Proponowane przepisy o Krajowym Systemie Cyberbezpieczeństwa są niezbędne, by zapewnić bezpieczeństwo cyfrowe w niestabilnych czasach – wskazuje resort cyfryzacji. Część przedsiębiorców ocenia, że w noweli ustawy o KSC sporo jest jednak nadregulacji. W tle pojawia się spór o zgodność z konstytucją. „Nagle to, co prywatne, zostanie upaństwowione” – zauważa prof. Ryszard Piotrowski.
Prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa trwają już od ponad roku. Zmiany są konieczne z uwagi na unijną dyrektywę NIS 2, która ma wzmocnić cyberbezpieczeństwo w Unii Europejskiej. Ustanawia ona wspólne standardy i procedury dla ochrony sieci i systemów informatycznych. Nowela polskich przepisów przewiduje m.in. rozszerzenie katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki. Państwo będzie też mogło wskazać dostawców wysokiego ryzyka, którzy będą musieli wycofać swój sprzęt czy usługi.
O szczegółach dotyczących projektu rozmawiali uczestnicy panelu „Cyberbezpieczeństwo czy biurokracja? Jak nowelizacja KSC zmieni branżę telekomunikacyjną”, który odbył się 15 kwietnia podczas konferencji KIKE 2025 w Jachrance pod Warszawą.
W dyskusji głos zabrali: Paweł Zegarow, kierownik Zespołu Strategii i Rozwoju Bezpieczeństwa Cyberprzestrzeni w NASK, Marcin Wysocki, zastępca dyrektora departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji, Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej (KIKE), Kinga Pawłowska-Nojszewska, KIKE i Kancelaria Prawna Media, Beata Kwiatkowska, Business Development Officer w firmie Secfense, oraz prof. Ryszard Piotrowski z Uniwersytetu Warszawskiego.
Przepisy potrzebne…
Marcin Wysocki podkreślił, że wdrożenie dyrektywy NIS 2 wymaga wprowadzenia w polskim porządku prawnym wielu zmian.
– Obecnie w Krajowym Systemie Cyberbezpieczeństwa jest kilkuset operatorów usług kluczowych i prawie 400 dostawców usług cyfrowych. Po zmianach będzie to od kilkunastu do nawet kilkudziesięciu tysięcy podmiotów, więc tak naprawdę skala zmiany jest olbrzymia – powiedział.
Przedstawiciel Ministerstwa Cyfryzacji przekazał, że w trakcie konsultacji i uzgodnień projektu do resortu napłynęło ponad 1 tys. uwag, a do przeanalizowania były setki stron dokumentów. Zapewnił jednak, że projekt na dniach zostanie skierowany do rozpatrzenia przez Radę Ministrów.
– Dla wielu podmiotów wiąże się on z dodatkowymi obowiązkami i kosztami. To nie pomaga w procesowaniu tego projektu – stwierdził.
Nie pomaga też, jak mówił, duża liczba nieprawdziwych czy półprawdziwych informacji dotyczących projektu.
– Jak chociażby to, że nie jesteśmy zobowiązani, żeby wprowadzać Toolbox 5G, że należy odrzucić przesłanki techniczne, które są standardem w całej Unii Europejskiej. Do tego mamy różne mity dotyczące dostawców wysokiego ryzyka podczas gdy ta procedura jest jedną z najbardziej liberalnych w Unii Europejskiej – przekonywał. Jak dodał, szczególnie niepokojące są pojawiające się w przestrzeni publicznej sugestie, że Krajowy System Cyberbezpieczeństwa wspiera reżim Putina.
Paweł Zegarow zaznaczył, że ustawa tworzy podstawy, by państwo funkcjonowało sprawniej nie tylko w czasie pokoju.
– Musimy mieć też świadomość, jak ważna jest ta regulacja – podkreślił.
W nowych przepisach znajdą się m.in. wymogi dotyczące skoordynowanego ujawniania podatności (CVD, Coordinated Vulnerability Disclosure), czyli procedury zgłaszania producentom lub dostawcom luk w ich produktach lub usługach.
– Bywa, że mamy etycznych hakerów, którzy identyfikują podatność w systemie, a z różnych względów dotarcie do danego podmiotu z tą informacją jest nieefektywne. Dyrektywa NIS 2 i projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa adresuje to zagadnienie – wskazał Paweł Zegarow. – Jeżeli traktujemy wymagania ustawy jako pola do odhaczenia na checkliście, to kwestie związane z cyberbezpieczeństwem będą tylko biurokratycznym obowiązkiem, ale przecież nie powinno tak być. Zarówno ustawodawca, jak i interesariusze powinni grać zespołowo i nikt na pewno nie ma satysfakcji z dokładania regulacji przedsiębiorcom. Chodzi o to, żeby biznes był prowadzony bezpiecznie – przekonywał.
Beata Kwiatkowska, reprezentująca firmę, która na co dzień zajmuje się dostarczaniem rozwiązań z zakresu cyberbezpieczeństwa w różnych branżach, zwróciła uwagę, że wielkim wyzwaniem jest niedobór specjalistów.
– Globalnie brak specjalistów w obszarze cyfrowego bezpieczeństwa jest szacowany na 4 mln, dla samej Europy to ok. 400 tys. etatów. Polska jest jednym z najbardziej atakowanych krajów, co będzie tylko zwiększało zapotrzebowanie na odpowiednie kadry – wyliczała.
Kolejnym wyzwaniem są ograniczone budżety, bo mniejszych firm po prostu nie stać na wdrażanie rozwiązań z zakresu cyberbezpieczeństwa.
