Ciężar implementacji dyrektywy NIS spoczywa na barkach Polski - wywiad z dr Joanną Kuleszą

Czy mogłaby Pani krótko przedstawić cel wprowadzenia dyrektywy i najważniejsze jej postanowienia?

To dość obszerny dokument, trudno więc „krótko” go streścić, ale warto zaznaczyć, iż najważniejszym założeniem dyrektywy jest ujednolicenie polityki cyberbezpieczeństwa UE. Założenie to realizowane jest przy wykorzystaniu licznych instrumentów prawnych i praktycznych, które dotyczą sposobów realizacji polityk wewnętrznych, a przede wszystkim obronnych, państw członkowskich.

Jaką rolę ma według dyrektywy odgrywać ENISA?

ENISA ma koordynować działania CERTów, kontynuując i rozwijając wcześniej już przypisaną jej rolę.

Jakie są najpilniejsze zadania w związku z wdrożeniem NIS?

Podstawowym założeniem Dyrektywy jest ustanowienie sieci współpracy pomiędzy krajowymi „punktami kontaktowymi” – zespołami szybkiego reagowania na cyberzagrożenia (Computer Emergency Response Teams, CERTs). CERTy mają być dostępne 24 godziny na dobę i mówiąc ogólnie, koordynować działania w zakresie cyberbezpieczeństwa. W większości państw europejskich, w tym w Polsce, takie zespoły istnieją już od dawna, dyrektywa natomiast nadaje im szczególną rangę i wprowadza obowiązek ich ustanowienia tam, gdzie jeszcze ich nie powołano.

Polska będzie miała aż, czy tylko 27 miesięcy na implementację. Czy uważa Pani, że możemy nie zdążyć? Dlaczego?

Ryzyko niedopełnienia terminu implementacji na pewno istnieje, Polska nie jest jednak jedynym państwem, które musi się z nim mierzyć. Jak wspomniałam, dyrektywa jest dość obszerna i wprowadza szereg szczegółowych obowiązków dla państw. Co ważniejsze jednak, wiele zapisanych w niej mechanizmów współpracy wymaga samodzielnego uzupełnienia przez państwa, wypracowania dobrych praktyk. Najważniejszy jest tu obowiązek współpracy organów państwa z podmiotami prywatnymi. Jeśli zdarzyłoby się tak, że Polska nie dotrzyma terminu implementacji, jestem pewna, że nie będzie w tym osamotniona – dyskusje o sposobach wdrożenia założeń dyrektywy toczą się w wielu państwach i one także mogą potrzebować więcej czasu, żeby wprowadzić w życie wszystkie jej założenia.

Jakie Pani zdaniem mogą wystąpić największe problemy z transpozycją dyrektywy NIS w Polsce?

Najtrudniejsze będzie wypracowania efektywnej współpracy pomiędzy sektorem prywatnym i publicznym, która pozwoli na skuteczne ograniczenie ilości cyberataków i opracowanie wydanych strategii bezpieczeństwa. W tej chwili wciąż brakuje w Polsce spójnej polityki cyberbezpieczeństwa, podział kompetencji jest niejasny i niespójny. Na to nakłada się brak zaufania pomiędzy biznesem a organami władzy, a przecież żeby skutecznie domagać się pomocy przy obronie swoich zasobów, trzeba okazać swoje słabości. Przedsiębiorcy niechętnie dzielą się informacjami o poniesionych stratach, tym bardziej, że nie wiedzą jakiego rodzaju pomoc zaoferuje państwo. Ich zdaniem ta oferowana do tej pory w dziedzinie ochrony infrastruktury telekomunikacyjnej była co najmniej niewystarczająca. Pozostaje otwarta także istotna kwestia finansowania niezbędnych zmian i zabezpieczeń – państwo wciąż nie zadeklarowało jakiejkolwiek pomocy w tej kwestii, wpisując się w ogólnoeuropejski trend. Zastanowić się więc należy jak mali i średni przedsiębiorcy sfinansują wymagane od nich dodatkowe zabezpieczenia infrastruktury elektronicznej.

Czy dyrektywa wzmocni cyberbezpieczeństwo UE i jakie powinny być następne kroki po jej wprowadzeniu?

