Strategia cyberbezpieczeństwa RP: większe uprawnienia służb

10 marca br. Rada Ministrów przyjęła Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029, przygotowaną przez Ministerstwo Cyfryzacji, we współpracy z innymi resortami oraz instytucjami kluczowymi dla bezpieczeństwa państwa.

Uchwała w sprawie strategii została opublikowana w tym tygodniu w Monitorze Polskim. Z publikacji wynika, że rząd planuje szereg zmian w prawie, w tym Kodeksu karnego, by skutecznie walczyć z cyberprzestępczością, cyberterroryzmem i cyberszpiegostwem.

Szybsze wykrywanie sprawców

Strategia zakłada, że w celu szybszego wykrywania sprawców przestępstw w internecie zostaną przygotowane projekty zmian przepisów umożliwiających organom ścigania szybszy dostęp do informacji stanowiących tajemnicę bankową.

„Projektowane zmiany prawne będą dotyczyć też umożliwienia żądania danych objętych tajemnicą bankową jedynie na podstawie postanowienia prokuratora, bez udziału właściwego miejscowo sądu okręgowego. Taka zmiana w znaczący sposób wpłynie na skuteczność prowadzonych postępowań, koncentrację materiału dowodowego, w szczególności we wstępnej fazie prowadzonego śledztwa czy dochodzenia” - podkreślono w dokumencie.

Rząd przekazał w strategii, że zaproponuje również zmiany prawne, które umożliwią opracowanie systemu, który pozwoli na „skuteczne utrwalanie treści generowanych przez osoby zaangażowane w działalność terrorystyczną wykorzystujące komunikatory internetowe oraz inne środki komunikacji interpersonalnej”.

Jak wskazano, taki system będzie istotnym wsparciem dla organów ścigania i służb odpowiedzialnych za bezpieczeństwo państwa - umożliwi im skuteczne wykrywanie, monitorowanie i przeciwdziałanie zagrożeniom terrorystycznym w cyberprzestrzeni.

Nowe uprawnienia dla służb

W dokumencie zapowiedziano także przegląd przepisów dotyczących odpowiedzialności karnej za część cyberprzestępstw - zaproponowane zostanie ich „urealnienie”. Służby specjalne miałyby - według strategii - zyskać nowe, „stosowne i niebudzące wątpliwości” uprawnienia do prowadzenia działań w zakresie rozpoznawania, przeciwdziałania i zwalczania zagrożeń o charakterze terrorystycznym i zwalczania działalności obcych służb specjalnych w cyberprzestrzeni. W tym celu zostaną zmienione przepisy Kodeksu karnego - poinformowano.

Strategia zakłada, że służby specjalne w związku z nowymi uprawnieniami zostaną rozbudowane i zyskają dodatkowe finansowanie.

W dokumencie wskazano, że w strukturze Agencji Bezpieczeństwa Wewnętrznego (ABW) ma zostać powołana nowa jednostka organizacyjna do rozpoznawania, przeciwdziałania i zwalczania cyberterroryzmu i cyberszpiegostwa. Natomiast Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) zostało w strategii uznane za ważną jednostkę, której potencjał należy rozwijać.

Rząd zapowiedział również, że zmieni przepisy tak, aby umożliwić wprowadzenie tzw. kontratypów działań operacyjnych i analitycznych podejmowanych w cyberprzestrzeni przez funkcjonariuszy służb specjalnych i służb o charakterze policyjnym.

Kontratypy to inaczej okoliczności wyłączające bezprawność czynu. Po ich określeniu i wprowadzeniu, niektóre działania służb wypełniające znamiona przestępstwa w świetle prawa, nie byłyby karalne.

W dokumencie zaznaczono, że kontratypy będą dotyczyć działania funkcjonariusza, które odbywa się w ramach jego ustawowych zadań, służy ochronie interesu publicznego oraz podlega określonym warunkom legalności i nadzoru, przy zastosowaniu zasady proporcjonalności. Działanie takie miałoby być objęte nadzorem przez sąd lub prokuratora.

„Umożliwi to skuteczne ściganie najpoważniejszych form cyberprzestępczości, zapewniając jednocześnie odpowiednią ochronę prawną osobom realizującym zadania służbowe z użyciem stosownych narzędzi i metod, jednocześnie chronić to będzie przed nadużyciami” - wskazano w strategii.

Walka również z dezinformacją

W walkę z terroryzmem i cyberszpiegostwem ma też zostać zaangażowane polskie środowisko naukowe, które miałoby rozwijać i wdrażać nowoczesne technologie służące tym celom.

Ponadto, zapowiedziano, że kontynuowane będą zadania związane z analizowaniem i ograniczaniem rozpowszechniania treści propagandowo-dezinformacyjnych w polskiej cyberprzestrzeni. Wskazano, że rząd ma też przeciwdziałać rozpowszechnianiu w internecie treści o charakterze terrorystycznym oraz wykrywać wykorzystanie AI do dezinformacji. W związku z tymi zadaniami rząd „w miarę potrzeb” wprowadzi zmiany w przepisach prawa - podano w strategii.

