W poniedziałek Ministerstwo Cyfryzacji (MC) ogłosiło nowe zmiany w projekcie ustawy o Krajowym Systemie Cyberbezpieczeństwa. Dotyczą one podmiotów publicznych. MC odpiera też zarzuty dotyczące nadregulacji czy ryzyka korupcji.
Marcin Wysocki, Zastępca Dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji (MC) zapowiedział w poniedziałek pojawienie się nowych wersji projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), w związku z tym, że projekt będą opiniować kolejne gremia. Obecnie jest on na etapie uzgadniania z Komitetem do Spraw Europejskich oraz samorządem terytorialnym.
Wysocki poinformował w trakcie śniadania roboczego z cyklu #DigitalTalks zorganizowanego przez Związek Cyfrowa Polska, że zmodyfikowane zostaną obowiązki podmiotów publicznych. MC planuje ograniczyć uprawnienia najmniejszych podmiotów, takich jak żłobki czy przedszkola. Jednocześnie zaznaczyło, że nie chce aby podmioty te opuściły krawędź systemu cyberbezpieczeństwa.
Podczas spotkania #DigitalTalks Wysocki odniósł się do krytyki ustawy pojawiającej się w przestrzeni publicznej. Niekóre argumenty, np. mówiące np. o nadregulacji względem przepisów unijnych, określił mianem jako „mitów” i „fałszywej narracji”. Wskazał, że przepisy dotyczące dostawców wysokiego ryzyka są zgodne z dokumentem Toolbox 5G Komisji Europejskiej z 2020 r., który zobowiązuje państwa UE do ograniczeń wobec takich dostawców.
Według ustawy o KSC dostawcy wysokiego ryzyka będą wyznaczani według kryteriów technicznych i nietechnicznych. "Przesłanki nietechniczne nazywane są politycznymi, co jest nieprawdą" – ocenił Wysocki. "Przesłanki te wynikają wprost z Toolboxa 5G. Są standardem w krajach unijnych" – dodał. Przedstawiciel MC tłumaczył też, że decyzja uznania dostawcy za niebezpiecznego na podstawie tej przesłanki nie zapadnie na podstawie opinii jednego polityka czy urzędnika, a wtedy gdy np. inny kraj UE uzna go za zagrażającego bezpieczeństwu publicznemu. Jak dodał – nie wiadomo, czy taka decyzja w ogóle zapadnie wobec jakiegokolwiek dostawcy.
"Procedura jest złożona i dokładnie opisana w projekcie. W przypadku takiej decyzji (uznania dostawcę za stwarzającego wysokie ryzyko – PAP) trzeba wziąć pod uwagę analizy CESIRT-ów krajowych, służb specjalnych, a zwłaszcza Agencji Bezpieczeństwa Wewnętrznego, zobowiązania wobec naszych sojuszników, ale też analizy techniczne i podatności" – wymienił Wysocki.
Uczestnicy spotkania odnieśli się też do opinii Centrum im. Adama Smitha, w której napisano, że ustawa o KSC stwarza zagrożenie korupcyjne. "Korupcja naprawdę musiała być w niebywałym zakresie, bo skorumpować trzeba by było wszystkie organy, które dają wkład w postępowanie, czyli służby specjalne, decydentów, ministrów, członków Kolegium do spraw cyberbezpieczeństwa. Powiedziałbym że jest odwrotnie; że ten ta procedura jest tak transparentna, że absolutnie ogranicza ryzyko korupcji" – ocenił Wysocki.
Uczestnicy poniedziałkowego #DigitalTalks odnieśli się też do argumentu związanego z kosztami, które część przedsiębiorców będzie musiało ponieść w związku z dostosowaniem infrastruktury do nowych wymogów. Prezes Zarządu Związku Cyfrowa Polska Michał Kanownik zwrócił uwagę, że należy w tym kontekście mówić raczej o inwestycji w bezpieczeństwo. Podkreślono też, że wymiana sprzętu może być szansą dla polskich firm na zmniejszenie ryzyka związanego z cyberatakami.
"Dzisiaj kwitnie coś, co możemy nazwać cyberprzestępczością na zlecenie. Na ataki musimy zareagować budową systemu obronnego, co zapewnia ustawa o KSC" – ocenił Jacek Oko, prezes UKE. Podkreślił też, że zagrożenia się zmieniają, dlatego ustawa w przyszłości może być jeszcze raz nowelizowana.
Najnowsza, 20 wersja projektu nowelizacji ustawy o KSC, pojawiła się 6 grudnia na stronie Rządowego Centrum Legislacji, a jest datowana na 2 grudnia 2024 r. Ostateczna wersja projektu ma trafić do Parlamentu w ciągu kilku tygodni, z planem zakończenia prac w I kwartale 2025 r. (PAP)
mbl/ drag/