Polityka i prawo
Nadzór MNiSW nad NASK zagrożeniem dla żywotnego interesu państwa
Rada ds. Cyfryzacji ostrzega, że wyłączenie NASK-PIB spod nadzoru ministerstwa cyfryzacji osłabi zdolności państwa do skutecznej walki z zagrożeniami w cyberprzestrzeni i w konsekwencji może zagrozić jego żywotnym interesom.
W listopadzie ubiegłego roku media obiegła informacja, że nadzór nad NASK zostanie przekazany Ministerstwu Nauki i Szkolnictwa Wyższego. Przeciwko takiemu niezrozumiałemu ruchowi stanowczo zaprotestowała Rada ds. Cyfryzacji wyrażając zaniepokojenie tymi planami. Zarekomendowała również ich rewizję, tłumacząc swoją decyzję koniecznością efektywnego rozwoju cyfryzacji oraz kontynuacji prac nad budową krajowego systemu cyberbezpieczeństwa w Polsce.
W opublikowanej uchwale, Rada podziela pogląd Ministra Nauki i Szkolnictwa Wyższego o potrzebie kumulacji potencjału naukowo-badawczego placówek naukowych i badawczych pod jego nadzorem. Wskazuje, że w tym celu m. in. MNiSW zbudowało Sieć Badawczą „Łukasiewicz”, której jednym z elementów stał się Instytut Technik Innowacyjnych EMAG w Katowicach, nadzorowany do 1 kwietnia 2019 r. przez Ministra Cyfryzacji.
Eksperci Rady podkreślają, że rola NASK - PIB w systemie realizacji strategicznych zadań państwa w zakresie cyfryzacji i cyberbezpieczeństwa daleko wykracza poza jego funkcje naukowe i badawcze, co czyni go podmiotem o szczególnym znaczeniu dla rozwoju tej domeny aktywności władz publicznych w Polsce i jednoznacznie predestynuje go do pozostawienia pod nadzorem Ministra Cyfryzacji, jako odpowiedzialnego m.in. za dział administracji rządowej: informatyzacja.
Eksperci przypominają, że NASK - PIB stanowi jądro krajowego systemu cyberbezpieczeństwa. Zgodnie z ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa NASK-PIB prowadzi CSIRT NASK, to jest Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego. CSIRT NASK wraz z CSIRT MON oraz CSIRT GOV zapewniają spójny i kompletny system zarządzania ryzykiem na poziomie krajowym, realizując zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także zapewniając koordynację obsługi zgłoszonych incydentów.
Do zadań CSIRT NASK zaliczono m.in. monitorowanie zagrożeń cyberbezpieczeństwa i incydentów na poziomie krajowym, szacowanie ryzyka związanego z ujawnionym zagrożeniem cyberbezpieczeństwa oraz zaistniałymi incydentami, przekazywanie informacji dotyczących incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa; reagowanie na zgłoszone incydenty; klasyfikowanie incydentów; współpracę z sektorowymi zespołami cyberbezpieczeństwa w zakresie koordynowania obsługi incydentów poważnych i incydentów krytycznych oraz w zakresie wymiany informacji pozwalających przeciwdziałać zagrożeniom cyberbezpieczeństwa, a także przekazywanie do innych państw, w tym państw członkowskich Unii Europejskiej oraz Pojedynczego Punktu Kontaktowego informacji o incydentach poważnych i incydentach istotnych.
NASK - PIB realizuje także - w imieniu Ministra Cyfryzacji - zadania państwa w zakresie cyberbezpieczeństwa wynikające z zobowiązań Polski w skali europejskiej, m.in. w ramach European Union Agency for Cybersecurity (ENISA) oraz NIS Cooperation Group. Działania te odbiegają istotnie od funkcji stricte naukowo-badawczych – przypominają eksperci Rady.
Zauważają również, że do zakresu spraw przypisanych do MNiSW nie należą wskazane w art. 12 a ustawy z 4 września 1997 r. o działach administracji rządowej sprawy: bezpieczeństwa cyberprzestrzeni w wymiarze cywilnym (pkt 10), informatyzacji administracji publicznej oraz podmiotów wykonujących zadania publiczne (pkt 1), systemów i sieci teleinformatycznych administracji publicznej (pkt 2) czy rozwoju społeczeństwa informacyjnego i przeciwdziałania wykluczeniu cyfrowemu (pkt 6), przypisane do działu informatyzacja czyli kwestii rzeczy, którymi obecnie zajmuje się NASK.
Rada ds. Cyfryzacji ostrzega również, że wyłączenie NASK-PIB spod nadzoru Ministra Cyfryzacji osłabi zdolność państwa do skutecznego przeciwdziałania zagrożeniom w cyberprzestrzeni, przyczyni się również do zwiększenia rozproszenia systemu zarządzania cyberbezpieczeństwem. Eksperci zauważają również, że MNiSW nie posiadało i nie posiada odpowiednich zasobów a przede wszystkim doświadczenia do przejęcia roli koordynatora tych zagadnień w skali państwa, przypisanych zresztą jednoznacznie do działu administracji rządowej: informatyzacja. Eksperci wskazują, że ich zbudowanie w krótkim czasie jest niemożliwe.
Rada ds. Cyfryzacji ostrzega również, że przeniesienie nadzoru nad NASK - PIB do innego resortu grozi zniweczeniem efektów kilkuletnich prac nad budową wydajnego ekosystemu rozwoju cyfryzacji w Polsce i skutkować będzie wieloma negatywnymi konsekwencjami: opóźnieniami i zaniechaniami w realizacji zadań na polu rozwoju cyfryzacji, czy dublowaniem się kompetencji wykonawczych.
Zmiana nadzoru nad NASK-PIB miała być elementem umowy koalicyjnej, wynika z nieoficjalnych informacji. Według „Gazety Wyborczej” to również zemsty na ministrze cyfryzacji Marku Zagórski, który odszedł z Porozumienia i przeszedł do PiS. Z informacji „Pulsu Biznesu” wynika, że decyzja o przyszłości NASK jeszcze nie zapadła.