Nowelizacja KSC w parlamencie. Jest szansa na przełom?
Autor. Aleksander Zieliński/Kancelaria Sejmu
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, który został przyjęty przez rząd, realnie może trafić na posiedzenie Sejmu w drugiej połowie listopada br. – wynika ze słów Bartłomieja Pejo, przewodniczącego komisji cyfryzacji. Opozycja poprze regulację? Sytuacja nie jest jednoznaczna.
We wtorek 21 października br. długo wyczekiwany przez branżę projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa został przyjęty przez Radę Ministrów. Mówimy o regulacji, która wdraża do polskiego porządku prawnego unijną dyrektywę NIS2 (termin na jej implementację minął 17 października 2024 r.).
Podczas konferencji prasowej poświęconej noweli wicepremier i minister cyfryzacji Krzysztof Gawkowski podkreślił, że prace nad projektem trwają od 7 lat. „To jeden z najdłuższych procesów legislacyjnych” – wskazał. Jego zdaniem, przyjęcie kolejnej już wersji przepisów trzeba zatem „celebrować”.
Czytaj też
Ważne zmiany dla polskiego bezpieczeństwa
Przypomnijmy, że nowelizacja zakłada m.in. utworzenie CSIRT-ów sektorowych, możliwość identyfikacji dostawców wysokiego ryzyka, rozszerzenie listy podmiotów zaliczanych do krajowego systemu cyberbezpieczeństwa oraz dofinansowanie instytucji takich jak NASK.
„Cieszę się, że projekt został przyjęty przez rząd” – mówi z kolei w rozmowie z naszym portalem Janusz Cieszyński. Poseł PiS i były minister cyfryzacji ma nadzieję, że uda się nad nim konstruktywnie pracować w ramach parlamentu.
Pejo: „Drogo, szeroko i nieproporcjonalnie”
Inaczej na całą sytuację patrzy Barłomiej Pejo, przewodniczący sejmowej komisji cyfryzacji oraz wiceprezes Nowej Nadziei.
„W obliczu tak wielu uwag do projektu i kontrowersji związanych z nadregulacją, w tym dostawcami wysokiego ryzyka, zaakceptowanie nowelizacji KSC w tym kształcie jest dla mnie zaskoczeniem” – komentuje sprawę na łamach naszego portalu. I jak dodaje: „Wydaje się, że nowy wymiar cyberbezpieczeństwa w Polsce rząd zamierza wprowadzać pod hasłem »drogo, szeroko i nieproporcjonalnie«”.
Ministerstwo Cyfryzacji nie oszacowało skali tych wydatków, które powinny zostać zaprezentowane w OSR w kilku możliwych scenariuszach - w zależności od skali wykluczenia DWR, dostępności usług audytu, specjalistów IT, alternatywnego sprzętu ICT itd.
Barłomiej Pejo, przewodniczący sejmowej komisji cyfryzacji oraz wiceprezes Nowej Nadziei, dla CyberDefence24
Zwraca uwagę na m.in. koszty wdrożenia nowych obowiązków ustawowych przez przedsiębiorców. Jego zdaniem, na etapie rządowym większość ministrów skupiła się na braku środków na etaty i koszty po stronie administracji publicznej.
„To niestety częste u polityków - pomijanie w legislacji interesu przedsiębiorców, którzy generują ponad 50% PKB” – kwituje wiceprezes Nowej Nadziei.
Czytaj też
Dostawcy wysokiego ryzyka
„Wiadomo, że wokół tego tematu krążą wielkie interesy” – podkreśla, wskazując na aktywność lobbystów związanych z chińskimi technologiami. „Musimy się kierować polskim interesem i bezpieczeństwem a nie mocno przesadzonymi obawami ze strony tych osób” – uważa Janusz Cieszyński.
Jego słowa odnoszą się do głośnego tematu procedery związanej z identyfikacją dostawców wysokiego ryzyka, którą definiuje nowelizacja. Ministerstwo Cyfryzacji udostępniło schemat postępowania z myślą o rozwianiu pojawiających wątpliwości.
Wiceszef resortu Paweł Olszewski w trakcie konferencji prasowej jednoznacznie stwierdził, że Polska musi posiadać narzędzia pozwalające „eliminować wrogie państwa, które wprowadzają do polskiej sfery cyber zagrożenia, mogące dotyczyć zwykłego obywatela, administracji oraz firm”.
