O ogółu do szczegółu, czyli projekt jest coraz dokładniejszy

To już piąty rok tortur prac nad nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa, nad którą wykłada się już drugi rząd z rzędu. Nowy wariant to prawdopodobnie 19. oficjalna wersja, choć licząc od zmiany rządu to bodajże wersja (dopiero) 5.

Zmiany w projekcie są przede wszystkim kosmetyczne. Zapisy są bardziej precyzyjne, szczegółowe i odnoszą się m.in. do konkretnych przepisów unijnych. Aż chce się zapytać – nie można było tak od razu? Niezmiennie Ministerstwo Cyfryzacji próbuje upiec dwie pieczenie na jednym ogniu i ustawą dostosować nasze przepisy do unijnej dyrektywy NIS2.

Warto tutaj wspomnieć o dwóch zmianach, które się pojawiają. Firmy zagraniczne, uznane za podmioty ważne lub kluczowe, które działają na terenie Polski, ale mające siedzibę i władze poza Unią Europejska, będą musiały wyznaczyć przedstawiciela na nasz rynek.

NASK będzie pełnić funkcję koordynatora na potrzeby skoordynowania ujawnienia podatności i będzie przyjmować zgłoszenia dotyczące podatności na zagrożenia. Zgłoszenie będzie mógł zrobić każdy. NASK zidentyfikuje podatność, sklasyfikuje, zlikwiduje ją i/lub jej skutki oraz może ujawnić informacje na ten temat.

Czytaj też: Polski Światłowód Otwarty zapewni dostęp do internetu w nowych lokacjach

NASK z nowym rejestrem danych. Nie za dużo tych informacji?

Obecna władza sprawia wrażenie, że idealnie kontynuuje działania poprzedników. Co kilka tygodni wypuszcza nową wersję projektu i dodaje do niego kontrowersję, przez co jest o nim głośno i mamy wrażenie, że ktoś tam faktycznie w pocie czoła nad tym pracuje. Nie widzę innego logicznego wytłumaczenia.

Tym razem chodzi o nowe zapisy zawarte w Art. 26c. Mówi on, że NASK stworzy narzędzie online pozwalające osobie fizycznej sprawdzenie, czy jej dane osobowe nie zostały ujawnione w sieci w sposób nieuprawniony. Na skutek incydentu lub cyberzagrożenia. Fajnie, ale… takie narzędzia są dostępne w sieci. Działa już portal BezpieczneDane.gov. Podobne usługi mają Google czy Apple i są w stanie nas informować o tego typu wyciekach. Po co nam w takim razie kolejne rządowe narzędzie do tego samego?

Czytaj też: Nowe częstotliwości sieci 5G w drodze. Brak zakłóceń zależy od prac Ukrainy

Tymczasem ma zostać stworzone nowe narzędzie, które dodatkowo daje NASK-owi dostęp do ogromnej bazy danych. Bo jak czytamy w punkcie drugim Art. 26c, dla realizacji usługi online, o której mowa w ust. 1, CSIRT NASK może gromadzić i przetwarzać następujące dane osobowe:

1) imię i nazwisko,

2) datę urodzenia,

3) adres zamieszkania,

4) płeć,

5) imię i nazwisko nadane podczas urodzenia,

6) miejsce urodzenia,

7) identyfikator użytkownika w Węźle Krajowym nadawany tymczasowo podczas uwierzytelniania,

8) login, który uległ nieuprawnionemu upublicznieniu,

9) adres poczty elektronicznej,

10) numer telefonu,

11) numer PESEL.

Ciśnie się tu na usta cytat z Michała Gramatyki. Wiceministra cyfryzacji, który za czasów poprzedniej władzy, kiedy to Rozbita Prawica tworzyła lub próbowała tworzyć nowe rejestry zwykły pytać – po co Wam nasze dane?