Z tego artykułu się dowiesz:

  • Jakie są kluczowe kontrowersje wokół nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa?
  • Dlaczego minister cyfryzacji sprzeciwia się zmianom proponowanym przez branżę IT?
  • Co może spowodować ewentualne weto prezydenta wobec ustawy?

W tym tygodniu sejmowa komisja cyfryzacji zajmie się nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Ministerstwo Cyfryzacji liczy, że projekt, który jest po pierwszym czytaniu, na biurko Karola Nawrockiego trafi na początku roku. Tyle że nie wiadomo, czy te kluczowe dla bezpieczeństwa przepisy, wdrażające unijne regulacje dyrektywy NIS2, choć mocno spóźnione, będą miały szansę szybko wejść w życie. Z jednej strony projekt resortu cyfryzacji trafił bowiem na opór branży, która mocno naciska na złagodzenie ustawy, zaś z drugiej mówi się, że noweli może nie podpisać prezydent.

Foto: Eset, Dagma

Nowelizacja ustawy o KSC. Co zrobi prezydent Karol Nawrocki?

Może dojść do impasu, bo Krzysztof Gawkowski, wicepremier i minister cyfryzacji, nie chce zmian w projekcie, a naciski firm uważa za „lobbing”, któremu nie zamierza ulegać. Jednocześnie w rozmowie z „Rzeczpospolitą” apeluje do Nawrockiego, by nie sięgał po weto.

– Grzecznie pana prezydenta proszę, żeby wziął pod uwagę wszystkie elementy bezpieczeństwa państwa. KSC nie był nowelizowany przez lata, a to jest kwestia naszej odporności w obszarze energetyki, transportu, logistyki czy zdrowia. Jeśli prezydent jej nie podpisze, weźmie na siebie odpowiedzialność za to, co może się w Polsce wydarzyć – ostrzega wicepremier.

Czytaj więcej:

Biznes nie jest gotowy na cyfrową ochronę „po nowemu"
Raporty ekonomiczne Biznes nie jest gotowy na cyfrową ochronę „po nowemu"

Pro

Jak podkreśla, Polska jest dziś najbardziej atakowanym państwem w Unii Europejskiej. Notujemy 2-3 tysiące incydentów dziennie.

– W obszarze infrastruktury krytycznej to są dziesiątki tysięcy prób. Dotyczą każdego obszaru państwa. Świetnie się bronimy, skuteczność wynosi ponad 99 proc., ale jeśli ten 1 proc. przejdzie, skutki mogą być poważne – mówi nam Gawkowski. – Potrzebujemy większej koordynacji i większych pieniędzy na cyberbezpieczeństwo, dlatego mówię prezydentowi wprost: panie prezydencie, jest pan zwierzchnikiem Sił Zbrojnych, a cyberwojna to też pana odpowiedzialność – kontynuuje. I dodaje, że nowelizacja KSC to właśnie odpowiedź na tę wojnę.

– Albo chcemy wygrywać z Rosjanami, albo być w defensywie. Ja chcę grać o zwycięstwo – komentuje szef resortu cyfryzacji.

We wtorek na posiedzeniu Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii (CNT) odbędzie się dyskusja na temat planowanych zmian dotyczących Krajowego Systemu Cyberbezpieczeństwa, a dzień później posłowie rozpatrzą rządowy projekt. Ten podczas pierwszego czytania w Sejmie na początku grudnia nie wzbudził wielkiego zainteresowania – sala świeciła pustkami, choć to niezmiernie ważne regulacje. I mocno spóźnione, bo na transpozycję NIS2 do polskiego prawa mieliśmy czas do 17 października, ale ubiegłego roku. UE już wszczęła postępowanie w tej sprawie.

