Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, która ma implementować do polskiego porządku prawnego dyrektywę NIS 2, udostępniono 24 kwietnia 2024 roku.
Dyrektywa NIS 2 zmieniła dotychczas obowiązujące ramy systemu cyberbezpieczeństwa w Unii Europejskiej. M.in. definiuje nowe zadania państw członkowskich w tym obszarze, rozszerza katalog podmiotów podlegających obowiązkom w zakresie cyberbezpieczeństwa oraz określa nowe kompetencje organów UE. Kolejny etap to wdrożenie dyrektywy do krajowych porządków prawnych – niepóźnej niż do 17 października 2024 r. Polski projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa służy wypełnieniu tego zobowiązania. Z tego powodu, rozszerza krąg podmiotów zobligowanych przepisami ustawy do realizacji katalogu obowiązków, opisanych w projekcie. W nowelizacji przewidziano również powołanie wyspecjalizowanych podmiotów w celu wypełniania zadań na rzecz cyberbezpieczeństwa oraz wdrożenie nowych kanałów komunikacji. Nowe przepisy doprecyzowują także zasady regulujące nadzór i egzekwowanie aktów prawnych z tego zakresu.
Czerpali z poprzedników, będąc wcześniej przeciw
Prace nad implementacją przedmiotowej dyrektywy były dalece zaawansowane za poprzedniej kadencji Sejmu. Wówczas to w resorcie cyfryzacji opracowano ramowe założenia oraz konkretne propozycje zapisów nowej ustawy. Zgodnie z dobrym obyczajem, ówczesny minister Janusz Cieszyński, przekazując resort swemu następcy, nie pozostawił pustych szuflad.
Wcześniej, co prawda lewica na etapie konsultacji projektu potępiała jego zapisy w czambuł, co nie przeszkodziło jej przedstawicielowi w nowym rządzie, w przejęciu znacznej części zapisów poprzedniego projektu, przepisując je literalnie. Zgodnie z zasadą ciągłości organów państwa i legalizmem instytucjonalnym nie byłoby w tym nić zdrożnego, gdyby jednak czerpanie z dorobku poprzedników opatrzono stosowną informacją.
Zamiast podsumowania
Dotychczasowy podział podmiotów objętych obowiązkami ustawy o KSC na operatorów usług kluczowych i dostawców usług cyfrowych ustępuje miejsca podziałowi na podmioty kluczowe i ważne. Podstawową zasadą ich wyznaczania jest samoidentyfikacja, a następnie wpis do wykazu. Nowelizacja dopuszcza jednak także inne możliwości identyfikacji podmiotów kluczowych i ważnych.
Nowelizacja ustawy wprowadza obowiązek powołania przez organ właściwy do spraw cyberbezpieczeństwa CSIRT sektorowego, właściwego dla danego sektora lub podsektora. Czas na osiągnięcie zdolności operacyjnej wynosi 18 miesięcy. Takie zespoły docelowo mają wspierać podmioty kluczowe i ważne w obszarze przyjmowania zgłoszeń i reagowania na incydenty oraz stanowić ogniwo łączące te podmioty z CSIRT poziomu krajowego.
Jednym z nowych rozwiązań, mającym zwiększać bezpieczeństwo systemów informacyjnych wykorzystywanych przez podmioty krajowego systemu cyberbezpieczeństwa, jest ocena bezpieczeństwa. Dokonywana ma być przez CSIRT poziomu krajowego lub CSIRT sektorowy w celu identyfikacji podatności.
System S46 według założeń nowelizacji ma być głównym środkiem komunikacji pomiędzy podmiotami KSC – zarówno w zakresie informacji o charakterze operacyjnym (w tym wczesne ostrzeżenia, zgłoszenia incydentów poważnych i sprawozdania z ich obsługi), jak i organizacyjnym (informacje o gotowości operacyjnej CSIRT sektorowych oraz wnioski o wpis, jego zmianę lub wykreślenia z wykazu podmiotów) i nadzorczym.
