Firmy zaniepokojone nowelizacją KSC. Ministerstwo tłumaczy zmiany

W Sejmie trwają prace nad projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Mówimy o regulacji, która m.in. implementuje do polskiego porządku prawnego zapisy unijnej dyrektywy NIS2, na co termin upłynął 17 października 2024 r. A to oznacza, że dalszy brak wdrożenia postanowień UE może wiązać się z karami.

W treści noweli znajdziemy punkty przewidujące np. utworzenie CSIRT-ów sektorowych, wprowadzenie instytucji dostawcy wysokiego ryzyka (DWR) oraz polecenia zabezpieczającego, usankcjonowanie Połączonego Centrum Operacyjnego Cyberbezpieczeństwa czy rozszerzenie listy podmiotów zaliczanych do KSC (18 sektorów, w tym wodociągi). Cały projekt znajdziecie pod linkiem: nowelizacja KSC (Druk nr 1955).

Dodatkowe regulacje w nowelizacji KSC

Zaproponowane przez ustawodawcę przepisy wywołują sporo emocji i komentarzy. To nie może dziwić, ponieważ nowela jest obszerna i dotyka wielu obszarów działalności państwa, biznesu oraz samych obywateli. Nie wszyscy mają takie same interesy. 

Podczas wtorkowego (tj. 16 grudnia br.) posiedzenia sejmowej komisji cyfryzacji, można było usłyszeć głosy krytyczne ze strony niektórych izb branżowych (szczegóły znajdziecie pod linkiem, wskazujące wprost na nadregulację. Jako argument podano wprowadzenie poprzez nowelizację przepisów wykraczających poza postanowienia unijnej dyrektywy NIS2.

Monika Gembicka z Biura Komunikacji Ministerstwa Cyfryzacji na łamach naszego portalu zwraca uwagę, że zdecydowana większość projektu jest w rzeczywistości implementacją unijnego prawa, a dodatkowe regulacje obejmują m.in. przepisy o możliwości udzielania podmiotom niepublicznym wsparcia finansowego na podstawie krajowych lub unijnych programów finansowych, a także wdrożenie rozporządzenia delegowanego Komisji (UE) 2024/1366 dotyczącego cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej.

Odpowiedź na zagrożenia?

W trakcie dyskusji w Sejmie wiceminister cyfryzacji Paweł Olszewski wyjaśnił, że dodatkowe „obudowanie” nowelizacji ma związek z zagrożeniami, z jakimi musi mierzyć się Polska. Wskazał na m.in. cyberataki pochodzące z kierunku rosyjskiego i białoruskiego. 

Jego słowa są próbą uzasadnienia koncepcji rozszerzenia katalogu podmiotów zaliczanych do KSC oraz instytucji DWR, co krytykują niektóre izby branżowe (np. KIKE). W podobnym tonie wypowiada się Monika Gembicka:

„Podmioty kluczowe i podmioty ważne nie działają w próżni – ich działalność ma istotny wpływ na świadczenie usług przez inne podmioty, a także na funkcjonowanie konsumentów. Przykładowo, od zapewnienia odpowiedniego poziomu bezpieczeństwa systemów informacyjnych przedsiębiorstw energetycznych zależy funkcjonowanie telekomunikacji, przewoźników kolejowych, dostawców usług chmurowych, serwerowni, czy wreszcie każdego z nas. Podmioty dostarczające wodę pitną i odprowadzające ścieki używają systemów automatyki przemysłowej – incydent w tym sektorze mógłby poważnie wpłynąć na zdrowie publiczne”. 

Generalnie Ministerstwo Cyfryzacji podkreśla międzysektorową zależność (incydent w jednym sektorze może wywołać poważne skutki w innych). Rozszerzenie katalogu podmiotów włączonych do KSC ma z założenia podnieść poziom ich bezpieczeństwa, a zatem wzmocnić ochronę całego państwa. 

To jak to jest z tym DWR?

