Z budżetem?
Budżet będzie zależał od ostatecznej koncepcji. Obecnie skłaniamy się ku temu, aby powołać miejsce składające się z wielu różnych podmiotów, które będzie koordynowało wydatki na sztuczną inteligencję. Z wyraźnym wskazaniem, że chcemy inwestować w polskie firmy.
Gdybyśmy prowadzili innowacyjną firmę działającą w obszarze AI, to na co i od kiedy moglibyśmy liczyć?
Po pierwsze, od stycznia 2025 r. przedsiębiorcy będą mogli składać wnioski o dofinansowanie w ramach dwóch perspektyw, które zagwarantowało Ministerstwo Cyfryzacji wraz z Bankiem Gospodarstwa Krajowego. Pierwsza ścieżka obejmuje wnioski na kwoty do 20 mln zł, a druga – na kwoty 20–120 mln zł.
Pełna pula środków, którą chcemy przeznaczyć na dofinansowanie w ciągu dwóch lat, wynosi 2,8 mld zł. Na szczególne zainteresowanie tymi funduszami namawiamy małe i średnie firmy, ale nie odstraszamy również dużych przedsiębiorstw, ponieważ mogą się one ubiegać o środki z większych pul.
Ubiegać na jaki cel?
Transformacja cyfrowa firm, rozwój sztucznej inteligencji, chmura obliczeniowa oraz wykorzystanie danych do poszerzania możliwości rozwoju przedsiębiorstw, na przykład poprzez algorytmy.
Marzy się panu polski ChatGPT.
Pracujemy nad takim modelem i go finansujemy. Dla mnie sztuczna inteligencja to kluczowa technologia. To jest przyszłość Polski. Szybciej zbudujemy część usługową, która da nam przewagę w Europie, niż stworzymy dużą polską firmę, która stanie się liderem w Europie, a potem, daj Boże, na świecie.
I jeszcze jednorożec się marzy.
Życzyłbym sobie tego. Zresztą jak patrzę na prywatne biznesy, to wiem, że w Polsce mamy odważnych ludzi. Tylko że oni już nie potrzebują finansowania, lecz stabilnego prawa i mniej regulacji. Dlatego chcemy wdrażać AI Act, pokazując jednocześnie jego perspektywę. Aby nie zmieniać go na bieżąco ani nie wprowadzać po drodze fragmentarycznych modyfikacji. Mam też nadzieję, że w czasie naszej prezydencji w Unii Europejskiej przekonamy innych do ograniczenia nadmiernych regulacji w zakresie cyfryzacji.
Europa może się nie chcieć dać przekonać.
Ale ja już to im mówiłem. Nadmierne regulacje powodują, że firmy zaczynają się zastanawiać, czy warto inwestować w Unii Europejskiej. Konieczne jest zapewnienie stabilności i komfortu, że istniejące regulacje będą implementowane w spokojnym tempie, bez wprowadzania po drodze kolejnych przepisów. To wszystko odstrasza przecież inwestorów.
Polska jest dziś najbardziej atakowanym krajem w Unii Europejskiej – odnotowujemy dziesiątki tysięcy cyberataków rocznie, a w tym roku może przekroczymy nawet 100 tys. incydentów, które wymagają reakcji
Chciałbym również, aby w trakcie naszej prezydencji jednym z kluczowych tematów dla liderów państw europejskich stało się cyberbezpieczeństwo. We wszystkich wymiarach: wspólnym unijnym finansowaniu, zintegrowaniu stref cywilnej i wojskowej oraz wypracowaniu wspólnej strategii, która wychodzi poza granice poszczególnych państw. Polska jest dziś najbardziej atakowanym krajem w Unii Europejskiej – odnotowujemy dziesiątki tysięcy cyberataków rocznie, a w tym roku może przekroczymy nawet 100 tys. incydentów, które wymagają reakcji.
Chciałbym, aby wszyscy w Europie dostrzegli wagę tego problemu, bo dziś atakowana jest Polska, jutro mogą to być Niemcy, a później Francja. Jeśli nie będziemy działać wspólnie, stanie się to problemem dla całej Europy. Rosja i Chiny koordynują swoje działania z innymi państwami – my również musimy podjąć podobne kroki w ramach Unii Europejskiej.
Polskie systemy zabezpieczeń cybernetycznych są bardzo dobre i solidne, nie mamy się czego wstydzić. Znajdujemy się w ścisłej czołówce, wśród pięciu najlepiej zorganizowanych państw na świecie w zakresie ochrony cybernetycznej.
A my się tylko chronimy czy również atakujemy?
Obszary defensywne są dla nas priorytetem, jesteśmy w nich bardzo skuteczni. Rozwijamy zdolności ofensywne, ale ich nie wykorzystujemy.
Bronimy się przede wszystkim przed atakami ze Wschodu?