Decyzja o uznaniu za dostawcę wysokiego ryzyka jest wydawana przez ministra właściwego ds. informatyzacji i zawiera w szczególności wskazanie produktów, rodzajów usług lub procesów ICT, które należy wycofać w określonym terminie (od 4 do 7 lat, w zależności od rodzaju podmiotu lub przeznaczenia produktów, usług i procesów) oraz nie wprowadzać do użytkowania.
Minister może wydać na określony ustawowo czas w drodze decyzji polecenie zabezpieczające w przypadku wystąpienia incydentu krytycznego, które to zawiera m.in. obowiązek określonego zachowania – ich przykłady są wskazane w projekcie nowelizacji. Podlega natychmiastowej wykonalności i uznawane jest za doręczone z chwilą jego ogłoszenia w dzienniku urzędowym ministra. Wydanie polecenia musi natomiast poprzedzać analiza przeprowadzana we współpracy z Zespołem do spraw Incydentów Krytycznych.
W nowelizacji rozbudowano katalog zagadnień, które powinny zostać objęte Strategią Cyberbezpieczeństwa RP. Oprócz niej Rada Ministrów będzie uchwalać również Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę, który będzie obejmował obszary związane z zarządzaniem kryzysowym w cyberbezpieczeństwie.
Rozbudowany został katalog środków nadzoru i egzekwowania przepisów wobec podmiotów kluczowych i ważnych. Obejmują one m.in. możliwość prowadzenia kontroli, zlecania audytu bezpieczeństwa systemów informacyjnych oraz wydawania szeregu nakazów celem wyegzekwowania realizacji przez podmiot obowiązków wynikających z przepisów ustawy.
Znacznie podwyższone zostały górne granice kar pieniężnych możliwych do nałożenia na podmiot kluczowy lub ważny, lub kierownika podmiotu za naruszenie przepisów ustawy. Przewidziano także możliwość stosowaniaokresowych kar pieniężnych za każdy dzień opóźnienia w wykonaniu przez podmiot obowiązków nałożonych w ramach czynności nadzorczych lub środków egzekwowania przepisów.
Co na to przedsiębiorcy?
Jedno co wiemy na pewno, to zakończenie prac nad projektem w resorcie cyfryzacji. Co to oznacza? W pierwszym rzędzie niedotrzymanie mijającego 17 października terminu na implementację przedmiotowej dyrektywy. Rząd zakłada bowiem, że dalsze prace, w tym uzgodnienia międzyresortowe potrwają trzy miesiące. Jak przewiduje Krzysztof Gawkowski wicepremier ds. cyfryzacji, uchwalenie ustawy miałoby nastąpić w I kwartale 2025 r., a więc niespełna rok po prezentacji pierwszej wersji projektu.
W toku konsultacji powstało 11 wersji projektu, konsultowano z górą 200 podmiotów w efekcie czego, jak twierdzi minister 70 proc. uwag, znalazło miejsce w ostatecznej wersji noweli. Jak przyznaje sam minister, nie wszystko zdołano uzgodnić, a kwestia dostawców wysokiego ryzyka okazała się przysłowiową kością niezgody pomiędzy rządem, który zdaniem Gawkowskiego uznał tę sprawę za „bezcenną w kategorii państwa”, a stroną społeczną, optująca za wyrzuceniem tych zapisów z projektu.
Zdaniem zainteresowanych środowisk, wiele podmiotów nie jest gotowych na takie zapisy, a nawet pozostają w niewiedzy, co do wynikających zeń powinności. W tej liczbie znajdują się podmioty o kluczowym znaczeniu dla naszego codziennego funkcjonowania.
Dyskusyjne rozróżnienie
O ile podział na podmioty ważne i kluczowe w kontekście cyberbezpieczeństwa, wydaje się czytelny, to zakres swobody i kryteria zaliczania do każdej z obu kategorii wydaje się nieoczywisty. Zwłaszcza że praktyczne następstwa oznaczają zróżnicowane obowiązki w obszarze cyberbezpieczeństwa.
Angażowanie sił i środków stąd wynikających, to czas i dodatkowy koszt. Skoro o czasie mowa, to podmioty kluczowe obligatoryjnie miałyby raportować poważne incydenty niezwłocznie, a w każdym razie nie później niż do 24 godzin od momentu ujawnienia ich właściwemu sektorowo CSIRT. Tyle tylko, że w odniesieniu do tak kluczowego sektora, jak bankowy, KNF ma 18-miesięczny okres derogacyjny na powołanie sektorowego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego.
