Dezinformacja na temat nowelizacji KSC. Minister ostrzega

Rada Ministrów przyjęła projekt nowelizacji ustawy krajowym systemie cyberbezpieczeństwa (KSC), wdrażającej w Polsce dyrektywę NIS 2. Jednym z kluczowych i jednocześnie najbardziej dyskutowanych rozwiązań projektu jest wprowadzenie instytucji dostawcy wysokiego ryzyka.

Zgodnie z założeniami nowelizacji, dostawca wysokiego ryzyka to podmiot dostarczający sprzęt lub oprogramowanie ICT, który zostaje formalnie uznany przez ministra cyfryzacji za stanowiącego potencjalne zagrożenie dla bezpieczeństwa państwa lub dla działania infrastruktury krytycznej. 

Po uznaniu danego podmiotu za dostawcę wysokiego ryzyka, organizacje kluczowe dla funkcjonowania państwa nie będą mogły wprowadzać do swoich systemów określonych produktów, usług ani procesów ICT pochodzących od tego dostawcy. 

Co więcej, będą one zobowiązane do stopniowego wycofania już używanego sprzętu i oprogramowania w wyznaczonym terminie - w ciągu 7 lat, a w niektórych sektorach krytycznych w ciągu 4 lat.

Narzędzie do ochrony państwa

Wprowadzenie instytucji dostawcy wysokiego ryzyka budzi wiele emocji. Część komentatorów obawia się, że nowe przepisy mogą zostać wykorzystane przeciwko konkretnym firmom lub państwom.

Wiceminister cyfryzacji Paweł Olszewski stanowczo odpiera te zarzuty, podkreślając, że projektowane regulacje mają charakter czysto bezpieczeństwa publicznego, a nie polityczny.

„Nie chodzi o wskazywanie konkretnych firm czy krajów, lecz o identyfikację produktów i usług, które mogą stwarzać realne ryzyko dla bezpieczeństwa państwa” – wyjaśnia Olszewski na naszych łamach.

Jak zaznacza, wokół tematu pojawia się wiele dezinformacji i nieuprawnionego lobbingu, dlatego resort stara się konsekwentnie tłumaczyć założenia nowych przepisów.

Gdzie tylko mogę, mówię o tym, że dezinformacja i lobbing w tym zakresie są całkowicie nieuprawnione. Państwo musi mieć narzędzie, tak jak żołnierz ma karabin, by w odpowiednim momencie nacisnąć spust.
Paweł Olszewski, wiceminister cyfryzacji

Najczęstsze mity wokół dostawców wysokiego ryzyka

Na stronie Ministerstwa Cyfryzacji opublikowano zestawienie najczęściej pojawiających się mitów związanych z instytucją dostawcy wysokiego ryzyka. Do najważniejszych z nich należą:

Mit 1: „Decyzja o uznaniu dostawcy za dostawcę wysokiego ryzyka to arbitralna decyzja polityczna”.

W rzeczywistości decyzja ta będzie wynikiem wieloetapowego postępowania administracyjnego, w którym uczestniczyć ma Kolegium do Spraw Cyberbezpieczeństwa, a także, w charakterze fakultatywnym, organizacje społeczne oraz Prezes UOKiK.

Mit 2: „Przy wydawaniu decyzji nie będą brane pod uwagę przesłanki techniczne, a wyłącznie polityczne”.

Proces oceny ma uwzględniać indywidualną sytuację przedsiębiorcy oraz szeroki zestaw kryteriów. Brane będą pod uwagę zarówno czynniki prawno-polityczne (np. ryzyko powstania zagrożeń ekonomicznych, wywiadowczych lub terrorystycznych), jak i techniczne - takie jak liczba i charakter wykrytych podatności i incydentów, sposób nadzoru dostawcy nad procesem produkcji i dostarczania sprzętu lub oprogramowania, a także posiadane certyfikaty bezpieczeństwa.

Mit 3: „Od decyzji nie przysługuje odwołanie”.

Wbrew obiegowej opinii, decyzja o uznaniu dostawcy za wysokiego ryzyka będzie mogła zostać zaskarżona do sądu administracyjnego, co gwarantuje niezależną kontrolę i możliwość obiektywnej weryfikacji decyzji.

Mit 4: „Procedura skierowana jest przeciwko dostawcom z konkretnego państwa”.

Postępowanie ma charakter indywidualny i dotyczy konkretnego podmiotu, a nie wszystkich dostawców z danego kraju. Celem procedury jest ocena rzeczywistego poziomu ryzyka, a nie pochodzenia geograficznego przedsiębiorcy.

Czy wiadomo, jakie konkretne podmioty mogą być uznane za dostawę wysokiego ryzyka?

Wiceminister Paweł Olszewski zapytany przez nas o to, czy prowadzone są już analizy konkretnych podmiotów i ich produktów pod kątem ewentualnego uznania za dostawcę wysokiego ryzyka, przypomina, że w ramach przygotowywanej ustawy działa już Połączone Centrum Operacyjne Cyberbezpieczeństwa.

Na ten moment możemy jedynie wydawać zalecenia dotyczące określonych działań. Nie dysponujemy jeszcze narzędziami, które pozwalałyby egzekwować decyzje o wycofaniu danego produktu z rynku.
Paweł Olszewski, wiceminister cyfryzacji

Nowelizacja ustawy ma to zmienić, wprowadzając precyzyjną procedurę reagowania na zagrożenia. Jak podkreśla Olszewski, mechanizm ten będzie uruchamiany wyłącznie w uzasadnionych przypadkach, po przeprowadzeniu szczegółowej analizy ryzyka.

„To rozwiązanie nie jest wymierzone w żadnego konkretnego producenta” – podkreśla wiceminister. 

Dla zobrazowania przywołuje przykład z innych sektorów gospodarki: „Nikt nie ma wątpliwości, że produkty farmaceutyczne czy spożywcze, które mogą stanowić zagrożenie, są natychmiast wycofywane z obrotu. Zasada powinna być taka sama w przypadku technologii teleinformatycznych”.

Wymiana sprzętu uznanego niebezpieczny

Jednym z najczęściej pojawiających się argumentów w dyskusji publicznej są potencjalne koszty wymiany sprzętu uznanego za wysokiego ryzyka. Wiceminister uspokaja, że przepisy przewidują odpowiednio długie terminy, które odpowiadają żywotności urządzeń.

„Państwo nie będzie wyręczało przedsiębiorców, ponieważ ustawa uwzględnia naturalne cykle życia produktów” – mówi Olszewski.

Jego zdaniem wydatki ponoszone przez firmy na zapewnienie bezpieczeństwa nie powinny być traktowane jako niepotrzebne koszty, lecz jako inwestycję w stabilność działalności.

„Na całym świecie firmy są atakowane, dane szyfrowane, a przedsiębiorstwa upadają. To pokazuje, że bezpieczeństwo jest inwestycją. Nikt się nie dziwi, że magazyn wynajmuje firmę ochroniarską, żeby zapobiec kradzieży - to również koszt, ale konieczny, by nie stracić biznesu” – podkreśla.

Olszewski przywołuje też przykład niedawnego cyberataku na koncern motoryzacyjny:

„Land Rover Jaguar został zaatakowany i na kilka tygodni musiał wstrzymać produkcję. To są ogromne straty finansowe. Lepiej więc zapobiegać niż ponosić takie konsekwencje”.