Relacje w cyberprzestrzeni, zwłaszcza w kontekście cyberwojny, są zmienne. Największe nasilenie ataków było w okresie przed wyborami do Parlamentu Europejskiego. Po wakacjach nastąpiło osłabienie, potem we wrześniu znów doszło do wzmocnienia, aby teraz trochę się uspokoić.
Wszystkie służby raportują, że cyberataki w Polsce znowu nasilą się przed wyborami prezydenckimi w przyszłym roku. Dlatego już teraz skalujemy naszą ochronę w cyberprzestrzeni, przygotowując się na największe problemy, które pojawią się w pierwszym kwartale 2025 r. Jesteśmy dzisiaj, i to mówią wszystkie służby zaprzyjaźnione w Europie i na świecie, celem numer jeden dla Rosji.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa jest jednym z elementów naszej ochrony?
Jest to dla nas fundamentalna ustawa, ponieważ przez ostatnie pięć lat w Polsce nic nie zrobiono w tym zakresie. Dyrektywa NIS-2, która jest kompatybilna z ustawą Krajowego Systemu Cyberbezpieczeństwa, musi w końcu zostać wprowadzona w Polsce, aby stała się obowiązującym prawem. Dzięki temu będziemy mogli uczciwie powiedzieć, że mamy kontrolę nad dostawcami sprzętu i unikniemy sytuacji, w której nie mamy pewności, czy nie wysyłają oni danych za granicę i nas nie szpiegują. To wszystko ma kluczowe znaczenie dla bezpieczeństwa państwa oraz w kontekście zagrożeń ze strony atakujących, o których wspomnieliśmy.
I tu dochodzimy do sprawy, którą opisywaliśmy w „Rzeczpospolitej”. Ministerstwo Cyfryzacji, podległe Lewicy, zaakceptowało poprawkę zgłoszoną przez organizację biznesową, kierowaną przez byłego działacza SLD. Dzięki temu firmy w niej zrzeszone będą mogły sporo zarobić. Oto bowiem około jednej trzeciej z ponad 44,5 tys. stacji bazowych łączności bezprzewodowej w Polsce wyposażone jest w sprzęt chińskiej firmy Huawei. Przyjęcie poprawki może oznaczać, że trzeba będzie je wyposażyć na nowo.
Krajowy System Cyberbezpieczeństwa jest najbardziej przejrzystą ustawą, jaka mogłaby być, jeśli chodzi o proces jej tworzenia.
Po pierwsze, nie weszła ona w etap prac rządowych, jak to się dzieje w przypadku innych projektów, gdzie pojawiają się różne zgłoszenia od izb. Po drugie, zgłoszono nam ponad tysiąc stron uwag, które zostały opublikowane. Proces ten odbył się w kwietniu, a przez trzy miesiące prowadziliśmy szerokie konsultacje. W tej sprawie naprawdę nikt nie ma sobie nic do zarzucenia, szczególnie jeśli chodzi o prace dotyczące segmentu wpływającego na rynek.
W kontekście zapisów w ustawie chodzi o kwestie związane z tzw. dostawcami wysokiego ryzyka. Wprowadzenie takiego zapisu pozwoliłoby polskiemu państwu na podjęcie decyzji, że dany dostawca jest nieuczciwy, bo na przykład nie wiemy, czy w produkowanym przez niego sprzęcie nie ma ukrytych zagrożeń, które mogą prowadzić do wycieków danych.
Ta ustawa nie jest wymierzona przeciwko żadnemu państwu ani żadnej firmie. W ustawie nie będą znajdować się żadne takie zapisy. Z drugiej strony wprowadziliśmy bardzo ważny mechanizm – możliwość odwołania się do sądu.
Od samego początku, kiedy objąłem stanowisko w ministerstwie, moim priorytetem było wprowadzenie zapisu dotyczącego dostawców wysokiego ryzyka. Nie zrezygnuję z tego zapisu, ponieważ uważam, że jest to kluczowe dla bezpieczeństwa państwa. Zrezygnowanie z tego zapisu byłoby po prostu błędne. Jeśli ktoś ma wątpliwości co do tego zapisu, zapraszam do udziału w konsultacjach i rozmowach, które jeszcze się odbędą. Chciałbym podkreślić, że przy żadnej poprawce, w tym także tej, nie było żadnego lobbingu.
Ta zmiana, o której pisaliśmy, sprowadzała się do wykreślenia sformułowania „5G” w opisie sprzętu, który podlega wymianie, w przypadku uznania, że jego producent jest tzw. dostawcą wysokiego ryzyka. To 5G zostanie w końcu przywrócone?
Krytyczne funkcje w zakresie urządzeń sieci lokalnej, radiowej oraz sieci dostępowej odnoszą się do sieci 5G. Niezależnie od tego brak urządzenia na liście funkcji krytycznych nie oznacza, że nie może ono podlegać decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka. Decyzja, jeśli zostanie wydana, musi jasno określać konkretne typy produktów, rodzaje usług lub konkretne procesy ICT, co stanowi zabezpieczenie, aby zapewnić, że nikogo nie dotknie bezpodstawnie.