O ile zaliczenie do podmiotów kluczowych administracji rządowej, czy operatorów chmurowych nie budzi co do zasady wątpliwości, o tyle platformy społecznościowe to sfera naszych osobistych praw i wolności, które i tak podlegają ograniczeniom wynikającym np. z wymogów skutecznej walki z terroryzmem.
Z kolei w odniesieniu do lżejszych rygorów w zakresie raportowania i czasu reakcji, jakie obowiązują podmioty ważne, wątpliwości budzi zaliczenie do nich np. dostawców usług pocztowych, przedsiębiorstw gospodarki odpadowej, czy łączności elektronicznej. Trudno bowiem uznać, że nie wypełniają one kategoryzacji usług „w sektorze niezbędnym dla utrzymania podstawowych funkcji społeczeństwa i gospodarki”. Te zaś projekt zalicza do podmiotów kluczowych.
Bezspornie więc projekt zawiera błędy, których konsekwencje w razie braku walidacji miałyby znaczenie (by zacytować Gawkowskiego) – fundamentalne. Wątpliwości budzi także zmiana wdrożona przez resort w ostatnim momencie, polegająca na przeniesieniu do kategorii podmiotów ważnych, uprzednio kluczowych, producentów samochodów, medykamentów, a nawet żywności i chemikaliów.
Nie trzeba wyobraźni, by ocenić kluczową rolę tych branż dla naszego indywidualnego i zbiorowego bezpieczeństwa, zwłaszcza gdy coraz częściej mówimy o samochodach autonomicznych, bazujących w równej mierze na jednostce napędowej i układzie jezdnym, co wsadzie cyfrowym opartym na algorytmach i modułach mikroprocesorowych.
Eksperci stawiają kluczowe pytania
Zdaniem Justyny Wilczyńskiej – Baraniak z EY Law doceniając wagę i znaczenie spraw cyberbezpieczeństwa, przedsiębiorcy mają prawo oczekiwać, że warunki równej konkurencji na obszarze wspólnej unijnej przestrzeni gospodarczej zostaną dochowane. Tymczasem w pozostałych 26 krajach członkowskich reguły dotyczące tego obszaru są znacznie mniej restrykcyjne. Z czego wynika taka konieczność i co ją uzasadnia? – dotąd nie wiemy. Polska nadgorliwość w rozszerzaniu restrykcyjności unijnych regulacji jest zastanawiająca. Czy chodzi tu o jakieś kompleksy względem unijnych hegemonów?
Raport przygotowany przez EY stwierdza wprost, że mamy do czynienia z nadmierną regulacją względem unijnych standardów w tym obszarze, a projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa mający stanowić implementację dyrektywy NIS 2 spowoduje generowanie wysokich kosztów z tytułu dostosowania się do nowych wymogów po stronie przedsiębiorców. Ostatecznie poniosą je odbiorcy końcowi i użytkownicy. Nie wspominając o impulsie proinflacyjnym, ograniczaniu swobody gospodarczej, a co za tym idzie stwarzanie przestrzeni dla zachowań korupcjogennych.
Uznaniowy podział na kategorie podmiotów o zróżnicowanym zakresie obowiązków czyni procedury przeciw skutecznymi, a tym samym w warunkach wojny hybrydowej naraża na szwank bezpieczeństwo państwa. Technologia to broń obosieczna. O jej efektywności i zakresie zastosowań nie decydują przeregulowane procedury, lecz czytelne i transparentne kryteria oceny. Jak bowiem traktować kategorie dostawców wysokiego ryzyka, gdy kryteria pozostają w tym zakresie dyskrecjonalne, bądź niejasne (jak to ujmuje raport EY)? Indeks Wolności Gospodarczej, czy Indeks Percepcji Korupcji Transparency International, gdzie Polska spadła na 45. – najgorsze od 12 lat miejsce, nie pozostawiają w tej sprawie złudzeń!