Tak, dyrektywa na pewno wzmocni cyberbezpieczeństwo UE, choć trzeba wziąć pod uwagę obecny stan tej organizacji międzynarodowej. Jeśli jednak założymy, że Unia przetrwa kryzys, a moim zdaniem tak się stanie, dyrektywa przyczyni się do podjęciach kolejnych logicznych kroków na drodze do ujednolicenia polityk bezpieczeństwa państw członkowskich.

Czy wyobraża sobie Pani sytuacje, że po wdrożeniu aktów prawnych spełniających wymogi dyrektywy, wszystko pozostanie po staremu. Mówiąc inaczej nie zostaną podjęte żadne praktyczne działania?

Na pewno będzie tak zaraz po przyjęciu ewentualnych nowych aktów prawnych, ale musimy pamiętać, że Polska, a przede wszystkich polscy przedsiębiorcy, działają nie tylko na terytorium RP ale także, czy przede wszystkim, jeśli mowa o tych oferujących swoje usługi online, na arenie międzynarodowej. Już teraz jest tak, że polskie prawo jest tylko jednym z czynników wymuszających określone postawy polskich podmiotów prawnych. Poza nim przedsiębiorcy kierują się międzynarodowymi trendami, jeśli chodzi choćby o ochronę prywatności czy odpowiedzialność dostawców usług świadczonych drogą elektroniczną. Jeśli więc dyrektywa spowoduje podniesienie poziomu cyberbezpieczeństwa w UE, a wierzę, że tak się stanie, zmuszeni do poniesienia dodatkowych nakładów na zabezpieczenie ich systemów elektronicznych zostaną także polscy przedsiębiorcy, chcący konkurować z zagraniczną konkurencją. Podobnie, choć nie identycznie wygląda kwestia podmiotów publicznych – także one, współpracując ze swoimi europejskimi odpowiednikami, muszą wykazać, że wprowadziły odpowiednie zabezpieczenia swoich systemów. Najtrudniejsza bez wątpienia pozostaje jednak wspomniana już kwestia współpracy pomiędzy sektorem publicznym i prywatnym – tutaj zewnętrzna motywacja nie będzie już tak ważna, potrzebujemy raczej dobrej, krajowej polityki, mądrze wspieranej przez rząd.

Czy nie obawia się Pani, że wdrożenie dyrektywy będzie wiązało się ze znacznymi obciążeniami fizycznymi dla sektora prywatnego? Czy firmy ponoszące koszty związane z dostosowaniem się do dyrektywy będą mogły liczyć na dofinansowanie z budżety UE lub Polski?

Jak już wspomniałam, kwestia finansowania koniecznych zabezpieczeń jest jedną z najważniejszych przy wdrażaniu dyrektywy. Nie mam informacji o planach dotyczących bezpośredniej pomocy finansowej. Nie oczekiwałabym jej z budżetu Unii, choćby dlatego, że mamy do czynienia z dyrektywą, wymagającą od państw implementacji jej założeń. Ciężar implementacji spoczywa więc na państwach. To one powinny znaleźć sposób na sfinansowanie tego zadania.

Dlaczego UE wprowadziła dyrektywę a nie rozporządzenie?

Dlatego, że tradycyjnie najtrudniej jest znaleźć kompromis w zakresie polityki bezpieczeństwa. To dawny „trzeci filar” UE - obszar polityki poddawany integracji najwolniej, najbardziej na nią odporny. Państwa, broniąc swojej racji stanu, niechętne są ingerencji zewnętrznej, a jako taką postrzegają bezpośrednie stosowanie prawa UE, rozporządzenia. Dyrektywa wymaga także mniej szczegółowego kompromisu – jak już powiedzieliśmy, chodzi raczej o zidentyfikowanie celu, nie sposobów, przy pomocy których zostanie osiągnięty.

W ramach dyrektywy przewiduję się, że podmioty gospodarcze muszą powiadamiać odpowiednie służby o incydentach mających znaczny wpływ na ich bezpieczeństwo. Czy w ramach dyrektywy zdefiniowano, co to znaczny incydent mający znaczny wpływ oraz kim są podmioty gospodarcze?