„Gold-plating” i lobbing

Nowelizowana ustawa o KSC zakłada m.in. utworzenie sektorowych CSIRT-ów (zespoły reagowania na incydenty bezpieczeństwa komputerowego, monitorujące, analizujące i reagujące na cyberzagrożenia), możliwość identyfikacji tzw. dostawców wysokiego ryzyka, czy z którym organ ds. cyberbezpieczeństwa – w razie niezastosowania się do nakazu podjęcia określonych czynności dotyczących „obsługi incydentu” – będzie mógł z dnia na dzień, bez wszczynania formalnego postępowania, wstrzymać funkcjonowanie danej firmy. Prof. Paweł Wajda z Wydziału Prawa i Administracji Uniwersytetu Warszawskiego uważa, iż projekt prowadzi do ingerencji w sferę wolności działalności gospodarczej. Jego zdaniem największe wątpliwości budzą przepisy odnoszące się do mechanizmu uznawania dostawców technologii teleinformatycznych za podmioty „wysokiego ryzyka”. Branża krytykuje też zbyt krótki termin na dostosowanie się do regulacji.

Czytaj więcej

Krzysztof Gawkowski, wicepremier i minister cyfryzacji
Biznes
Krzysztof Gawkowski: Państwo musi nałożyć chomąto na głupotę

Ale o złagodzenie projektowanych przepisów może być trudno. Minister Gawkowski nie zamierza ustępować. Jak tłumaczy w tej sprawie wszystko jest jasne od dawna.

– Prace nad tą ustawą trwają sześć lat – to chyba najdłużej procedowany akt prawny. Dyrektywa NIS2 w Unii Europejskiej też nie pojawiła się wczoraj. Rynek wiedział, co się szykuje. Wskazaliśmy terminy wymiany sprzętu, każdy, kto prowadzi firmę, wie, że w takim okresie i tak wymienia się infrastrukturę, więc gdy słyszę te głosy, odpowiadam: „lobbystom mówię nie” – zaznacza wicepremier. – Jesteśmy na cyberwojnie. Liczy się bezpieczeństwo państwa, a nie to, czy ktoś chce na tym zarobić. Skończyły się czasy pisania prawa pod czyjeś interesy, ja piszę prawo pod polskiego obywatela – dodaje nasz rozmówca.

Światełko w tunelu dla nowelizacji ustawy o KSC

Koalicja Obywatelska i Polska 2050 już zapowiedziały, że poprą nowelizację, z kolei PiS i Konfederacja krytykują projekt i chcą dalszych prac nad tymi przepisami w Sejmie. Janusz Cieszyński (PiS), były minister cyfryzacji, twierdzi, że projekt powinien trafić do połączonych komisji obrony i cyfryzacji. Nie brakuje jednak i optymistów. Według Pawła Śmigielskiego, menedżera Stormshield w Polsce, pierwsze czytanie ustawy KSC i towarzysząca mu debata napawają optymizmem z uwagi na zgodność przedstawicieli wszystkich klubów, co do znaczenia tego aktu w kontekście bezpieczeństwa państwa. – Wierzę, że to wyraźny sygnał, iż sprawa nie przyjmie charakteru politycznego, a tym samym uda się ją wyłączyć ze sporu pomiędzy rządem a pałacem prezydenckim – wskazuje.

Czytaj więcej

Ministerstwo Cyfryzacji w Warszawie
Biznes
Miało być bezpiecznie, będzie oszczędnie. Rząd majstruje przy cyberbezpieczeństwie

Przyznaje, że „pewną kością niezgody” może być kwestia Dostawców Wysokiego Ryzyka i zasady, według których ma odbywać się eliminacja zagrażających naszemu bezpieczeństwu i suwerenności rozwiązań. Jego zdaniem wyzwaniem są też pieniądze na realizację zapisów ustaw, niedawno znacznie ograniczone. Wcześniejszy projekt (przygotowany na październikowe posiedzenie Rady Ministrów) zawierał sumę wydatków przekraczającą 4 mld zł, a wedle finalnej wersji załącznika jest to już niespełna 3 mld zł. Ten ruch eksperci oceniają negatywnie. Wojciech Głażewski, dyrektor Check Point Software Technologies w Polsce, mówi wprost: to poważny sygnał ostrzegawczy.

– Cięcia budżetu na KSC mogą znacząco osłabić zdolność państwa do reagowania na cyberzagrożenia. Utrzymanie i rozwój systemów komunikacji oraz infrastruktury CSIRT to nie są „koszty administracyjne”, lecz inwestycja w bezpieczeństwo narodowe – przekonuje.

– Niemniej wykonaliśmy kolejny krok w stronę przyjęcia tego fundamentalnego aktu prawnego – podsumowuje z nadzieją Paweł Śmigielski.