„Wojna informacyjna” wokół nowelizacji ustawy o KSC

Od 7 lat trwają prace nad wprowadzeniem zmian do ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Nowelizacja ma m.in. wdrożyć zapisy unijnej dyrektywy NIS 2, na co termin minął w październiku 2024 roku.

Jak informowaliśmy na naszych łamach, pod koniec października rząd przyjął projekt noweli; Sejm ma się nim zająć na pierwszym grudniowym posiedzeniu. Wicepremier i minister cyfryzacji Krzysztof Gawkowski wyraził nadzieję, że dokument trafi na biurko prezydenta jeszcze przed końcem roku.

„Meritum, a nie półprawdy”

Całemu procesowi towarzyszą również ożywione dyskusje między organizacjami zrzeszającymi przedsiębiorstwa oraz instytucje. We wtorek 2 grudnia br. nowelizacji poświęcono śniadanie eksperckie zorganizowane przez Związek Cyfrowa Polska oraz Związek Przedsiębiorców i Pracodawców.

„Mamy świadomość, że prace parlamentarne będą mocno emocjonalne. Otwieramy tę dyskusję, żebyśmy podczas nich mogli skupić się na meritum, a nie na półprawdach” – powiedział na początku spotkania prezes ZCP Michał Kanownik.

Eksperci wskazali podczas wydarzenia kilka mitów dotyczących nowelizacji ustawy, które krążą w przestrzeni publicznej od początku prac. Jednym z nich było twierdzenie, że decyzja o uznaniu podmiotu za dostawcę wysokiego ryzyka „będzie arbitralna” i podejmowana „w oparciu o motywy polityczne, zaś kryteria identyfikacji mogą nieproporcjonalnie dotknąć podmioty spoza UE i NATO”.

Jakub Bińkowski, prezes Związku Przedsiębiorców i Pracodawców zauważył, że podejmowanie decyzji nie będzie odbywało się arbitralnie, ponieważ procedura z tym związana jest długa – zwłaszcza w porównaniu z pierwotną wersją projektu ustawy sprzed kilku lat. „Trudno mówić tutaj o arbitralności w oparciu o motywy polityczne” – zapewnił Bińkowski.

Wojna informacyjna wokół KSC?

W kontekście podmiotów spoza Wspólnoty i Sojuszu Północnoatlantyckiego szef ZPP wskazał, że głosy sprzeciwu płyną przede wszystkim od chińskich firm. Podmioty z Japonii czy Korei mają nie protestować przeciwko projektowi noweli.

„Wrzucanie do jednego worka wszystkich państw spoza Unii Europejskiej i NATO jest argumentem po prostu nieprawdziwym. Jest konkretna grupa firm, która ma bardzo istotne obawy dotyczące tego projektu i są to podmioty pochodzące z państwa, które jest sojusznikiem Rosji” – podkreślił Jakub Bińkowski.

Zauważono przy tym, że niektóre organizacje w swoich stanowiskach przekazywanych do Kancelarii Sejmu i Kancelarii Premiera ostrzegały, że w razie blokady dostawców z Chin, Państwo Środka może podjąć retorsje handlowe, jak np. ograniczenie dostępu do tańszych odpowiedników zachodnich produktów. Wspominano w nich również o konieczności rozpoczęcia całkowicie nową ustawą o KSC, która mała być „spójna, przejrzysta i zgodna z zasadami techniki prawodawczej”.

Konieczna dywersyfikacja

Kolejne twierdzenie poruszone podczas spotkania mówiło o trudnodostępnym sprzęcie do wymiany infrastruktury lub zupełnym jego braku. Prezes ZCP przypomniał, że w Polsce istnieje fabryka, która może w ciągu roku zapewnić wymianę całej krajowej sieci; problem z dostępnością ma zatem być nieprawdą. Zaznaczył przy tym, że zwolennicy ustawy są przeciwko pozycji dominującej jednego podmiotu.

„Dywersyfikacja dostawców pod każdym względem jest kluczowa dla naszego bezpieczeństwa. Usunięcie dostawców wysokiego ryzyka plus dywersyfikacja dostawców niezależnie od tego jak są bezpieczni, to dwa kluczowe elementy dla zachowania bezpieczeństwa naszej naszej sieci. I to się odnosi do każdego elementu naszego życia. Na bezpieczeństwie nie można oszczędzać” - powiedział Michał Kanownik.

