Wysłuchanie publiczne opóźni nowelizację KSC? „Może zabraknąć czasu w Sejmie”

Jak informowaliśmy na łamach CyberDefence24.pl, we wtorek 11 lipca br. odbyło się wspólne posiedzenie Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisja Obrony Narodowej, podczas którego posłowie, eksperci i przedstawiciele dyskutowali o rządowym projekcie ustawy nowelizującej przepisy krajowego systemu cyberbezpieczeństwa (potocznie ustawy o KSC).

Z punktu widzenia branży nowelizacja jest istotna, bo ostatnia ustawa pochodzi z 2018 roku, podczas gdy kilka miesięcy w cyberbezpieczeństwie - pod względem tempa zmian - można liczyć raczej jak kilka lat.

W projekcie zawarto zapisy dotyczące 5G, dostawcy wysokiego ryzyka, Operatora Strategicznej Sieci Bezpieczeństwa, utworzenia CSIRT-ów sektorowych czy wzmocnienia pozycji i kompetencji pełnomocnika rządu ds. cyberbezpieczeństwa. Wreszcie KSC wdraża przepisy Europejskiego Kodeksu Łączności Elektronicznej w obszarze bezpieczeństwa sieci i usług komunikacji elektronicznej. Ma także służyć stosowaniu Aktu o cyberbezpieczeństwie (UE).

Większa transparentność, ale Sejm może nie zdążyć

Ostatecznie nie będzie tak, jakby chciał tego rząd – posłowie połączonych komisji zdecydowali o przyjęciu wniosku dotyczącego wysłuchania publicznego, które zaplanowano na 11 września br. na godzinę 12:00.

Zdecydowaliśmy się zapytać rynkowych ekspertów, co sądzą o takim obrocie sprawy. Robert Kośla, członek Rady Fundacji Bezpieczna Cyberprzestrzeń, były dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji i KPRM, zwraca uwagę, że decyzja posłów spowoduje opóźnienie w procesie legislacyjnym, ale „z pewnością wpłynie na zwiększenie transparentności, partycypacji i jakości tego procesu”.

„W ramach wysłuchania publicznego osoby i podmioty zainteresowane tym projektem będą mogły przedstawić swoje opinie i argumenty w Sejmie. Biorąc pod uwagę zbliżający się termin wyborów parlamentarnych, po przeprowadzeniu wysłuchania publicznego w połowie września może zabraknąć czasu na uchwalenie nowelizacji w Sejmie, a następnie zaopiniowanie projektu w Senacie, który ma na to 30 dni” – zwraca uwagę Robert Kośla.

Jak dodaje, nieuchwalenie tego projektu nowelizacji do końca kadencji Sejmu spowoduje konieczność rozpoczęcia procesu legislacyjnego od nowa - w nowej kadencji Sejmu.

„Nowy projekt powinien już uwzględnić nowe zmiany wprowadzone w unijnej Dyrektywie w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, która weszła w życie 16 stycznia 2023 r. i musi zostać wdrożona przez państwa członkowskie do 27 grudnia 2027. Przypominam, że Polska wciąż nie stosuje rozporządzenia Parlamentu Europejskiego Akt o Cyberbezpieczeństwie, które weszło w życie 27 czerwca 2019 r., a państwa członkowskie powinny je stosować od czerwca 2021 r. Ponadto, Polska nie wdrożyła też Europejskiego Kodeksu Łączności Elektronicznej – miało to nastąpić wraz z uchwaleniem Prawa Komunikacji Elektronicznej, które miało zastąpić Prawo telekomunikacyjne” – komentuje sprawę dla CyberDefence24.pl były dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji i KPRM.

Natomiast dr Aleksandra Musielak, dyrektorka Departamentu Rynku Cyfrowego z Konfederacji Lewiatan, uważa, że decyzja o wysłuchaniu publicznym jest krokiem w dobrym kierunku.

