W caÅ‚ej Unii Europejskiej trwajÄ… prace skupione wokóÅ‚ aspektu cyberbezpieczeÅ„stwa. Procedowana jest dyrektywa NIS 2, która zastÄ…pi dotychczasowe regulacje, na podstawie których w Polsce wdrażany jest krajowy system cyberbezpieczeÅ„stwa. – To doskonaÅ‚y moment, aby rozważyć rewizjÄ™ dyrektywy, a zatem również polskiej ustawy o KSC – uważa JarosÅ‚aw Tworóg, wiceprezes Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji. Jak podkreÅ›la, dyrektywa skupia siÄ™ przede wszystkim na takich aspektach jak zapewnienie kontroli nad danymi osobowymi czy sztucznÄ… inteligencjÄ…. Tymczasem w najnowszej nowelizacji polski rzÄ…d nie odnosi siÄ™ do tych wyzwaÅ„, skupiajÄ…c siÄ™ m.in. na możliwoÅ›ci wykluczenia z rynku niektórych producentów.
16 grudnia 2020 roku Komisja Europejska zaprezentowaÅ‚a nowy pakiet cyberbezpieczeÅ„stwa, który zawiera m.in. zrewidowanÄ… wersjÄ™ dyrektywy NIS, majÄ…cÄ… na celu wypracowanie wysokiego, wspólnego poziomu cyberbezpieczeÅ„stwa w caÅ‚ej Unii Europejskiej.
– To doskonaÅ‚y moment, aby rozważyć rewizjÄ™ dyrektywy, a zatem również polskiej ustawy o KSC, w kontekÅ›cie gorÄ…cej debaty na temat strategicznej autonomii i suwerennoÅ›ci cyfrowej w UE. To mogÅ‚aby być okazja do popularyzacji tego pojÄ™cia jako zdolnoÅ›ci do zapewnienia obywatelom kontroli nad ich życiem cyfrowym, w szczególnoÅ›ci poprzez kontrolÄ™ ich danych osobowych. Dyrektywa odnosi siÄ™ również do gotowoÅ›ci do wzmacniania cyfrowych zdolnoÅ›ci podmiotu w zakresie jego sieci, bezpieczeÅ„stwa cybernetycznego i kontroli zaawansowanego oprogramowania takiego jak sztuczna inteligencja – ocenia w rozmowie z agencjÄ… Newseria Biznes dr inż. JarosÅ‚aw Tworóg, wiceprezes Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji.
Jak wskazuje wiceprezes KIGEiT, projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeÅ„stwa w żaden sposób nie odnosi siÄ™ do najważniejszych wyzwaÅ„ zwiÄ…zanych m.in. z toczÄ…cÄ… siÄ™ obecnie w UE dyskusjÄ… nad dyrektywÄ… NIS 2, która nakÅ‚ada wiÄ™ksze niż dotychczas wymagania w zakresie ujawniania luk w zabezpieczeniach, testowania poziomu cyberbezpieczeÅ„stwa czy efektywnego wykorzystywania szyfrowania.
NIS 2 rozszerza także wymagania okreÅ›lajÄ…ce zakres krajowych strategii cyberbezpieczeÅ„stwa m.in. o identyfikacjÄ™ odpowiednich aktywów i zagrożeÅ„ dla cyberbezpieczeÅ„stwa w paÅ„stwie czÅ‚onkowskim, okreÅ›lenie Å›rodków zapewniajÄ…cych gotowość, reakcjÄ™ i usuwanie skutków incydentów, w tym wspóÅ‚pracÄ™ miÄ™dzy sektorem publicznym i prywatnym czy wykaz różnych organów i podmiotów zaangażowanych we wdrażanie krajowej strategii. Kwestie te w Polsce regulujÄ… dwie ustawy: o krajowym systemie cyberbezpieczeÅ„stwa i o zarzÄ…dzaniu kryzysowym. Ta pierwsza jest wÅ‚aÅ›nie nowelizowana w sposób, który budzi rynkowe zastrzeżenia.
