Nowelizacja KSC w Sejmie. Poznaliśmy stanowiska partii

21 października br. rząd przyjął projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Sprawa odbiła się szerokim echem ze względu na długość trwającego procesu legislacyjnego. Mówimy o przepisach, nad którymi prace trwają od 7 lat. 

Przypomnijmy, że nowela zakłada implementację do polskiego porządku prawnego postanowień unijnej dyrektywy NIS 2. Polska w tym zakresie jest opóźniona, bowiem termin upłynął ponad rok temu: dokładnie 17 października 2024 r. Dlaczego tak się stało?

Tu pojawiają się różne hipotezy, wszystko zależy od tego, którą stronę zapytamy. Jedni tłumaczą to wysokim poziomem skomplikowania i złożoności tematu cyberbezpieczeństwa oraz wagą regulacji. Drudzy zrzucają odpowiedzialność na procesy unijne, podczas gdy jeszcze inni zwracają uwagę na polityczne wojenki i niemały wpływ lobbystów. 

Znaczenie nowelizacji KSC. Nie brakuje krytyków

Jak informowaliśmy, przepisy w obecnym kształcie zakładają m.in. utworzenie CSIRT-ów sektorowych, możliwość identyfikacji dostawców wysokiego ryzyka, rozszerzenie listy podmiotów zaliczanych do krajowego systemu cyberbezpieczeństwa oraz dofinansowanie instytucji takich jak NASK. Projekt znajdziecie pod linkiem: nowelizacja KSC.

Wystarczy zapoznać się z opiniami KIKE i Federacji Przedsiębiorców Polskich, które wskazują m.in. nadregulację czy niezgodność z konstytucją.

I czytanie nowelizacji KSC w Sejmie. Na sali pustki

Przyjęcie projektu przez Radę Ministrów to ważny, choć dopiero początkowy krok w stronę jego całkowitego wdrożenia. Teraz ustawą zajmie się parlament, na końcu drogi czeka jeszcze prezydent. 

W czwartkowy wieczór (tj. 4 grudnia br.) w Sejmie odbyło się I czytanie nowelizacji. Sala świeciła pustkami, co wymownym komentarzem skwitował Bartłomiej Pejo, poseł Konfederacji i przewodniczący komisji cyfryzacji: „Ta sala pokazuje, jak niektóre kluby traktują temat cyberbezpieczeństwa”.

Dostawca wysokiego ryzyka. Olszewski: Państwo musi mieć narzędzia do obrony

Przedstawiając uzasadnienie do ustawy, wiceminister cyfryzacji Paweł Olszewski wskazał, że prace nad nowelizacją są pilne, ponieważ czas na implementację dyrektywy NIS 2 minął w ubiegłym roku i UE wszczęła postępowanie. 

Przekazał liczby, które miały wzbudzić uwagę słuchających: w 2024 r. odnotowano 118 tys. cyberataków i incydentów, tylko w tym roku jest już ich ponad 200 tys. Wskazał tu na zagrożenia pochodzące ze strony m.in. rosyjskich i białoruskich grup hakerskich, powiązanych ze służbami specjalnymi tych państw.

„Państwo musi mieć narzędzia do obrony, by walczyć z obcymi służbami” – zaznaczył w trakcie wystąpienia. O jakich „narzędziach” mowa?

Jak argumentował przedstawiciel resortu cyfryzacji, minister „musi mieć instrument, by wyeliminować z rynku rozwiązania stanowiące zagrożenie”.

Co ważne, procedurą może zostać objęty sprzęt lub usługa z kraju europejskiego bądź NATO. 

„Jeśli występuje podatność, jakieś zagrożenie, niezależnie od kraju pochodzenia produkt lub usługa będzie eliminowana z rynku. Nieważne czy pochodzi z Chin, Niemiec czy innego kraju” – podkreślił stanowczo Paweł Olszewski. 

Paweł Olszewski, odpowiadając na pojawiające się zarzuty i wątpliwości, zaznaczył, że uznanie firmy za DWR to nie arbitralna decyzja ministra, lecz kolegialna, związana z długą procedurą, która daje możliwość odwołania się do sądu.

Przedstawiciel resortu zwrócił również uwagę na przewidziane w nowelizacji usankcjonowanie Połączonego Centrum Operacyjnego (ciało powołane za poprzedniego rządu, które już funkcjonuje, ale nieformalnie) oraz polecenia zabezpieczającego, dzięki czemu minister będzie mógł nakazać podjęcie określonych działań podmiotom z myślą o bezpieczeństwie (np. zablokowanie ruchu). 