W przypadku stwierdzenia dotyczącego krótkiego czasu na wymianę sprzętu oraz związanych z tym kosztów, Prezes ZCP wskazał, że jest na odwrót: czasu na przeprowadzenie prac na infrastrukturze w zakresie wymiany wyposażenia ma być dużo. Jest to w zasadzie okres generacyjnej wymiany sprzętu, która jest naturalna.

„Po tych czterech-pięciu latach i tak ten sprzęt trzeba będzie wymienić” – dodał.

Nie będzie wzrostu kosztów

Czwarty z analizowanych mitów mówił o wzroście kosztów, które mają nastąpić wskutek wymiany infrastruktury pochodzącej od potencjalnego DWR. Szef Związku Cyfrowa Polska powiedział, że badania nad transferem danych w różnych miejscach świata pokazały, że jest na odwrót: wraz z postępem technologicznym, ceny przesyłu pakietów danych spadają.

Koszty miałyby też wzrosnąć w przypadku małych i średnich przedsiębiorstw. Jakub Bińkowski wskazał w tym przypadku, że żadna z 20 tys. małych i średnich firm zrzeszonych organizacjach branżowych w ramach Związku Przedsiębiorstw i Pracodawców nie informowała o ewentualnych problemach związanych z wyższymi kosztami. Jego zdaniem, jedyne miejsce, gdzie takowy argument istnieje, to dokumenty „powstające w konkretnym kontekście”.

„Ten argument jest wykorzystywany jako zasłona dymna dla realnego celu sabotowania prac nad tym projektem” – powiedział prezes ZPP, dodając, że jeżeli istnieją wyliczenia na ten temat, to on ich nie widział. Jedna z obecnych na spotkaniu redaktorek zwróciła uwagę, że Krajowa Izba Komunikacji Elektronicznej zajmowała się tym tematem.

Na gruncie projektu nowelizacji KSC jesteśmy na wojnie informacyjnej dotyczącej tego projektu. My tezy fałszywe, kłamliwe mamy naprawdę już sprawdzone.
Marcin Wysocki, wicedyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji

Szpitale zagrożone, czy nie?

Jednym z większych argumentów podnoszonych przez przeciwników nowelizacji ustawy są problemy, które mają w związku z nią spotkać szpitale, a nawet zagrozić ciągłości ich działania.

Według danych przedstawionych przez Marcina Wysockiego, wicedyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji wynika, że spośród 390 podmiotów ujętych w wykazie operatorów usług kluczowych, największą jego część stanowią szpitale z oddziałami ratunkowymi – jest ich ponad 100.

„To nie jest tak, że te ponad 100 szpitali będzie zaczynało od zerwa w związku z KSC. Tam, gdzie jest szpitalny oddział ratunkowy, tam już jest decyzja ministra zdrowia. One są już częścią KSC; są kolejne audyty przeprowadzane po wdrożeniach mechanizmów rozwijających cyberbezpieczeństwo” – wyjaśnił Wysocki.

Podczas spotkania zwrócono uwagę na organizację, która publikowała doniesienia dotyczące kosztów wdrożenia KSC przez szpitale sięgających 4 mld zł. Istniejący od 2016 roku podmiot był aktywny dwa razy: za pierwszym w latach 2021-23 w zakresie szczepionek (6 artykułów) oraz od kwietnia br. w temacie cyberbezpieczeństwa w służbie zdrowia i branży leczniczej. Podejrzewa się, że nowa aktywność organizacji ma na celu sabotowanie prac nad ustawą.

To właśnie w interesie polskich przedsiębiorców jest to, aby ekosystem w Polsce był bezpieczny. To w interesie polskich przedsiębiorców jest wspieranie, a nie krytykowanie DWR KSC; wspieranie tej ustawy, żeby otworzyć szerzej rynek dla certyfikacji cyberbezpieczeństwa dla polskich przedsiębiorców. To zachęcanie MŚP do inwestowania w cyberbezpieczeństwo, bo rośnie w Polsce świadomość potrzeby inwestycyjnej w tym zakresie, ale jeszcze brakuje decyzyjności i nad tym powinniśmy wszyscy jako przedstawiciele administracji, biznesu i mediów pracować, żeby przekonywać, tłumaczyć MŚP, że cyberbezpieczeństwo to inwestycja, a nie koszt. A takie fejki powodują, że niestety w głowach wielu MŚP, szczególnie powiedzmy mniej technologicznych sektorów, mogą powstać wątpliwości, czy warto wydawać pieniądze na cyberbezpieczeństwo.
Michał Kanownik, prezes Związku Cyfrowa Polska