Dostawcy wysokiego ryzyka nie do ruszenia w nowelizacji KSC

21 października br. rząd przyjął projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Po kilku tygodniach, dokładnie 5 grudnia, Sejm zajął się regulacją. Choć podczas pierwszego czytania sala plenarna świeciła pustkami, poznaliśmy stanowiska partii dotyczące tak długo wyczekiwanych przepisów. Więcej w materiale: Nowelizacja KSC w Sejmie. Poznaliśmy stanowiska partii. 

Nowelizacja wielkiej wagi

Nowelizacja KSC ma strategiczne znaczenie dla państwa, ponieważ odnosi się bezpośrednio do bezpieczeństwa podmiotów publicznych, prywatnych oraz samych obywateli. Zakłada m.in. implementację unijnej dyrektywy NIS2 do polskiego porządku prawnego. Przypomnijmy, że prace nad regulacją ciągną się od 7 lat. 

Projekt przewiduje m.in. utworzenie CSIRT-ów sektorowych, możliwość identyfikacji dostawców wysokiego ryzyka, rozszerzenie listy podmiotów zaliczanych do krajowego systemu cyberbezpieczeństwa oraz dofinansowanie instytucji takich jak NASK. Obecnie procedowany kształt noweli znajdziecie pod linkiem: Druk 1955.

Dostawca wysokiego ryzyka. Olszewski: chodzi o ochronę Polaków

Decyzją Sejmu projekt został skierowany do komisji cyfryzacji. Podczas wtorkowego posiedzenia (16 grudnia br.) posłowie, eksperci i przedstawiciele branży dyskutowali na temat planowanych zmian w KSC. 

Wiceminister cyfryzacji Paweł Olszewski podkreślił, że wdrożenie NIS2 jest „absolutnie kluczowe” z perspektywy państwa, ponieważ chodzi o nasze bezpieczeństwo. 

„Państwo musi mieć narzędzia, aby chronić Polki i Polaków, polskie przedsiębiorstwa” – podkreślił przedstawiciel resortu. Jak wyjaśnił, z tego właśnie względu wprowadzane są nowe instytucje jak m.in. dostawca wysokiego ryzyka (DWR) czy polecenie zabezpieczające. 

„Procedura DWR nie jest wymierzona w żaden kraj ani żadną firmę, lecz jedynie w konkretne produkty lub usługi” – stwierdził Paweł Olszewski. Dodał, że procedura jest przejrzysta i wieloetapowa, umożliwiająca odwołanie do sądu. „To nie jest arbitralna decyzja ministra cyfryzacji” – zastrzegł.

W przypadku wydania stosownej decyzji, czas na usunięcie sprzętu uznanego za zagrożenie w obecnym kształcie projektu ustalono na 7 lat, a w wyjątkowych przypadkach 4. 

„Ta ustawa jest koniecznością, biorąc pod uwagę sytuację geopolityczną. Ma również wpływ na budowanie pozycji Polski jako pewnego partnera w ramach sojuszu i międzynarodowych porozumień” – dodał Paweł Bliźniuk z Koalicji Obywatelskiej. 

Nowelizacja po 2 latach

Paweł Olszewski zaznaczył, że projekt nowelizacji został poddany szerokim konsultacjom społecznym, podczas których złożono ponad 1000 stron uwag i – jak zapewnił – część z nich została uwzględniona na poszczególnych etapach legislacji. Stąd właśnie prace nad obecnym projektem nowelizacji trwały 2 lata.

„To najlepiej skonstruowana ustawa” – zaznaczył Michał Kanownik, Prezes Związku Cyfrowa Polska. Jego zdaniem wdrożenie regulacji podniesie również zaufanie sojuszników do naszego państwa, a próbę „wyrwania zębów” ustawie nazywa „działaniem na szkodę bezpieczeństwa państwa”. 

Problematyczne zapisy w nowelizacji KSC

W trakcie dyskusji wielokrotnie przewijały się stwierdzenia, że przyjęcie nowelizacji to konieczność i warto, aby proces legislacyjny przeszedł sprawnie. Z jednej strony pojawiły się apele o „niewybijanie zębów ustawie” (np. ZPP, PIIT, ZCP); z drugiej z kolei hasła, mówiące o nadregulacji, wykraczającej daleko poza postanowienia zawarte w NIS2. Jakie wątki budzą największe wątpliwości? 

1. Instytucja dostawcy wysokiego ryzyka

W tym temacie najczęściej pojawiały się zarzuty dotyczące nadregulacji. Podczas komisji cyfryzacji wskazano, że DWR to procedura pochodząca z rekomendacji UE znanych jako 5G Toolbox, a więc – jak sama nazwa wskazuje – odnosząca się do sieci 5G, a konkretnie kluczowych jej elementów. 

