Cyberbezpieczeństwo

Aktualizacja SCCO. Branża: zagrożenie dla suwerenności cyfrowej

Paweł Makowiec 03.03.2025 14:43

Zakończyły się konsultacje nad projektem aktualizacji SCCO. Podmioty z branży usług chmurowych wskazują jednak, że obecny kształt przepisów zagraża suwerenności cyfrowej Polski.
Autor. Shutterstock

Piątek 28 lutego br. był ostatnim dniem konsultacji dotyczących aktualizacji Standardów Cyberbezpieczeństwa Chmur Obliczeniowych. Z propozycji nie są zadowolone podmioty z branży, które wskazują na błędne rozwiązania i braki w tekście projektu. Ich zdaniem, może dojść do utraty suwerenności cyfrowej przez Polskę.

Sprawa rządowego podejścia do kwestii chmur obliczeniowych od kilku tygodni rozgrzewa branżę, co zaczęło się od nawiązania przez polskie władze współpracy z gigantami technologicznymi w połowie lutego br. Zwracano wówczas uwagę m.in. na bezpieczeństwo danych czy strategię państwa w tym zakresie.

Reklama

Kontrowersje wokół aktualizacji SCCO

Równolegle do ogłaszania wielkich inwestycji z zagranicznymi firmami, Ministerstwo Cyfryzacji prowadziło konsultacje dotyczące aktualizacji Standardów Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO). Zakończyły się w piątek 28 lutego, zaś sam projekt ma m.in. dostosować kategorie zabezpieczeń do nowego brzmienia uchwały WIIP czy zmienić podstawowe wymogi bezpieczeństwa w zakresie zabezpieczeń.

Swoje uwagi do aktualizacji przesłało wiele podmiotów. Polska Chmura, związek dostawców usług chmurowych z Polski, zwrócił uwagę na problem suwerenności.

Nowa wersja SCCO ma umożliwić przekazywanie kluczowych danych dla kraju poza jego jurysdykcję, a jednocześnie nie zapewniać odpowiedniej ochrony przed wpływem regulacji z zagranicy. Jednocześnie może to utrudnić nadzór nad cyberbezpieczeństwem, czy doprowadzić do przejęcia firm zarządzających danymi przez podmioty z państw stanowiących zagrożenie.

„Apelujemy o ograniczenie terytorialnego i jurysdykcyjnego przetwarzania tych kategorii danych, których ujawnienie, modyfikacja lub usunięcie doprowadzić może do ograniczenia funkcjonalności krajowych systemów administracyjnych, a w najgorszym wypadku do zagrożenia suwerenności kraju” - czytamy w poście organizacji na portalu LinkedIn.

Reklama

Brak europejskich norm. „Polska musi je uwzględnić”

Podobne wnioski wyciągają inne podmioty. W stanowisku Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji, Krajowej Izby Komunikacji Ethernetowej, Fundacji Digital Poland oraz European AI Forum wskazano, że w proponowanych zapisach znajdują się odwołania do amerykańskich standardów NIST FPS 199, zaś normy europejskie i światowe oraz przepisy Data Act nie zostały w nim uwzględnione.

Według czterech podmiotów, konieczne jest budowanie jednolitego rynku usług chmurowych – jednak próby podjęcia takich działań, wraz z promocją norm dla Big Techów, miało zabraknąć.

„Polska musi uwzględnić europejskie normy i zalecenia w swoich standardach cyberbezpieczeństwa, WIIP oraz zamówieniach publicznych” – zauważają organizacje.

Wskazano również na znaczenie proponowanych zmian. Zdecydowaną większość udziałów na europejskim rynku chmury posiadają Big Techy, przez co obecny kształt SCCO mógłby doprowadzić do utraty cyfrowej suwerenności - podobnie jak w opinii Polskiej Chmury.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].