NOWY KWARTALNIK O ENERGII, GOSPODARCE I NOWYCH TECHNOLOGIACH polish energy brief

Stanowisko IJ o Krajowym systemie cyberbezpieczeństwa

Opinie i komentarze 22 października 2020, 11:08
Stanowisko IJ o Krajowym systemie cyberbezpieczeństwa

Przygotowany przez Ministerstwo Cyfryzacji projekt ma pierwszorzędne znaczenie dla funkcjonowania w Polsce systemu bezpieczeństwa. Zakłada się bowiem strukturalne rozszerzanie zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), czy też powołanie centrów wymiany i analizy informacji na temat podatności, zagrożeń i incydentów (ISAC). Jednocześnie proponuje się zobowiązanie podmiotów krajowego systemu cyberbezpieczeństwa do uwzględnienia treści ocen poziomu ryzyka dostawców sprzętu i oprogramowania. W ocenie projektodawców, zaproponowane zmiany mają przyczynić się do zwiększenia skuteczności działań krajowego systemu cyberbezpieczeństwa.

Osiągnięcie założonego przez Ministerstwo Cyfryzacji celu będzie możliwe wówczas, gdy projekt zawierać będzie niebudzące wątpliwości przepisy dostosowane do aktualnej sytuacji gospodarczej naszego kraju. W dalszej perspektywie przepisy ustawy chronić mają Polaków przed różnego rodzaju niebezpieczeństwami i incydentami występującymi w cyberprzestrzeni. Rozwój sieci 5G, postępująca cyfryzacja usług, w tym także usług publicznych, czyni cyberprzestrzeń miejscem podatnym na różnego rodzaju ataki. Przeciwdziałanie takim atakom i należyte zabezpieczenie organów administracji publicznej, osób fizycznych korzystających z sieci Internet na różnego rodzaju urządzeniach, czy też przedsiębiorców, dla których cyberprzestrzeń jest miejscem prowadzenia działalności powinno być podstawowym celem projektowanych przepisów.

Tymczasem, w aktualnym – wskazanym w projekcie – kształcie przepisy zdają się mieć na celu stworzenie skutecznego systemu weryfikacji podmiotów działających na rynku telekomunikacyjnym, bez wprowadzenia jasnych i systemowych rozwiązań, które w pełni zagwarantować by mogły należyty poziom cyberbezpieczeństwa i niezakłócone funkcjonowanie krajowego systemu cyberbezpieczeństwa.

Wątpliwości budzi brak pełnego przeanalizowania przez Ministerstwo Cyfryzacji skutków projektowanych regulacji. Należy w tym miejscu zauważyć, że projekt przewiduje procedurę ocenną, która zmierzać może w konsekwencji do wyeliminowania sprzętu i oprogramowania, co do którego Kolegium ds. Cyberbezpieczeństwa stwierdzi wysokie lub umiarkowane ryzyko jego dostawcy. Sami projektodawcy w uzasadnieniu do przedłożonego dokumentu wskazują, że takie rozwiązania mogą zaburzyć konkurencyjność na rynku.

Abstrahując w tym miejscu od skutków zaproponowanych w projekcie uprawnień Kolegium ds. Cyberbezpieczeństwa, odnieść się należy od zasad dokonywania oceny dostawcy sprzętu i oprogramowania przez to gremium. Projekt zawiera generalne przesłanki, dotyczące w zasadzie wyłącznie kraju pochodzenia dostawcy sprzętu i oprogramowania, nie wskazując chociażby na warunki techniczne i zabezpieczenia wprowadzane i gwarantowane przez tego dostawcę. W ten sposób z rynku wyeliminowane mogą zostać sprzęty i oprogramowania, które zapewniają należyty poziom bezpieczeństwa użytkowania, ocenione jednak negatywnie wyłącznie z powodu kraju siedziby ich dostawcy. Nie wydaje się to odpowiednim rozwiązaniem. Krajowy system cyberbezpieczeństwa powinien opierać się na techniczne neutralnych wymaganiach, którym sprostać mogliby dostawcy sprzętu i oprogramowania, niezależnie od kraju swojego pochodzenia.