Resort odpiera również zarzuty, według których nowelizacja wprowadza możliwość arbitralnego decydowania przez ministra o uznaniu danego rozwiązania za stwarzające zagrożenie. 

„Tych przepisów nie należy traktować jako »ręcznego sterowania« w zakresie korzystania sprzętu, lecz jako mitygację niezwykle poważnych ryzyk dla funkcjonowania państwa” – mówi nam Monika Gembicka, odnosząc się do instytucji dostawcy wysokiego ryzyka. 

Według Pawła Olszewskiego, opisana w noweli procedura DWR jest przejrzysta, wieloetapowa, umożliwiająca odwołanie do sądu i nie wymierzona w żaden kraj czy firmę. Jak zapewniał podczas sejmowej komisji, chodzi o wykluczenie konkretnego rozwiązania lub rezygnację z usługi, które stanowią zagrożenie. 

Z kolei w odpowiedzi przesłanej przez Ministerstwo Cyfryzacji czytamy:

„Po wydaniu decyzji o uznaniu danej firmy za dostawcę wysokiego ryzyka, podmioty kluczowe dla funkcjonowania państwa, które korzystają ze sprzętu, oprogramowania lub usług takiego dostawcy, będą musiały z nich zrezygnować”. 

Czas na wymianę sprzętu określono na 7 lat (w wyjątkowych przypadkach 4). Resort wskazuje, że w praktyce oznacza to, iż produkty będzie można wymienić w naturalnym rytmie ich eksploatacji: „bezpiecznie i bez zakłócenia codziennej pracy organizacji”.  

Co istotne, podjęcie ostatecznej decyzji wiąże się z zasadą potencjalnej odpowiedzialności ministra. Mowa oodpowiedzialność Skarbu Państwa za szkodę wyrządzoną przez niezgodne z prawem działanie organów władzy publicznej reguluje Konstytucja RP (art. 77) i Kodeks cywilny (art. 417).

DWR pochodzi z 5G Toolboxa, ale...

Nie brakuje też głosów, że podejście do DWR zdefiniowane w nowelizacji ustawy wykracza poza to, czego oczekuje Unia Europejska. Jako argument przytaczana jest kwestia rekomendacji 5G Toolbox, gdzie wskazano, że mechanizm odnosi się do sieci 5G, a nawet krytycznych jej elementów. W obecnym kształcie projektu procedura obejmuje 18 sektorów, co przekłada się na ok. 40 tys. podmiotów. 

Reprezentująca MC Monika Gembicka przyznaje, że instytucja DWR opiera się przede wszystkim na 5G Toolboxie, jednak – jak tłumaczy – NIS2 wskazuje na konieczność zapewnienia bezpieczeństwa łańcuchów dostaw we wszystkich sektorach, odwołując się przy tym do pakietu rekomendacji.

„Zgodnie z NIS2 wszystkie podmioty kluczowe i podmioty ważne mają obowiązek wdrożyć środki zapewniające bezpieczeństwo łańcuchów dostaw – obowiązek ten nie dotyczy zatem tylko sektora telekomunikacyjnego. Ponadto, podmioty kluczowe i podmioty ważne mają uwzględnić wyniki szacowania ryzyka przeprowadzonego wobec konkretnego dostawcy przez Grupę Współpracy NIS (pierwowzorem tego postępowania był unijna ocena cyberbezpieczeństwa sieci 5G, na podstawie której powstał Toolbox 5G). Aspekt bezpieczeństwa łańcuchów dostaw jest więc zawarty w dyrektywie NIS 2” – podkreśla przedstawicielka resortu. 

Ministerstwo nie zamierza ugiąć się i zmienić zapisów dotyczących DWR. Jak przekazał w Sejmie Paweł Olszewski, jest to kwestia nie do ruszenia. „Państwo musi mieć narzędzia, aby chronić Polki i Polaków, polskie przedsiębiorstwa” – stwierdził wiceminister.