– Mniejsze organizacje w uwagi na koszty są zmuszone wybierać pomiędzy cyberbezpieczeństwem a utrzymaniem konkurencyjności i ograniczają się do bardzo podstawowych elementów, jeśli chodzi o ochronę – zauważyła.
Słabym punktem pozostaje czynnik ludzki – prawie 80 proc. udanych ataków hakerskich rozpoczyna się od skradzionego hasła.
– Dlatego dyrektywa NIS 2 kładzie duży nacisk na analizę ryzyka. CERT Polska obsłużył w ubiegłym roku ponad 100 tys. incydentów, z czego 95 proc. to były oszustwa komputerowe. Te liczby są przerażające. Dlatego zapisane obowiązki, dotyczące konieczności przeprowadzenia regularnych szkoleń, tak aby pracownicy mieli świadomość cyberzagrożeń, są niezwykle ważne w kontekście budowania kultury cyberbezpieczeństwa w organizacji – podkreśliła.
Kinga Pawłowska-Nojszewska apelowała, by nie odkładać przygotowań na ostatnią chwilę, bo czasu na dostosowanie się do nowych przepisów nie będzie dużo.
– Każdy podmiot jest troszeczkę na innym etapie przygotowań do zapewnienia cyberbezpieczeństwa. Niektórzy czekają z rozpoczęciem przygotowań do momentu, aż projekt ustawy trafi co najmniej do Sejmu. Wtedy może być za późno, ponieważ od momentu, kiedy ustawa wejdzie w życie, na przystosowanie się będzie sześć miesięcy. Biorąc pod uwagę chociażby niedobory kadr, może się okazać, że to jednak za mało – zauważyła.
Dodała, że zasadniczy zrąb przepisów jest znany.
…ale nie w tym kształcie
Jakie są najistotniejsze wyartykułowane postulaty, które nie zostały uwzględnione w projekcie? Mecenas Pawłowska-Nojszewska podkreśliła, że najważniejsze, aby różnicować skalę obowiązków pomiędzy podmiotami kluczowymi a podmiotami ważnymi, został uwzględniony.
– Natomiast aktualne pozostają postulaty, które mniej lub bardziej spełniają definicje nadregulacji, jak chociażby rygor natychmiastowej wykonalności kar finansowych. Skoro zapewnienie bezpieczeństwa wiąże się z wyzwaniami organizacyjnymi i wydatkami, nałożenie wysokiej kary może się okazać przeciwskuteczne – argumentowała.
Zwróciła też uwagę, że podmioty publiczne, które są podmiotami ważnymi, mają obniżony próg wymogów do spełnienia w porównaniu z podmiotami prywatnymi, które mają ten sam status.
– Liczymy, że uda się przekonać resort cyfryzacji, że obniżenie jest wskazane także w odniesieniu do firm – zaznaczyła.
Sporne są też przepisy dotyczące dostawców wysokiego ryzyka. Zgodnie z projektem minister będzie mógł uznać dostawcę produktów lub usług ICT za dostawcę wysokiego ryzyka, wówczas sprzęt takiego dostawcy będzie musiał być wycofany z systemów podmiotów kluczowych i podmiotów ważnych, a nowy nie będzie mógł być wprowadzany do użytku.
– To powinno dotyczyć tylko sieci 5G, i to też nie całej, a tylko komponentów krytycznych – oceniła mec. Pawłowska-Nojszewska.
Naruszona zasada proporcjonalności
Konstytucjonalista prof. Ryszard Piotrowski spojrzał na przygotowane regulacje przez pryzmat ustawy zasadniczej.
– Przyjęty model zakłada, że traktuje się podmioty prywatne, jakby one były częścią struktury państwowej, i przerzuca się na nie odpowiedzialność za bezpieczeństwo państwa, bezpieczeństwo obywateli. Rząd chce mieć możliwość nakazania firmom telekomunikacyjnym wycofania się z dostaw sprzętu i oprogramowania, które uważa za niebezpieczne. Nagle to, co prywatne, zostanie ze względu na funkcję, jaką spełnia, upaństwowione – mówił Ryszard Piotrowski, przypominając o konstytucyjnej zasadzie proporcjonalności.
– W myśl projektu większość podmiotów mających wycofać sprzęt nie będzie mogła brać udziału w postępowaniu, które tego dotyczy. To jest z punktu widzenia proporcjonalności bardzo wątpliwe. Być może można też zastosować środek łagodniejszy niż wycofanie, decyzja ministra jest tu bardzo arbitralna – wskazał profesor.
W jego ocenie potrzebna jest też instytucja, która byłaby organem zaufania zarówno strony rządowej, jak i przedsiębiorców.
– Rzecz się jeszcze nie stała, można to przemyśleć i poprawić, zwłaszcza myślę tutaj o tym podmiocie zwiększającym zaufanie oraz o zmniejszeniu obciążeń – powiedział.
W podobnym tonie argumentował Karol Skupień.
– Państwo chcecie za nasze pieniądze zarządzać tym ryzykiem. Nikt nas nie spytał o zdanie, gdzie jest nasza wolność? Oto mam sprzęt, którym nie będę mógł swobodnie zarządzać. To jest przecież odebranie części praw do mojego majątku – punktował.
Jak przekonywał, skoro głównym elementem ryzyka jest czynnik ludzki, większy nacisk powinien być położony na edukację społeczeństwa w zakresie bezpieczeństwa cyfrowego i higieny cyfrowej.
– Za pomocą dyrektywy NIS 2 Bruksela próbuje rozwiązać jedną dziesiątą problemu za potężne pieniądze, na które nas nie stać – puentował prezes KIKE.
TB
Materiał z serwisu Cyfrowa Gospodarka