Zapowiadane zmiany w przepisach

Zaproponowane mają zostać również rozwiązania legislacyjne dotyczące retencjonowania danych oraz przekazywania informacji przez podmioty świadczące usługi w zakresie kryptoaktywów. Docelowo, „w dłuższym horyzoncie czasowym”, rząd zaproponuje także mechanizmy prawne umożliwiające „zamrażanie” tych aktywów - czytamy w strategii.

Jednym z celów dokumentu - wskazano - jest uszczelnienie systemu związanego z rejestrowaniem kart SIM, tak by nie można było ich rejestrować na błędne lub fikcyjne dane osobowe. Planowane jest też uregulowanie rynku odsprzedaży kart SIM, w tym w serwisach internetowych, m.in. poprzez umożliwienie blokowania ich przez operatora. Ma to służyć walce z „poważnymi cyberprzestępstwami” oraz z cyberszpiegostwem i cyberterroryzmem.

W dokumencie podkreślono, że wdrożenie w Polsce unijnego aktu o usługach cyfrowych (AI Act) umożliwi egzekwowanie odpowiedzialności finansowej platform internetowych, za których pośrednictwem są rozpowszechniane naruszające prawo reklamy, w szczególności reklamy przygotowane przez oszustów, zachęcające do inwestowania w produkty, które nie istnieją. Wdrożenie unijnych przepisów ma również umożliwić nakładanie „adekwatnych kar finansowych” na platformy, które wielokrotnie dopuściły się publikacji oszukańczych i dezinformujących treści.

Bezpieczniejszy internet

W strategii zapowiedziano przygotowanie rozwiązań legislacyjnych, organizacyjnych i technicznych służących zwiększeniu ochrony użytkowników internetu - zwłaszcza dzieci i młodzieży - przed szkodliwymi i niebezpiecznymi treściami.

Chodzi m.in. o zwalczanie treści przedstawiających wykorzystywanie seksualne dzieci (CSAM), patostreamów, groomingu (uwodzenie dziecka w internecie - PAP) itp. Zmiany mają umożliwić utworzenie i wdrożenie systemu wymiany informacji o wartościach hash, czyli o cyfrowych sygnaturach identyfikujących konkretne materiały (baza hash). Strategia przewiduje też utworzenie krajowej bazy materiałów przedstawiających wykorzystywanie seksualne dzieci (repozytorium wizerunków CSAM).

Dokument zakłada, że w zamówieniach publicznych będą uwzględniane wymogi związane z cyberbezpieczeństwem w odniesieniu do produktów ICT, usług ICT i procesów ICT (teleinformatycznych - PAP).

Mają pojawić się nowe struktury

Wskazano także, że sformalizowane zostanie funkcjonowanie Połączonego Centrum Operacyjnego Cyberbezpieczeństwa (PCOC), a docelowo ma ono stać się centralną instytucją zapewniającą cyberbezpieczeństwo na poziomie krajowym.

Ma też zostać uruchomiona platforma o nazwie Krajowy Cyber Hub (National Cyber Hub, NCH) wspomagająca budowanie świadomości w sektorze publicznym i prywatnym nt. zagrożeń i incydentów cyberbezpieczeństwa. Docelowo platforma ta stanie się elementem europejskiej sieci komunikacji o zagrożeniach cyberbezpieczeństwa (European Cybersecurity Alert System). Natomiast w NASK - PIB ma zostać utworzone Centrum Cyberbezpieczeństwa NASK (CCN).

W strategii zapowiedziano także stworzenie Systemu Bezpiecznej Łączności Państwowej (SBŁP) zapewniającego wymianę informacji między organami odpowiedzialnymi za realizację zadań z zakresu zarządzania kryzysowego, bezpieczeństwa państwa, ochrony porządku publicznego, ratownictwa, ochrony ludności i obrony cywilnej. Aby podnosić cyberbezpieczeństwo w samorządach mają powstać wojewódzkie zespoły specjalistów cyberbezpieczeństwa działających lokalnie i wspierających podmioty publiczne m.in. w obsłudze incydentów i odzyskiwaniu danych.

Zapowiedziano, że w celu ograniczenia odpływu specjalistów ds. cyberbezpieczeństwa z sektora publicznego mają zostać utrzymane rozwiązania, które zapewniają konkurencyjne wynagrodzenia w stosunku do sektora prywatnego. Obecnie jest to m.in. dodatek do pensji w postaci świadczenia teleinformatycznego.

Zmiany w polskich szkołach

Strategia przewiduje również, że programy kształcenia w szkołach będą obejmować edukację w zakresie cyberbezpieczeństwa, w tym także w zakresie prywatności i ochrony danych osobowych w internecie. W tym celu mają zostać zmodyfikowane programy nauczania informatyki w szkołach podstawowych i ponadpodstawowych.

Wprowadzony miałaby zostać nowy zawód w systemie kształcenia zawodowego, tj. technika cyberbezpieczeństwa, który byłby odpowiedzialny za ochronę systemów informatycznych, sieci komputerowych oraz usług i aplikacji, przed zagrożeniami cyfrowymi.

SZP/PAP