie przerzucony na klientów. Te, biorąc pod uwagę kształt nowych przepisów, mogą być wręcz niemożliwe do oszacowania. O czym za moment, a skoro o dostawcach mowa…
Czytaj też: Operatorzy protestują przeciwko nowym przepisom. Za brak ich wdrożenia zapłacimy wysokie kary
Chińskie firmy oceniane uznaniowo i obiektywnie. Która ocena będzie ważniejsza?
Projekt niezmiennie zakłada, że za potencjalnych dostawców wysokiego ryzyka mogą zostać uznane firmy, które mogą być pod wpływem państw, które pochodzą spoza Unii Europejskiej oraz NATO. Upraszczając, wiele zapisów jako potencjalnie niebezpieczne wskazuje, choć nie wprost z nazwy, firmy chińskie.
Oceną dostawców zajmie się Kolegium do spraw cyberbezpieczeństwa. Jego skład został poszerzony i znajdą się w nim m.in. ministrowie i szefowie służb specjalnych, dyrektorowie RCB czy NASK. Dodatkowo przewidziano możliwość zastąpienia ich przez zastępców, co jest zrozumiałe np. w przypadku nieplanowanej choroby. To pozwoli zachować ciągłość działania.
Dostawcy będą też oceniani pod kątem czysto technicznym. Wśród kryteriów jest m.in. historia dostawcy – wcześniejsze incydenty, ich historia i czy w ogóle występowały oraz zgodność z certyfikatami bezpieczeństwa. Tutaj robi się ciekawie, bo uznawany za zło wcielone Huawei jest potencjalnie niebezpieczny ze względu na kraj pochodzenia, ale zdobywa kolejne certyfikaty i nadal nie udowodniono, w jaki konkretnie sposób jego sprzęt mógłby stanowić zagrożenia. Ustawa nie precyzuje, czy w takiej sytuacji podczas oceny ważniejsze będą kryteria geopolityczne, czy techniczne.
Czytaj też: Czy nadajniki komórkowe obniżają ceny nieruchomości? Tak twierdzą ich przeciwnicy
Obowiązki wycofania sprzętu obejmą prawie 40 tys. podmiotów. Małe firmy bez prawa głosu? Co z prawem do swobodnego prowadzenia działalności?
Nowa wersja projektu znacznie rozszerza podmioty, które w przypadku uznania dostawcy za dostawcę wysokiego ryzyka, będą musiały wycofać jego produkty z użycia. Mówimy tu m.in. o firmach zajmujących się wyrobami medycznymi, sektorze badań naukowych, bankowym, energii, gospodarowania odpadami, poczty, produkcji, przetwarzania i dystrybucji żywności, chemikaliów, sektora ścieków, transportu, transportu wodnego czy sektora wody pitnej. Mówimy tutaj o ok 38,5 tys. podmiotów, z czego najwięcej, bo prawie 28 tys. stanowi administracja publiczna. Ale mamy tu m.in. 1204 podmioty zajmujące się żywnością, 1248 zdrowiem, 1120 produkcją z wyłączeniem wyrobów medycznych, 214 chemikaliami, 268 wodą pitną czy 102 zajmujące się kanalizacją.
Wszystkie te podmioty będą musiały wymienić urządzenia lub oprogramowanie dostawcy wysokiego ryzyka w ciągu 7 lat lub 4 jeśli są w grupie podmiotów krytycznych. W tym okresie możliwe będzie użytkowanie, serwisowanie i wymiana sprzętu na nowy w przypadku uszkodzenia. Jakie byłyby to koszty? Przy takiej liczbie podmiotów to wręcz niemożliwe do oszacowania.
W przypadku uznania dostawcy za dostawcę wysokiego ryzyka, bezpośrednio w jego obronie będą mogły stanąć tylko największe firmy. Dostawca będzie mógł odwołać się od decyzji do sądu administracyjnego. Jako strona postępowania będą mogły do niego dołączyć firmy, ale tylko te, które spełniają określone kryteria przychodowe. Czyli firmy największe. Mniejsze będą mogły dołączyć do postępowania tylko poprzez inby branżowe. Co w pewnym sensie też stawia je w uprzywilejowanej pozycji.
W przypadku poprzednich wersji projektu pojawiły się zarzuty, że nakaz wymiany sprzętu jest zamachem na wolność prowadzenia działalności. Co gwarantuje art. 20 Konstytucji, co potwierdza też uzasadnienie do projektu. Jednocześnie czytamy w nim, że art. 22 dopuszcza ograniczenie wolności działalności gospodarczej ze względu na ważny interes publiczny. Na co powołuje się ustawodawca, potwierdzając to wyrokami Trybunału Konstytucyjnego.
Konsultacje mogą być za krótkie?
Na konsultacje publiczne przewidziano 30 dni. Z jednej strony dużo, to miła odmiana w stosunku do ostatnich ośmiu lat, ale z drugiej mało, jeśli spojrzymy na to, ile firm dotkną nowe przepisy. Jeśli nawet część z ponad 38 tys. podmiotów będzie chciało się w tej sprawie wypowiedzieć, 30 dni może okazać się zbyt krótkim okresem. Dużo też będzie zależało od tego, czy niektóre branże w ogóle będą wiedzieć, że są objęte nowymi przepisami dotyczącymi cyberbezpieczeństwa.
Czy nowy projekt nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa jest lepszy od poprzednich? Już samo wykreślenie z niego bardzo złej instytucji operatora strategicznego czyni go lepszym. Nie jest jednak idealny. Znaczne rozszerzenie podmiotów objętych Ustawą może wprowadzić duże zamówienie. Nadal brakuje bardzo ważnych szacunkowych wyliczeń kosztów, jakie firmy poniosą w przypadku wytypowania dostawców wysokiego ryzyka. No i bardzo ciekawi mnie, które kryteria oceny – geopolityczne czy techniczne, będą ważniejsze przy ocenie dostawców.
Nowy projekt, nowe wątpliwości, a czy będą kolejne jego wersje? Myślę, że ta telenowela tak szybko się nie skończy.