„Wysłuchanie publiczne pozwoli na pogłębioną dyskusję wokół kontrowersyjnych tematów, takich jak tym m.in. kwestia kształtu i zasad funkcjonowania OSSB, jakości gwarancji towarzyszących postępowaniu dotyczących uznawania przedsiębiorcę za dostawcę wysokiego ryzyka czy samego sposobu procedowania projektu (procedowania projektu przed wejściem w życie PKE i przepisów wprowadzających PKE oraz brak wdrożenia na poziomie ustawowym wymagań dyrektywy NIS2)” – ocenia.

Z kolei innego zdania jest Michał Kanownik, prezes Związku Cyfrowa Polska, który zaznacza, że rozumie „znaczenie i potrzebę wyrażaną przez niektóre środowiska organizacji wysłuchania publicznego, jednak trzeba zastanowić się, czy rzeczywiście ono jest konieczne”.

„Prace nad nowelizacją przecież trwają już 3 lata, przez ten czas wszystkie zainteresowane podmioty miały czas i prawo, by wyrazić swoje stanowisko i opinię wobec projektowanych przepisów i to też robili. W mojej opinii, organizacja wysłuchania publicznego spowoduje wydłużenie procesu legislacyjnego, co jak wspomniałem wyżej, niesie ryzyko, że obecny parlament nie zdąży z uchwaleniem przepisów” – podkreśla.

3 lata kontra kilka godzin

W czasie posiedzenia komisji sejmowych posłowie opozycji argumentowali także, że teraz resort cyfryzacji (przedstawicielem na komisji był Paweł Lewandowski) pracował nad nowelizacją przepisów trzy lata, a „komisja ma kilka godzin, aby zająć się projektem”.

Zwracał na to uwagę np. poseł Jan Grabiec (KO) oraz Grzegorz Napieralski (KO). „To jedna z najważniejszych ustaw tej kadencji, wy (rząd – red.) zwlekaliście, a dzisiaj próbujecie zrzucić odpowiedzialność na naszą komisję" – komentował sprawę drugi z wymienionych posłów.

Robert Kośla ocenia, że posłowie mają rację wskazując, że prace w rządowym procesie legislacyjnym nad nowelizacją ustawy (z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa) trwały ponad 3 lata. „Można przyjąć, że praktycznie rozpoczęły się one w połowie 2020 roku, a jego pierwsza wersja została skierowana do opiniowania w dniu 7 września 2020 r. Do tego projektu zgłoszonych zostało wiele uwag dotyczących nowego procesu uznawania podmiotów za dostawców wysokiego ryzyka” – mówi nam ekspert.

Wymienia też poszczególne zmiany: w kolejnej wersji projektu przygotowanej w grudniu 2020 r. dodany został rozdział 11a dot. „krajowego systemu certyfikacji cyberbezpieczeństwa” - wdrażający unijny Akt o Cyberbezpieczeństwie w obszarze badań i certyfikacji cyberbezpieczeństwa.

„Dodatkowo, w grudniu 2020 r. Kolegium ds. Cyberbezpieczeństwa poleciło włączenie do projektu nowelizacji przepisów dotyczących „Operatora sieci komunikacji strategicznej” – zostały one zawarte w nowym rozdziale 11b. Ponadto, dodana została propozycja przepisu zmieniającego art. 115 Prawa telekomunikacyjnego, który miał umożliwić Prezesowi Urzędu Komunikacji Elektronicznej przydzielenie częstotliwości dla podmiotu określanego roboczo jako Polskie 5G, w którym mieli uczestniczyć dotychczasowi operatorzy sieci łączności mobilnej”.

Robert Kośla opisuje szereg zmian, jakie miały miejsce w przypadku tej nowelizacji: rozszerzony o część telekomunikacyjną projekt w rządowym procesie legislacyjnym został do marca 2021 r. zaakceptowany kolejno przez Komitet Rady Ministrów i Komitet ds. Europejskich ds. Cyfryzacji oraz został przekazany do Stałego Komitetu Rady Ministrów.

