Cyberbezpieczeństwo: bez rekompensat za usunięcie ryzykownego sprzętu

Ministerstwo Cyfryzacji nie będzie zwracać kosztów wyeliminowania oprogramowania lub produktów cyfrowych, które zostaną uznane za zagrażające bezpieczeństwu państwa.

Publikacja: 09.07.2024 04:30

Cyberbezpieczeństwo: bez rekompensat za usunięcie ryzykownego sprzętu

Foto: Adobe Stock

Do takiego usuwania będą zobowiązane m.in. samorządy, sądy, szpitale, przedsiębiorcy telekomunikacyjni oraz uczelnie, jeśli firma dostarczająca sprzęt zostanie uznana za dostawcę wysokiego ryzyka.

Takie rozwiązanie zakłada projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Jan Pilewski, ekspert BCC ds. polityki publicznej rynku cyfrowego, tłumaczy, że projekt wprowadza pojęcie dostawcy wysokiego ryzyka w odniesieniu do produktów i usług ICT (informacyjno-telekomunikacyjnych). Jak zaznacza, w projekcie nie określono w sposób precyzyjny kraju pochodzenia, z którego produkty i oprogramowanie mogą zostać uznane za zagrażające bezpieczeństwu państwa, natomiast jeśli minister cyfryzacji oraz kolegium cyberbezpieczeństwa stwierdzą, że dany produkt lub oprogramowanie są zagrożeniem i zostaną uznane za niebezpieczne z punktu widzenia bezpieczeństwa państwa, to wtedy będą musiały zostać wyeliminowane z użytku. Podmioty posiadające taki sprzęt czy oprogramowanie będą musiały wycofać je w okresie czterech–siedmiu lat.

Czytaj więcej

Nowa ustawa rządu w ogniu krytyki. Wymusi na firmach milionowe wydatki

Doktor Jarosław Kola z Wydziału Prawa i Administracji UAM precyzuje, że nowelizacja generalnie obejmie wszystkich zamawiających. I to właśnie zamawiający poniosą koszty związane z wycofaniem i kupnem nowego sprzętu lub usług.

– Nie planujemy rekompensat dla podmiotów zobowiązanych do wycofania sprzętu lub oprogramowania od dostawców wysokiego ryzyka – tłumaczy Mateusz Pawłowicz z Biura Komunikacji Ministerstwa Cyfryzacji, podkreślając, że okres wycofania sprzętu odpowiada „cyklowi życia” urządzenia.

Jak zapewnia, wycofanie sprzętu lub oprogramowania będzie stosowane jedynie w nadzwyczajnych przypadkach.

Znaczne konsekwencje

Dotor Jarosław Kola podkreśla, że już obecnie istniejące przepisy pozwalają odrzucać oferty zagrażające cyberbezpieczeństwu. Projekt nowelizacji ustawy przewiduje jednak wprowadzenie szerszych rozwiązań. – Powiedzmy jasno – zakazy nabywania, wprowadzenia do użytkowania konkretnych typów produktów ICT, a także nakazy wycofania ich z użytkowania to niewątpliwie katastrofa dla przedsiębiorcy, który mógłby zostać uznany za dostawcę wysokiego ryzyka. Niemniej to również apokaliptyczna wizja dla instytucji zamawiających – podkreśla. Zatem to z uwagi na ewentualne poniesienie wysokich kosztów zamawiający powinni przykładać większą uwagę do kwestii cyberbezpieczeństwa.

– Lekceważenie tej sfery może bowiem prowadzić do niezwykle dolegliwych konsekwencji. Wystarczy wyobrazić sobie, że zakupiony po publicznym przetargu sprzęt ICT docelowo nie będzie możliwy do wykorzystania, lecz będzie musiał zostać wymieniony. Projektodawcy przewidują wprawdzie w tym zakresie pewien okres przejściowy, ale i tak wizja wymiany kupionego sprzętu oznacza potężne problemy finansowe i organizacyjne dla zamawiających – dodaje dr Jarosław Kola.