Sporo zastrzeżeń i uwag

Projekt nowelizacji budzi jednak sporo zastrzeżeń. „Ustawa jest kompleksowa, ale nie z naszych marzeń” – ocenił Janusz Cieszyński, poseł PiS i były minister cyfryzacji. 

Proponowane przepisy wypunktowała Konfederacja, która wprost mówi o nadmiernej regulacji i próbie implementacji unijnego prawa z licznymi, zbędnymi dodatkami. Jej zdaniem, nowela daje zbyt wiele kompetencji urzędnikom, których jedna decyzja może skutkować ogromnymi kosztami dla firm i instytucji (np. kwestia wymiany sprzętu). 

Pojawia się również argument dotyczący ryzyka nadużyć czy ograniczenia Polsce dostępu do najbardziej zaawansowanych technologii. 

Nowelizacja KSC – kto za to zapłaci?

Z kolei w czasie pytań przewijały się wątki związane z finansami. Jakie koszty wiążą się z dostosowaniem organizacji do wymogów ustawy z perspektywy samorządów oraz MŚP? Skąd mają wziąć pieniądze na ten cel? Czy rząd posiada w ogóle zasoby w budżecie na realizację postanowień ustawy?

Przedstawiciel Ministerstwa Cyfryzacji zaznaczył, że prowadzone są programy dofinansowania dla administracji oraz operatorów infrastruktury krytycznej. Jako przykład podał Cyberbezpieczne Wodociągi, Cyberbezpieczny Rząd i Cyberbezpieczny Samorząd. 

„Inwestujemy gigantyczne środki. 1,5 mld zł” – wskazał Paweł Olszewski. 

W odniesieniu do MŚP podkreślił, że wydatki na cyberbezpieczeństwo należy traktować jako inwestycję, a nie koszt. Tu użył porównania do przedsiębiorstwa, które płaci firmie ochroniarskiej za jej usługi, aby zminimalizować ryzyko kradzieży. 

Sejm rozpoczął prace nad nowelizacją KSC. Stanowiska partii

Minister Olszewski z sejmowej mównicy zaapelował o poparcie ustawy nie tylko do parlamentarzystów, ale również prezydenta Karola Nawrockiego. „Przyjęcie tej ustawy to bezwzględna konieczność, bo gwarantuje ona bezpieczeństwo” – skwitował. 

A jak do nowelizacji podchodzą ugrupowania?

• Koalicja Obywatelska: Paweł Bliźniuk wprost stwierdził, że KO „zdecydowanie poprze nowelizację". Podobnie jak minister Olszewski, zaapelował do innych ugrupowań o opowiedzenie się za przyjęciem ustawy. Jak tłumaczył: „projekt wdraża europejskie standardy, aby Polska była częścią wspólnotowej tarczy bezpieczeństwa".
• Prawo i Sprawiedliwość: Janusz Cieszyński przekazał, że jego ugrupowanie opowiada się za skierowaniem projektu do połączonych komisji obrony i cyfryzacji, ponieważ „to zbyt ważny temat, aby go lekceważyć". Równocześnie zaznaczył, że warto, aby w ramach przepisów dać więcej instrumentów do działania osobom odpowiedzialnym za nasze bezpieczeństwo oraz stworzyć podstawy prawne do prowadzenia ofensywnych operacji w cyberprzestrzeni.
• Polskie Stronnictwo Ludowe – Trzecia Droga: Adam Dziedzic wyraził gotowość całego koła do pracy nad ustawą, aby finalne przepisy jak najbardziej podnosiły odporność i bezpieczeństwo Polski. W ocenie ugrupowania przedstawione w nowelizacji propozycje to „pozytywny kierunek zmian". 
• Polska 2050: Łukasz Osmalak oraz Michał Gramatyka przekazali, że ich partia poprze projekt nowelizacji, ponieważ to fundament cyberbezpieczeństwa państwa. A skala zagrożenia rośnie: „minionej doby odnotowano 2395 cyberzagrożeń, które dotknęły elementy infrastruktury krytycznej. Te liczby stale rosną od wielu miesięcy" – wskazał wiceminister cyfryzacji.
• Lewica: Joanna Wicha podkreśliła, że klub opowiada się za przyjęciem projektu i zachęca pozostałe ugrupowania do współpracy.
• Konfederacja: w imieniu klubu wypowiedzieli się Bartłomiej Pejo oraz Witold Tumanowicz, który zaznaczył, że Konfederacja opowiada się za dalszą pracą nad ustawą i nie składają wniosku o jej odrzucenie w pierwszym czytaniu, ale będzie krytyczna wobec niektórych jej postanowień. Zastrzegli, że ich ugrupowanie „rzetelnie pochyli się" nad proponowanymi przepisami.