Nie sposób wyobrazić sobie sytuację, aby na skutek rozstrzygnięcia Kolegium ds. Cyberbezpieczeństwa jeden z wiodących dostawców sprzętu i oprogramowania miałby wycofać wszystkie swoje urządzenia z rynku w okresie 5 lat, z uwagi na niespełnienie przesłanek wskazanych w projekcie wykorzystywanych do oceny ryzyk, które zdają się mieć wyłącznie polityczno-gospodarczy charakter. Jednocześnie, w projekcie nie przewidziano jakichkolwiek mechanizmów zabezpieczających zarówno dla dostawców sprzętu i oprogramowania, ich kontrahentów (zwłaszcza przedsiębiorców telekomunikacyjnych), jak i użytkowników końcowych tych urządzeń. W naszej ocenie, prawodawca powinien przewidzieć taką sytuację i wyczerpująco uregulować kwestię ewentualnego wsparcia użytkowników i przedsiębiorców, w odniesieniu do których sprzętu i oprogramowania dostawca nie spełnił określonych w ustawie i stwierdzonych przez Kolegium ds. Cyberbezpieczeństwa przesłanek.

Zawarte w projekcie uprawnienia Kolegium ds. Cyberbezpieczeństwa w zakresie oceny ryzyka dostawcy sprzętu i oprogramowania może również niekorzystnie kształtować sytuację polskich przedsiębiorców w porównaniu do podmiotów działających w innych państwach Unii Europejskiej. Nie jest bowiem wykluczone, że ten sam podmiot w Polsce, co do którego występuje wysokie lub umiarkowane ryzyko, w podobny sposób oceniony zostanie w innym państwie członkowskim. Dlatego też, Ministerstwo Cyfryzacji w zaproponowanych przez siebie przepisach powinno dążyć do tego, aby stworzyć takie regulacje, które będą – w zakresie merytorycznym – chociażby zbieżne kierunkowe z regulacjami przyjętymi w innych państwach, bazując na rozwiązaniach opracowanych na poziomie unijnym.

Warto w tym miejscu również wskazać, że projekt zakłada wejścia w życie zawartych w nim regulacji w zasadniczym zakresie z dniem 21 grudnia 2020 r. Mając na uwadze charakter zaproponowanych regulacji, sprzężenie terminu wejścia w życie projektowanych przepisów z terminem wejścia w życie ustawy – Prawo komunikacji elektronicznej oraz ustawy wprowadzającej ustawę – Prawo komunikacji elektronicznej wydaje się być rozsądnym rozwiązaniem. Zaznaczyć jednak trzeba, że obciążanie przedsiębiorców, zwłaszcza działających w sektorze nowoczesnych technologii, w tym samym czasie tak istotnymi zmianami legislacyjnymi, a w konsekwencji nałożenie na nich określonych obciążeń regulacyjnych, nie znajduje uzasadnienia.

W kontekście projektowanej ustawy brak jest konieczności wdrażania tych regulacji do dnia 21 grudnia 2020 r. (jak to ma miejsce w przypadku przepisów implementujących Europejski Kodeks Łączności Elektronicznej). Uwzględniając zaproponowany charakter regulacji, należałoby rozważyć wydłużenie vacatio legis projektowanej ustawy tak, aby wszystkie zainteresowane podmioty mogły się odpowiednio przygotować do nowych obowiązków. Pamiętać bowiem należy, że przedmiotowy projekt przejść musi cały proces legislacyjny, co oznacza, że w praktyce vacatio legis może wynosić nawet kilka dni. Taka sytuacja niewątpliwie byłaby bardzo niekorzystna dla rynku, a co więcej stałaby w sprzeczności ze standardami stanowienia prawa. 

Podsumowując, stwierdzić trzeba, że jakkolwiek projektowane rozwiązania są potrzebne, to jednak wymagają one ponownego przeanalizowania pod kątem konieczności ich wprowadzenia i adekwatności skutków, jakie mogą wywołać.

Projekt i wykonanie: Sebastian Safian
Używamy cookies w celach funkcjonalnych, aby ułatwić użytkownikom korzystanie z witryny oraz w celu tworzenia anonimowych statystyk serwisu. Jeżeli nie blokujesz plików cookies, to zgadzasz się na ich używanie oraz zapisanie w pamięci urządzenia.
Polityka Prywatności   
OK