Polityka i prawo
Cyfrowa Polska zgłasza uwagi do KSC: Brak precyzji dot. dostawcy wysokiego ryzyka
Związek Cyfrowa Polska wyraża poparcie dla nowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa. „Jest ona potrzebna i wyczekiwana przez rynek cyfrowy i nowoczesnych technologii” - wskazuje organizacja w piśmie do Janusza Cieszyńskiego, do którego treści dotarliśmy. We wtorek, 2 listopada upływa termin konsultacji w sprawie nowelizacji ustawy o KSC.
Swoje uwagi w ramach konstultacji publicznych – jak już informowaliśmy – zgłosi Exatel (to raczej drobne, techniczne kwestie) oraz KIKE.
Z pisma, do którego treści dotarliśmy wynika również, że swoimi sugestiami podzieli się Związek Cyfrowa Polska, branżowa organizacja pracodawców, która zrzesza największe firmy z branży RTV i IT, w tym producentów, importerów i dystrybutorów sprzętu elektrycznego i elektronicznego.
Organizacja wyraża poparcie dla nowelizacji ustawy o KSC, określa ją jako „potrzebną i wyczekiwaną przez rynek cyfrowy i nowoczesnych technologii”, a także wskazuje, że „cyberbezpieczeństwo musi stać się najważniejszym elementem cyfrowej gospodarki, a bez jednoznacznych, jasno sprecyzowanych regulacji prawnych byłoby to niemożliwe”, powinny one bowiem stanowić podstawę prawną dla budowy bezpiecznej sieci, w tym sieci piątej generacji.
Przede wszystkim - kwestia dostawcy wysokiego ryzyka
Zdaniem Cyfrowej Polski, w nowelizacji KSC podstawowa zmiana powinna jednak obejmować kwestię propozycji w sprawie dostawcy wysokiego ryzyka. Podmioty krajowego systemu cyberbezpieczeństwa – wedle nowelizacji - będą musiały wycofać z użytkowania dany sprzęt lub oprogramowanie w ciągu 7 lat od wydania przez ministra właściwego ds. informatyzacji decyzji o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. ZIPSEE uważa, że termin ten powinien zostać skrócony do 5 lat (tak jak ma to miejsce w przypadku infrastruktury krytycznej).
„Takie rozwiązanie nie tylko podniesie poziom cyberbezpieczeństwa poprzez przyspieszenie procesu wymiany i eliminacji sprzętu pochodzącego od dostawców wysokiego ryzyka, pozwoli również ustandaryzować i ujednolić regulację w tym zakresie” – czytamy w piśmie do Janusza Cieszyńskiego, pełnomocnika ds. cyberbezpieczeństwa, z którym zapoznała się redakcja CyberDefence24.pl.
W opinii Związku, zakres ustawy o Krajowym Systemie Cyberbezpieczeństwa w obecnym kształcie jest też „zbyt szeroki i cechuje go brak jasności co do definicji dostawców oraz sprzętu i oprogramowania”.
„Takie uniwersalne podejście do wszystkich podmiotów generuje niepewność prawną dla dostawców, w tym lokalnych MŚP, może negatywnie wpłynąć na innowacyjność i zniechęcić dostawców do inwestowania w Polsce. Może to również prowadzić do zerojedynkowej klasyfikacji dostawców, która może wykluczyć technologie istotne dla polskich organizacji i obywateli” - stwierdzono.
Brak precyzji
Dodatkowo uwagi dotyczą postępowania w sprawie uznania za dostawcę wysokiego ryzyka z urzędu i „analizy prawdopodobieństwa z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego”. Organizacja jest zdania, że przepis ten „rodzi ryzyko uznaniowości”, a warunki do wydania decyzji w tej sprawie przez ministra również nie są precyzyjne.
„Zatem należy wskazać, że procedura o uznaniu podmiotu za dostawcę wysokiego ryzyka jest naznaczona nieprecyzyjnością, co może stanowić tym większe zagrożenie dla podmiotów, wobec których może zostać wszczęte postępowanie w przedmiocie uznania za dostawcę wysokiego ryzyka. Jest to w szczególności istotne, mając na uwadze ograniczenie środków zaskarżenia w toku procedury uznania za dostawcę wysokiego ryzyka” – czytamy.
Czytaj także: Kanownik: Polski nie stać na dalsze opóźnienia ws. wdrożenia 5G
Dodatkowo ZIPSEE wskazuje, że „nie jest jasne, jakie kryteria zostałyby zastosowane do oceny rzeczywistych zagrożeń i określenia środków w celu ich złagodzenia. W rezultacie potrzebna jest większa jasność i szczegółowość zakresu ustawy, która powinna powstrzymać się od zakazywania technologii, a zamiast tego zapewniać ich zgodność z unijnymi przepisami i normami dotyczącymi ochrony danych i cyberbezpieczeństwa”.
Podsumowując - zdaniem Cyfrowej Polski - powyższe przepisy mogłyby negatywnie wpłynąć na sytuację podmiotu, wobec którego będzie toczyło się postępowanie, a wątpliwości ma budzić także zażalenie na opinię kolegium w tej kwestii i postępowanie administracyjne.
„Zatem nawet w przypadku wszczęcia postępowania przez sądem administracyjnym, decyzja o uznaniu za dostawcę wysokiego ryzyka pozostanie wykonywana, przez co zainteresowany podmiot może zostać narażony na znaczne konsekwencje gospodarcze” – zauważa Michał Kanownik, prezes Związku Cyfrowa Polska w piśmie do Janusza Cieszyńskiego.
Jednocześnie ma on nadzieję, że nowelizowana ustawa o KSC będzie stanowiła krok do „podniesienia poziomu cyberbezpieczeństwa Polski” – w sektorze publicznym, prywatnym oraz obywateli.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.