Czytaj więcej

Cyberbezpieczeństwo w biznesie. Między Polską a Unią jest przepaść

Zamawiającym grożą wysokie kary finansowe

Projekt ustawy zakłada także kolejne obostrzenia. Piotr Filipowski, managing associate w WKB Lawyers, tłumaczy, że projekt ustawy wskazuje wprost na możliwość nałożenia sankcji na podmiot, który nie zastosuje się do decyzji ministra cyfryzacji o uznaniu danego dostawcy za dostawcę wysokiego ryzyka. – Kary administracyjne przewidziane zostały zarówno dla sytuacji, w której podmiot zobowiązany do stosowania ustawy zaczyna wykorzystywać produkt, usługę czy też proces ICT dostarczany przez dostawcę wysokiego ryzyka, jak i w przypadku, gdy nie realizuje obowiązku zaprzestania ich dalszego wykorzystywania – mówi Piotr Filipowski. A chodzi o bardzo wysokie kary pieniężne w przedziale od 20 tys. zł do aż 10 mln euro.

Czy kary mogą być nałożone na podmiot organizujący postępowanie przetargowe, który nie zweryfikuje odpowiednio dostawcy i zawrze z nim umowę, mimo że został uznany za dostawcę wysokiego ryzyka? Piotr Filipowski uważa, że taka kara jest możliwa chociażby na podstawie ogólniejszych przesłanek niż te konkretnie mówiące o karach za niezastosowanie się do skutków decyzji o uznaniu danego dostawcy za dostawcę wysokiego ryzyka.

Dla przykładu art. 73 ust. 5 zakłada kary do 100 mln zł za naruszanie przepisów ustawy przez podmiot kluczowy albo podmiot ważny, gdy wskutek tych naruszeń następuje zagrożenie cyberbezpieczeństwa m.in. dla bezpieczeństwa państwa.

Etap legislacyjny: opiniowanie

Do takiego usuwania będą zobowiązane m.in. samorządy, sądy, szpitale, przedsiębiorcy telekomunikacyjni oraz uczelnie, jeśli firma dostarczająca sprzęt zostanie uznana za dostawcę wysokiego ryzyka.

Takie rozwiązanie zakłada projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Jan Pilewski, ekspert BCC ds. polityki publicznej rynku cyfrowego, tłumaczy, że projekt wprowadza pojęcie dostawcy wysokiego ryzyka w odniesieniu do produktów i usług ICT (informacyjno-telekomunikacyjnych). Jak zaznacza, w projekcie nie określono w sposób precyzyjny kraju pochodzenia, z którego produkty i oprogramowanie mogą zostać uznane za zagrażające bezpieczeństwu państwa, natomiast jeśli minister cyfryzacji oraz kolegium cyberbezpieczeństwa stwierdzą, że dany produkt lub oprogramowanie są zagrożeniem i zostaną uznane za niebezpieczne z punktu widzenia bezpieczeństwa państwa, to wtedy będą musiały zostać wyeliminowane z użytku. Podmioty posiadające taki sprzęt czy oprogramowanie będą musiały wycofać je w okresie czterech–siedmiu lat.

2 / 3
artykułów
Czytaj dalej. Subskrybuj
Nieruchomości
Sąd Najwyższy: zasiedzenie działki za miedzą nie dla każdego sąsiada
Praca, Emerytury i renty
Krem z filtrem, walizka i autoresponder – co o urlopie powinien wiedzieć pracownik
Zdrowie
Jak uzyskać pieniądze za błędy medyczne. Odpowiadamy na pytania
Nieruchomości
Większe odległości od działki sąsiada. Jakie zmiany się szykują
Materiał Promocyjny
Mazda CX-5 – wszystko, co dobre, ma swój koniec
Za granicą
Wakacje 2024 z biurem podróży. Jakie mam prawa podczas wyjazdu wakacyjnego?
Materiał Promocyjny
Branża bankowa gorszy okres ma za sobą