„SKRM przesłał projekt nowelizacji do zaopiniowania przez Komitet Rady Ministrów do spraw Bezpieczeństwa Narodowego i Spraw Obronnych. Po uwagach przekazanych przez Komitet Bezpieczeństwa w maju 2021 r. wprowadzono autopoprawki do projektu nowelizacji i ponownie przekazano do zaopiniowania przez ten Komitet. Można więc powiedzieć, że projekt nowelizacji utknął na 2 lata - od maja 2021 do maja 2023 - w Stałym Komitecie Rady Ministrów i na tym etapie wprowadzano jeszcze wiele poprawek co spowodowało powstanie II i III tekstu projektu nowelizacji. Ostatecznie po zaakceptowaniu przez Stały Komitet Rady Ministrów wersję nowelizacji z autopoprawką przyjęła w dniu 6 czerwca 2023 r. Rada Ministrów” – wymienia.

W całym procesie legislacyjnym i wersjach nowelizacji nie trudno jest się pogubić, co jasno obrazuje, że zgoda branży co do jednoznacznego kształtu przepisów wydaje się być nieosiągalna, ale i polityków, którzy przy każdej wspólnej debacie zaznaczają, że o „cyberbezpieczeństwie ponad podziałami mogą dyskutować” (taka debata była organizowana w czasie ubiegłorocznej edycji konferencji naszej redakcji Cyber24 Day) i że „nie powinien być to temat sporów”. Efekty jednak są inne.

Zdania są podzielone

Dr Aleksandra Musielak podziela stanowisko posłów opozycji i jak wskazuje - projekt ustawy rzutuje na funkcjonowanie wielu sektorów m.in. telekomunikacyjnego, energetycznego, finansowego, farmaceutycznego. „Kwestia watpliwości zgłaszanych przez rynek odnośnie zgodności projektu z prawem UE, Konstytucją RP oraz konieczność przeprowadzenia pogłębionej analizy wpływu projektu ustawy na konkurencyjność rynku telekomunikacyjnego, przemawiają za koniecznością przeprowadzenia dłuższych prac nad projektem. Z uwagi na jego złożoność i objętość najlepszym rozwiązaniem byłoby poddanie projektu, niezależnie od wysłuchania publicznego, pracom w Podkomisji złożonej z ekspertów” – komentuje.

Michał Kanownik podkreśla natomiast, że posłowie powinni mieć świadomość, że nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa to kluczowa dla naszego kraju regulacja.

„Odpowiada ona kompleksowo na rosnące zagrożenia cyfrowe wobec infrastruktury krytycznej, firm oraz zwykłych obywateli. To szczególnie ważne w okresie, gdy tuż za naszą granicą toczy się bezpośrednia wojna, a kraje naszego regionu regularnie muszą mierzyć się z cyberatakami. Tu nie chodzi o interes poszczególnych marek, firm, ale o bezpieczeństwo narodowe i nie powinniśmy zwlekać z uchwaleniem tego projektu. Co więcej – regulacje pozwolą również przyśpieszyć wdrożenie i rozwój technologii 5G, na którą czeka biznes i która napędzi cyfrową gospodarkę” – tłumaczy.

Jego zdaniem, przeciąganie prac nad nowelizacją spowoduje, że istnieje realne ryzyko, iż nie uda się uchwalić projektu w tej kadencji parlamentu.

„To oznacza, że prace w nowej kadencji, będą musiały rozpocząć się od nowa na poziomie rządowym. Stracimy przez to kolejne miesiące, a może i lata. To byłoby nie tylko ze stratą dla biznesu, gospodarki cyfrowej, ale głównie dla naszego bezpieczeństwa jako państwa. Dlatego jak najszybsze uchwalenie w parlamencie tego projektu powinno być w interesie nas wszystkich” - podkreśla prezes Związku Cyfrowa Polska.

Jakie najważniejsze zapisy znajdują się w projekcie nowelizacji KSC? O tym piszemy między innymi w tym materiale.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].