Polityka i prawo

Cyfrowa Polska zgłasza uwagi do KSC: Brak precyzji dot. dostawcy wysokiego ryzyka

fot. Ashwin Vaswani/ Unsplash/ Domena publiczna
fot. Ashwin Vaswani/ Unsplash/ Domena publiczna

Związek Cyfrowa Polska wyraża poparcie dla nowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa. „Jest ona potrzebna i wyczekiwana przez rynek cyfrowy i nowoczesnych technologii” - wskazuje organizacja w piśmie do Janusza Cieszyńskiego, do którego treści dotarliśmy. We wtorek, 2 listopada upływa termin konsultacji w sprawie nowelizacji ustawy o KSC.

Swoje uwagi w ramach konstultacji publicznych – jak już informowaliśmy – zgłosi Exatel (to raczej drobne, techniczne kwestie) oraz KIKE.

Z pisma, do którego treści dotarliśmy wynika również, że swoimi sugestiami podzieli się Związek Cyfrowa Polska, branżowa organizacja pracodawców, która zrzesza największe firmy z branży RTV i IT, w tym producentów, importerów i dystrybutorów sprzętu elektrycznego i elektronicznego.

Organizacja wyraża poparcie dla nowelizacji ustawy o KSC, określa ją jako „potrzebną i wyczekiwaną przez rynek cyfrowy i nowoczesnych technologii”, a także wskazuje, że „cyberbezpieczeństwo musi stać się najważniejszym elementem cyfrowej gospodarki, a bez jednoznacznych, jasno sprecyzowanych regulacji prawnych byłoby to niemożliwe”, powinny one bowiem stanowić podstawę prawną dla budowy bezpiecznej sieci, w tym sieci piątej generacji. 

Przede wszystkim - kwestia dostawcy wysokiego ryzyka

Zdaniem Cyfrowej Polski, w nowelizacji KSC podstawowa zmiana powinna jednak obejmować kwestię propozycji w sprawie dostawcy wysokiego ryzyka. Podmioty krajowego systemu cyberbezpieczeństwa – wedle nowelizacji - będą musiały wycofać z użytkowania dany sprzęt lub oprogramowanie w ciągu 7 lat od wydania przez ministra właściwego ds. informatyzacji decyzji o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. ZIPSEE uważa, że termin ten powinien zostać skrócony do 5 lat (tak jak ma to miejsce w przypadku infrastruktury krytycznej).

„Takie rozwiązanie nie tylko podniesie poziom cyberbezpieczeństwa poprzez przyspieszenie procesu wymiany i eliminacji sprzętu pochodzącego od dostawców wysokiego ryzyka, pozwoli również ustandaryzować i ujednolić regulację w tym zakresie” – czytamy w piśmie do Janusza Cieszyńskiego, pełnomocnika ds. cyberbezpieczeństwa, z którym zapoznała się redakcja CyberDefence24.pl.

W opinii Związku, zakres ustawy o Krajowym Systemie Cyberbezpieczeństwa w obecnym kształcie jest też „zbyt szeroki i cechuje go brak jasności co do definicji dostawców oraz sprzętu i oprogramowania”.

„Takie uniwersalne podejście do wszystkich podmiotów generuje niepewność prawną dla dostawców, w tym lokalnych MŚP, może negatywnie wpłynąć na innowacyjność i zniechęcić dostawców do inwestowania w Polsce. Może to również prowadzić do zerojedynkowej klasyfikacji dostawców, która może wykluczyć technologie istotne dla polskich organizacji i obywateli” - stwierdzono.

Brak precyzji

Dodatkowo uwagi dotyczą postępowania w sprawie uznania za dostawcę wysokiego ryzyka z urzędu i „analizy prawdopodobieństwa z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego”. Organizacja jest zdania, że przepis ten „rodzi ryzyko uznaniowości”, a warunki do wydania decyzji w tej sprawie przez ministra również nie są precyzyjne.

„Zatem należy wskazać, że procedura o uznaniu podmiotu za dostawcę wysokiego ryzyka jest naznaczona nieprecyzyjnością, co może stanowić tym większe zagrożenie dla podmiotów, wobec których może zostać wszczęte postępowanie w przedmiocie uznania za dostawcę wysokiego ryzyka. Jest to w szczególności istotne, mając na uwadze ograniczenie środków zaskarżenia w toku procedury uznania za dostawcę wysokiego ryzyka” – czytamy.

Czytaj także: Kanownik: Polski nie stać na dalsze opóźnienia ws. wdrożenia 5G

Dodatkowo ZIPSEE wskazuje, że „nie jest jasne, jakie kryteria zostałyby zastosowane do oceny rzeczywistych zagrożeń i określenia środków w celu ich złagodzenia. W rezultacie potrzebna jest większa jasność i szczegółowość zakresu ustawy, która powinna powstrzymać się od zakazywania technologii, a zamiast tego zapewniać ich zgodność z unijnymi przepisami i normami dotyczącymi ochrony danych i cyberbezpieczeństwa”.

Podsumowując - zdaniem Cyfrowej Polski - powyższe przepisy mogłyby negatywnie wpłynąć na sytuację podmiotu, wobec którego będzie toczyło się postępowanie, a wątpliwości ma budzić także zażalenie na opinię kolegium w tej kwestii i postępowanie administracyjne.

„Zatem nawet w przypadku wszczęcia postępowania przez sądem administracyjnym, decyzja o uznaniu za dostawcę wysokiego ryzyka pozostanie wykonywana, przez co zainteresowany podmiot może zostać narażony na znaczne konsekwencje gospodarcze” – zauważa Michał Kanownik, prezes Związku Cyfrowa Polska w piśmie do Janusza Cieszyńskiego.

Jednocześnie ma on nadzieję, że nowelizowana ustawa o KSC będzie stanowiła krok do podniesienia poziomu cyberbezpieczeństwa Polski” – w sektorze publicznym, prywatnym oraz obywateli.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected] Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.

image
Fot. Reklama

Komentarze

    Czytaj także