I to właśnie ten wątek budzi najwięcej problemów, ponieważ wiele firm obawia się, że w przypadku wskazania dostawców, którzy mogliby zostać uznani za nieuczciwych, będą musiały ponieść znaczące koszty.
Do ustawy będzie załączona lista takich dostawców?
Nie będzie takiej listy.
Kto będzie w takim razie uznawał ich za dostawców wysokiego ryzyka?
Decyzję podejmie minister cyfryzacji we współpracy z Kolegium do spraw Cyberbezpieczeństwa, a jej weryfikacja będzie możliwa przez sądy.
Czyli pan będzie podejmował decyzje.
Decyzje będą podejmowane przez sądy, natomiast minister cyfryzacji wraz z Kolegium do spraw Cyberbezpieczeństwa będzie wskazywał ryzykownych dostawców. Kolegium to gremium ekspertów z różnych służb, takich jak Agencja Bezpieczeństwa Wewnętrznego, Ministerstwo Spraw Wewnętrznych, SKW, SWW, wojsko oraz inne instytucje dbające o bezpieczeństwo Polski. To nie są decyzje jednoosobowe, ale uzgodnienia wielu specjalistów odpowiedzialnych za ochronę kraju.
Pan ma już swoją prywatną listę tego typu firm i krajów?
Nie chodzi o tworzenie list krajów ani firm. Uważam, że w Polsce należy zapewnić bezpieczeństwo, ale takie decyzje muszą dotyczyć rzeczywistych podmiotów, a nie hipotetycznych przypadków.
Ile będzie kosztowało w takim razie zapewnienie nam tego bezpieczeństwa, czyli wyrugowanie z polskiej przestrzeni sprzętu i rozwiązań dostawców określonych mianem wysokiego ryzyka?
To mogą być miliardy złotych, ale wszystko zależy od tego, czy rzeczywiście jakieś firmy zostaną objęte procedurą i czy niezależne sądy orzekną, że stanowią one zagrożenie dla bezpieczeństwa Polski.
Koszty będą zależeć od udziału takiej firmy czy urządzenia w rynku. Przecież przez lata nikt nie sprawdzał, czy sprzęt rzeczywiście spełniał wymogi bezpieczeństwa. Teraz nadchodzi czas, by to zmienić. Ustawa najprawdopodobniej wejdzie w życie dopiero w 2026 r., po vacatio legis. Po tym okresie przewidzieliśmy siedem lat na wymianę sprzętu w przypadku podjęcia decyzji o wskazaniu danego dostawcy za dostawcę wysokiego ryzyka, co przesuwa nas poza rok 2030. Wiem również, że już teraz wielkie korporacje rozpoczynają wymianę technologii, ponieważ sprzęt jest systematycznie odnawiany. Więc jak ktoś chce mieć świadomość, że kupuje coś dobrego, to niech sprawdza jego certyfikację.
Wysyła pan teraz też sygnał do biznesu, że lepiej sprawdźcie, co będziecie kupować, żebyście nie mieli problemów za te siedem lat?
Jasny i czytelny. Raz jeszcze, ustawa przewiduje siedmioletni okres przejściowy, aby nikt nie musiał się obawiać, że już wkrótce będzie zobowiązany do wymiany swoich urządzeń. Co więcej, ustawa nie obejmie małych firm o przychodach do 10 mln zł, ponieważ uznajemy, że trzeba je chronić przed dodatkowymi obciążeniami.
Ale z drugiej strony, jak się nam zbierze cała masa takich małych firm, w których będą urządzenia od dostawców uznanych za krytycznych, to będziemy mieć duży problem.
Znamy rynek i jesteśmy świadomi problemów, wiemy, kto i kiedy dokonywał zakupów, jak wygląda jego sytuacja rynkowa. W Polsce cyberbezpieczeństwo musi się stać priorytetem. Ataki ze strony Rosji, współpraca Rosji z innymi państwami, wciągnięcie Białorusi w tę cyberwojnę przeciwko Polsce – nie można przymykać na to oczu.
Gdybym dziś zamknął na to oczy, miałbym poczucie zdrady stanu. Albo polski minister cyfryzacji bierze odpowiedzialność, wychodzi i mówi: „Biorę to na siebie, podejmuję walkę o ten zapis”, albo niszczy Polskę. W mojej opinii lepiej byłoby ustąpić z tego stanowiska, niż nie wprowadzić tak ważnego przepisu.
Jeśli się to panu nie uda, odejdzie pan z rządu?
Jeżeli ktokolwiek zdecydowałby się, żeby wykreślić z ustawy dostawców wysokiego ryzyka, to myślę, że czas Krzysztofa Gawkowskiego w Ministerstwie Cyfryzacji się skończy.
