- To, co może budzić sprzeciw jeśli chodzi o nowelizacje KSC, to stworzenie mechanizmu eliminacji z rynku usług cyberbezpieczeństwa podmiotów niewygodnych. Można sobie wyobrazić, że przyczyny takiej eliminacji nie zawsze będą jednoznaczne i uczciwe – zauważa Artur Piechocki, radca prawny, partner zarządzający w kancelarii APLAW.
Czy nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa rzeczywiście może zwiększyć bezpieczeństwo i co z realizacją jej wytycznych?
Rozwiązaniom opartym o dyrektywę NIS i jej implementację, czyli ustawę o Krajowym systemie cyberbezpieczeństwa brakuje mocy sprawczej. RODO przekonało nas, że na przedsiębiorców działają najlepiej kary. Najbardziej przemawiają do wyobraźni i odnoszą skutek odstraszający (zgodnie z zamysłem ustawodawcy unijnego). Pamiętajmy, że polska ustawa o ochronie danych osobowych obowiązywała od 1997 r. i zasadniczo nie była przestrzegana. Dopiero RODO spowodowało masowe przestrzeganie ochrony prywatności. Niestety, ustawa o KSC w pierwotnej wersji nie była wystarczająco sankcyjna, aby odnieść dobry skutek. Dlatego przedsiębiorcy zobowiązani do jej przestrzegania (w tym operatorzy usług kluczowych - OUK) nie spieszyli się z wdrożeniem odpowiednich zabezpieczeń.
Z drugiej strony warto zaznaczyć aktywną rolę Ministerstwa Cyfryzacji w weryfikacji spełniania wymogów KSC przy skąpych środkach sankcyjnych – lista sankcji była długa, ale wobec OUK mało skuteczna, szczególnie porównując wysokość poszczególnych kar ze skalą działalności. Czynnikiem, który niewątpliwie wpływa na wzrost potrzeby zapewnienia wysokiego poziomu bezpieczeństwa są coraz liczniejsze incydenty z zakresu cyberbezpieczeństwa, ale działanie ex post z pewnością nie jest pożądane w podejściu do bezpieczeństwa informacji. Zasadniczą zmianę w podejściu do egzekwowania przepisów niesie ze sobą NIS-2, z karami zbliżonymi do RODO. Nowelizacja KSC wydaje się zmierzać w tym samym kierunku. Organy właściwe zyskają zatem dobry argument do zapewnienia rzeczywistego stosowania przepisów KSC.
Dostawca wysokiego ryzyka rzeczywiście może być niebezpieczny? Wydaje się, że może to prowadzić do wykluczenia czy eliminacji bez większych podstaw.
Kontrowersyjną kwestią włączoną do KSC jest koncepcja dostawcy wysokiego ryzyka. Wydaje się, że rynek usług cyberbezpieczeństwa doskonale zdaje sobie sprawę z tego, o jaki konkretnie podmiot chodzi. Podmiot ten doświadcza problemów i ograniczeń nie tylko w Polsce i jest to niezaprzeczalne. Czy zarzuty wobec tego producenta są słuszne – trudno oceniać, jednak to, co może budzić sprzeciw, to stworzenie mechanizmu eliminacji z rynku usług cyberbezpieczeństwa podmiotów niewygodnych. Można sobie wyobrazić, że przyczyny takiej eliminacji nie zawsze będą jednoznaczne i uczciwe. W tym należy upatrywać głównego zagrożenia dla proponowanego rozwiązania legislacyjnego.
Jak zapisy nowelizacji KSC mogą wpłynąć na kwestie konkurencji na rynku?
Nowelizacja KSC wprowadza rozwiązania, które budzą wiele emocji. Chodzi głównie o operatora strategicznej sieci bezpieczeństwa. Z jednej strony dochodzi do koncentracji usług z zakresu bezpieczeństwa w ramach jednego podmiotu, któremu nadaje się znaczenie „ponadrynkowe”, niezależne od konkurencji zarówno na rynku usług z zakresu cyberbezpieczeństwa, jak i telekomunikacyjnych. Podobne zarzuty pojawiały się w przeszłości wobec podmiotów pełniących szczególną rolę z punktu widzenia gospodarki, czy bezpieczeństwa, np. TP S.A., czy NASK, jednak te podmioty stały się naturalnymi monopolistami (być może z wyjątkiem TP S A , która posiadała częściowy monopol w zakresie połączeń jeszcze w latach 90-tych), natomiast tutaj mamy do czynienia z ustawowo narzuconym monopolem i niemalże wskazaniem wprost przez ustawodawcę podmiotu spełniającego kryteria wyboru. Z pewnością nie wpłynie to dobrze na konkurencję, przy dodatkowym założeniu, że taki podmiot konkuruje jednocześnie z innymi dostawcami usług. Z drugiej natomiast strony potrzeba obsługi strategicznej sieci bezpieczeństwa jest niewątpliwa.
Jak pan ocenia ten projekt?
Można pokusić się o podsumowanie, że nowelizacja KSC z jednej strony zawiera ciekawe rozwiązania, jak centra wymiany informacji, certyfikacja, z drugiej zbyt mocno koncentruje się na konkretnych podmiotach i to zarówno w znaczeniu faworyzowania – operator strategicznej sieci bezpieczeństwa, jak i dyskryminowania – dostawca wysokiego ryzyka. Tymczasem podstawową rolą KSC powinno być zapewnienie skutecznej obrony cyberprzestrzeni RP, w tym polskich przedsiębiorców, szczególnie operatorów usług kluczowych, z których korzysta każdy obywatel.