Obecny projekt noweli znacząco wykracza poza ten obszar, obejmując np. sektor energetyki, chemikaliów czy żywności. Na tę kwestię uwagę zwróciły np. Krajowa Izba Komunikacji Ethernetowej, Przedsiębiorcy.pl czy Konfederacja Polskich Pracodawców. Ich zdaniem, gdyby chodziło wyłącznie o implementację NIS2, przepisy odnosiłyby się do 5G, a więc finalnie objęłyby 4 firmy, a nie ok. 40 tys. 

Paweł Olszewski rozszerzenie regulacji argumentował zagrożeniami, z jakimi musi mierzyć się Polska. Wymienił tu m.in. cyberataki, których w tym roku odnotowano rekordową ilość. Sytuacja geopolityczna i stopień narażenia na wrogie działania w sieci mają stać za tak obszerny katalog podmiotów włączonych do KSC.

Przedstawiciel resortu cyfryzacji wprost podkreślił, że w sprawie DWR nie zmieni zdania. „To kwestia niepodlegająca negocjacjom, przynajmniej ze mną. Nie ugnę się” – powtórzył niejednokrotnie podczas posiedzenia wiceminister, odpowiedzialny za projekt nowelizacji.

Co ważne, jak wskazał m.in. Jakub Bińkowski ze Związku Przedsiębiorców i Pracodawców, DWR poza kwestiami technicznymi, przewiduje również kryterium polityczne, co – jego zdaniem – nie może dziwić. Przywołał tutaj przykład zakupu uzbrojenia, które kupujemy od państw partnerskich czy sojuszniczych, a nie z Rosji lub Białorusi. Oznacza to zatem, że kwestie polityczne mają wpływ na wybór dostawcy określonego rozwiązania. 

2. Katalog podmiotów objętych KSC

Jak już wspomnieliśmy, podczas posiedzenia komisji zwrócono uwagę, że katalog podmiotów objętych przepisami nowelizacji (18 sektorów, ok. 40 tys. firm) jest znacznie szerszy niż wskazano w unijnej dyrektywie. 

Regulacja dotknie zatem wiele małych i średnich przedsiębiorstw, co może zrodzić po ich stronie problemy organizacyjne związane z dostosowaniem się do wymogów. Ze strony organizacji Przedsiębiorcy.pl pojawiła się propozycja wprowadzenia okresu karencji dla MŚP, co mogłoby złagodzić i tak trudną sytuację wielu przedsiębiorstw. 

3. Wpływ na działalność małych i średnich przedsiębiorstw

Poza ryzykiem arbitrażu technologicznego, niejednokrotnie podczas posiedzenia komisji przewijała się kwestia kosztów, jakie poniosą firmy w związku z obowiązywaniem znowelizowanych przepisów. 

Ministerstwo uważa, że to inwestycja, przedsiębiorcy odpowiadają: „tak, inwestycja kosztem biznesu”. A to dlatego, że państwo w żaden sposób nie przewiduje rekompensaty za konieczność wymiany sprzętu. Część z nich może nie udźwignąć tego ciężaru i po prostu upaść. 

Paweł Olszewski porównał to do kosztów związanych z np. wynajęciem firmy ochroniarskiej lub zakupem systemu monitoringu w celu podniesienia bezpieczeństwa prowadzonej działalności. Przewodniczący komisji Bartłomiej Pejo skwitował: „Różnica jest taka, że obecnie nikt nikogo nie zmusza prawem do inwestowania w ochronę lub monitoring”. 

Dodatkowo, w noweli przewiduje się wyższy próg sankcji finansowych niż w dyrektywie NIS2.

4. Instytucja polecenia zabezpieczającego

To ma być jedno z narzędzi w rękach ministra cyfryzacji, które powinno pomagać budować bezpieczeństwo państwa. Nie brakuje jednak głosów, że czas jego obowiązywania powinien być krótszy niż do 2 lat. 

Przykładowo, KIKE oraz Polska Izba Komunikacji Elektronicznej sugerują, aby polecenie miało moc nie dłużej niż czas koordynacji incydentu. 

5. Vacatio legis

Propozycja wydłużenia vacatio legis ze strony organizacji Przedsiębiorcy.pl spotkała się ze stanowczą odpowiedzią wiceministra. Paweł Olszewski podkreślił, że wisi nad nami poważne ryzyko wielomilionowych kar za niewdrożenie dyrektywy, dlatego „nie ma opcji na vacatio legis”. 

6. Wdrożenie przepisów nowelizacji

W trakcie dyskusji pojawił się głos PIIT o włączeniu branży w proces praktycznych przygotowań do wdrażania przyjętych przepisów nowelizacji. Dlaczego to takie ważne? Zdaniem Izby wszystko odbywać się będzie na „żywym organizmie”, zwłaszcza operatorów, którzy są fundamentem łączności i komunikacji.

Paweł Olszewski zapewnił, że tak się stanie i branża zostanie włączona w inicjatywy.

„Każdy będzie zaproszony do Ministerstwa Cyfryzacji i wspólnie będziemy pracowali nad tym, aby zapewnić cyberbezpieczeństwo bez utraty zasobów” – zadeklarował przedstawiciel resortu.