W rozmowie z naszym portalem zaznaczył, że „dezinformacja i lobbing w tym zakresie są całkowicie nieuprawnione” a „państwo musi mieć narzędzie, tak jak żołnierz ma karabin, by w odpowiednim momencie nacisnąć spust”.
Jak podkreślił, przepisy nowelizacji nie są wymierzone w żadną konkretną firmę, lecz sprzęt stanowiący zagrożenie.
Autor. Ministerstwo Cyfryzacji/CC BY-NC-ND 3.0 PL
W ocenie Barłomieja Pejo wypowiedzi wiceministra cyfryzacji obrazują niezrozumienie wokół kwestii dostawców wysokiego ryzyka.
„Minister Olszewski podczas konferencji powiedział, że wykluczenie będzie możliwe jedynie w razie wystąpienia incydentu krytycznego. Co innego wynika z przepisów projektu ustawy” – wskazuje przewodniczący sejmowej komisji cyfryzacji.
Wiceprezes Nowej Nadziei zwraca uwagę, że wystąpienie incydentu ani nawet stwierdzenie podatności nie jest warunkiem wszczęcia mechanizmu DWR. „Jest nim wystąpienie ryzyka ze względu m.in. na kraj pochodzenia” – kontynuuje i jak podkreśla: „właśnie ta uznaniowość, czyli brak konieczności zaistnienia incydentu krytycznego, a nawet podatności jest osią sporu”.
Opozycja poprze projekt?
Janusz Cieszyński w rozmowie z naszym portalem wskazuje, że obecnie jest za wcześnie, aby mówić o stanowisku całego PiS-u w sprawie ewentualnego poparcia dla przyjętych przez rząd przepisów.
„To kompleksowa regulacja. Trzeba będzie odbyć dyskusję w gronie klubu parlamentarnego. Na pewno w najbliższym czasie to się wydarzy” – słyszmy od byłego ministra cyfryzacji. On sam, na ten moment, zagłosowałby za przyjęciem projektu.
Z kolei na pytanie dotyczące poparcia obecnego kształtu regulacji, gdyby teraz doszło do głosowania, Bartłomiej Pejo odpowiada:
„W obecnym kształcie projekt zawiera najdalej idące restrykcje w całej Unii Europejskiej i dlatego jest tak krytykowany za nadregulację. Może to opóźnić procedowanie projektu przed parlamentem, co miało miejsce w przypadku projektu potocznie określanego jako »Lex pilot« i faktycznie doprowadzić do nałożenia na Polskę kar w ramach procedury naruszeniowej. Dlatego w przestrzeni publicznej, pojawia się koncepcja wydzielenia obowiązków dotyczących dostawców wysokiego ryzyka do odrębnego projektu. Mając na uwadze tak liczne kontrowersje oraz presję Komisji Europejskiej wynikającą z wszczęcia procedury naruszeniowej, ta koncepcja jest racjonalna”.
Czytaj też
Gawkowski jest zdeterminowany
Przypomnijmy, że szefostwo Ministerstwa Cyfryzacji zaapelowało do parlamentarzystów o wsparcie nowelizacji w trakcie prac w Sejmie i Senacie. Paweł Olszewski argumentował, że to regulacja, która „zabezpiecza nas na lata w wojnie, która będzie się rozwijała”.
Z kolei Krzysztof Gawkowski w rozmowie z naszym portalem wyraził nadzieję, że parlament przyjmie projekt do końca roku. Wicepremier i szef resortu cyfryzacji jest zdeterminowany, aby tym razem proces legislacyjny zakończył się sukcesem.
Liczę na to, że do końca 2025 roku parlament przeproceduje tę ustawę. Będę namawiał pana prezydenta, żeby podpisał tę ustawę, bo to ważne z perspektywy państwa, żeby wzmacniać cyberodporność.
Krzysztof Gawkowski dla CyberDefence24
Bartłomiej Pejo przypomina jednak sytuację z 2023 r., kiedy to już raz nowelizacja ustawy o KSC trafiła do Sejmu. Wówczas podczas pierwszego czytania pojawiły się zastrzeżenia ze strony organizacji przedsiębiorców i ekspertów. Efektem było wycofanie projektu.
Jak przekazał nam przewodniczący komisji cyfryzacji, Sejm zajmie się regulacją w drugiej połowie listopada i wówczas najpewniej odbędzie się pierwsze czytanie. Jego zdaniem w proces zaangażuje się wiele izb gospodarczych ze względu na „liczbę pominiętych uwag w konsultacjach publicznych i wpływ ustawy na kilkadziesiąt tysięcy podmiotów”.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?