Zakres podmiotów określa pojęcie „infrastruktury krytycznej” opisane w załączniku do Dyrektywy, choć państwa mają kompetencję do uszczegóławiania tej ogólnej listy, wskazującej sektory gospodarki raczej niż konkretne podmioty. Pojęcie „incydentu” wciąż budzi kontrowersje, pokazała je także istniejące już w Polsce od jakiegoś czasu praktyka. Dyrektywa pozostawia jego dodefiniowanie państwom i dlatego tak ważne jest wypracowanie skutecznej współpracy pomiędzy sektorem prywatnym i państwowym, opartej na zaufaniu i wzajemnej pomocy. Bez tego dyrektywa i implementujące ją ustawy pozostaną prawną wydmuszką bez praktycznego znaczenia.

Dyrektywa wymaga od państw członkowskich wdrożenia strategii cyberbezpieczeństwa. Czy dyrektywa definiuje jakie elementy mają się znaleźć w strategiach czy pozostawia to w rękach państw członkowskich?

Dyrektywa zawiera dość precyzyjne wskazówki, ale to państwa mają doprecyzować, jakiego rodzaju działania podejmą.

Dyrektywa NIS nie odnosi się do obywatela bezpośrednio, czy w takim razie może w jakiś sposób mu pomóc?

Tak jak każdy akt prawa międzynarodowego, poprzez implementację. Korzystając z przykładu z zakresu praw człowieka, można by powiedzieć, że zapisane w niewiążącej przecież bezpośrednio, Powszechnej Deklaracji Praw Człowieka prawa, takie jak prawo do prywatności czy wolności wypowiedzi, też nie wpływają bezpośrednio na sytuację przeciętnego Kowalskiego. Jednak ich implementacja, czyli potwierdzenie przepisami prawa krajowego, od Konstytucji po rozporządzenia, powoduje, że mamy prawo chronić swoją prywatność czy sprzeciwiać się cenzurze.

Czy Dyrektywa NIS w jakikolwiek sposób odnosi się do Internetu rzeczy?

Tak, dotyczy ona usług społeczeństwa informacyjnego, obejmuje je więc także, jeśli realizowane są przy wykorzystaniu „rzeczy” wyposażonych w adres IP.

Jak ocenia Pani wypowiedzi gen. Włodzimierza Nowaka podczas konferencji CyberGov, w której wyraził swoje poglądy na sposób prowadzenia strategii cyberbezpieczeństwa Polski. Będzie miała ona wpływ na wprowadzaną dyrektywę NIS?

Pozwolimy sobie przytoczyć część wypowiedzi gen. Włodzimierza Nowaka.

„Myśląc o bezpieczeństwie, trzeba myśleć o przyszłości. Dzisiaj już musimy być przygotowani. System budowany dziś musi być gotowy na maksymalne nasycenie informacjami, które będzie efektem takich zjawisk, trendów i technologii jak Internet Rzeczy, Smart City czy Smart grid. Ocena ryzyka musi być prowadzona na bieżąco. W oparciu o nią trzeba adaptować się do nowych ryzyk. Chcemy, żeby w przyszłości tak to funkcjonowało"

Oceniam ją pozytywnie i zgadzam się w pełni z panem generałem. Szerzej o konieczności wprowadzenia obowiązkowej oceny ryzyka i wymagania od państw należytej staranności przy zapobieganiu cyberatakom piszę w mojej najnowszej książce „Należyta staranność w prawie międzynarodowym”.

Czy NC Cyber powstało jako przygotowanie gruntu pod dyrektywę NIS, będzie wspierać zmiany w prawie?

Liczę, że tak się stanie.

Przewiduję Pani zwiększenie współpracy pomiędzy prywatnymi CERTami jak np. Orange CERT a CERTami związanymi z NASK?

Nie mam danych, aby móc podjąć się rzetelnej prognozy, ale wyrażam gorącą nadzieję, że uda się znaleźć sposoby skutecznej współpracy pomiędzy sektorem prywatnym i publicznym w obszarze cyberbezpieczeństwa.

Czytaj też: Dyrektywa NIS przyjęta – co to oznacza dla cyberbezpieczeństwa Polski i Europy?

Doktor Joanna Kulesza jest adiunktem na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego. Specjalizuje się w prawie międzynarodowym i zarządzaniu Internetem. Współpracuje m.in. z Radą Europy w zakresie ochrony praw człowieka w Internecie. Autorka licznych publikacji o prawie międzynarodowym i nowych technologiach, w tym m.in. „International Internet Law” (Routledge 2012) i ostatnio „Cybersecurity and Human Rights” (wspólnie z R. Balleste, Rowman&Littlefield, 2015).