– Projekt nowelizacji ustawy o KSC ilustruje poziom niezrozumienia problemu w Å›rodowisku polityków. CyberbezpieczeÅ„stwo ma charakter sieciowy, a nie sektorowy czy geograficzny. Zatem dekompozycja problemu na elementy sektorowe i skupienie na aspekcie krajowym, wyróżnianie mniej lub bardziej zaufanych dostawców, nie odzwierciedla istoty problemu – twierdzi dr inż. JarosÅ‚aw Tworóg.
Nowelizacja zmian w ustawie o krajowym systemie cyberbezpieczeÅ„stwa wynika z koniecznoÅ›ci wdrożenia do polskich przepisów tzw. 5G Toolbox, które majÄ… wzmocnić poziom cyberbezpieczeÅ„stwa w Europie w kontekÅ›cie budowy sieci 5G. Pierwszy projekt nowelizacji, przygotowany we wrzeÅ›niu 2020 roku, wzbudziÅ‚ wiele kontrowersji, nie tylko ze wzglÄ™du na wyjÄ…tkowo krótki czas procedowania, lecz także część zapisów. Nowelizacja umożliwiaÅ‚a m.in. wykluczenie części dostawców usÅ‚ug ze wzglÄ™du na kraj pochodzenia. ZgÅ‚oszono wówczas ok. 750 uwag, stÄ…d przygotowany nowy projekt nowelizacji ustawy.
Jak jednak zauważa wiceprezes KIGEiT, choć zawiera on sporo zmian w porównaniu do wrzeÅ›niowej wersji, w wiÄ™kszoÅ›ci sÄ… to zmiany kosmetyczne.
– Choć ostateczny ksztaÅ‚t projektu jest nie do przewidzenia, to można być pewnym, że rzÄ…d chce zwiÄ™kszyć zakres swojej wÅ‚adzy m.in. poprzez uznaniowe, oparte na przesÅ‚ankach politycznych, wykluczanie dostawców sprzÄ™tu i oprogramowania. W ocenie skutków regulacji zauważa siÄ™, że wykonanie obecnie obowiÄ…zujÄ…cej ustawy pozostawia wiele do życzenia, a operatorzy usÅ‚ug kluczowych już dzisiaj majÄ… trudnoÅ›ci ze speÅ‚nieniem wyÅ›rubowanych wymogów technicznych dla wewnÄ™trznych struktur cyberbezpieczeÅ„stwa – wskazuje.
W nowelizacji wciąż znajdujÄ… siÄ™ zapisy, które pozwalajÄ… wykluczyć z wdrażania 5G część dostawców na podstawie niemerytorycznych kryteriów, czyli np. kraju pochodzenia. Zgodnie z proponowanymi przepisami dostawców bÄ™dzie oceniać Kolegium ds. CyberbezpieczeÅ„stwa. Ci, którzy zostanÄ… uznani za zagrożenie dla krajowego cyberbezpieczeÅ„stwa, zostanÄ… wykluczeni z przetargów. Przedstawiciele branży telekomunikacyjnej wielokrotnie apelowali o wprowadzenie bardziej merytorycznych kryteriów oceny, jednak nieskutecznie.
– Musi to budzić niepokój, biorÄ…c pod uwagÄ™, że po ostatnich konsultacjach publicznych projektodawca zapowiedziaÅ‚, że wprowadzi zmianÄ™ i skupi siÄ™ wÅ‚aÅ›nie na aspektach technicznych. Mimo kontrowersji wynikÅ‚ych w trakcie poprzednich konsultacji publicznych KPRM nie przewiduje drugiej rundy konsultacji, co dowodzi prymatu intencji politycznych o nieznanych celach nad dobrze zdefiniowanym interesem gospodarczym – podkreÅ›la dr inż. JarosÅ‚aw Tworóg.
