Nowe przepisy o cyberbezpieczeństwie. Eksperci: to będzie sąd kapturowy

Polska musi pilnie znowelizować ustawę o cyberbezpieczeństwie. Jeśli zrobi to według przygotowanego przez resort cyfryzacji projektu, do systemu prawnego zostaną wprowadzone rozwiązania korupcjogenne, które w najmniejszej mierze nie podniosą poziomu bezpieczeństwa kraju – ostrzegają eksperci.

Publikacja: 03.10.2024 15:45

Nowe przepisy o cyberbezpieczeństwie. Eksperci: to będzie sąd kapturowy

Foto: Adobe Stock

rbi

Pilna nowelizacja ustawy o cyberbezpieczeństwie jest konieczna ze względu na konieczność implementacji do polskiego systemu prawnego unijnej dyrektywy NIS 2 (Network and Information Systems Directive 2). Termin minie 17 października.

Czytaj więcej:

Biznes

Nowe obowiązki dla sektora komunikacji elektronicznej na niechciane połączenia

Pro

NIS 2 ustanawia ogólne standardy w zakresie cyberbezpieczeństwa jednostek krytycznych dla funkcjonowania społeczeństwa UE oraz określa nowe zasady bezpieczeństwa dla operatorów usług kluczowych nie tylko w sektorze publicznym, ale również w prywatnym: w energetyce, bankowości czy opiece zdrowotnej. Tymczasem w Polsce projekt nowelizacji ustawy o cyberbezpieczeństwie zakłada, że nowymi regulacjami, oprócz podmiotów wskazanych bezpośrednio w NIS 2, objęte będą: administracja publiczna w zakresie zdecydowanie bardziej rozszerzonym niż zakłada to dyrektywa oraz m.in.: sektor farmaceutyczny i instytucje edukacyjne.

- Projekt nowelizacji ustawy implementującej NIS 2 do polskiego systemu prawnego zawiera przepisy surowsze od tych zawartych w treści dyrektywy – mówi dr hab. Marcin Górski, wykładowca na wydziale prawa i administracji Uniwersytetu Łódzkiego, specjalista w zakresie prawa europejskiego.

Jako przykład wskazuje zawarte w ustawie skrócenie do 7 dni kalendarzowych terminu na podanie informacji, czy dany podmiot należy kwalifikować jako kluczowy lub ważny z punktu widzenia bezpieczeństwa państwa.

W rezultacie przedsiębiorca będzie musiał stanąć na głowie i wdrożyć zalecenia, najpewniej płacąc za audyt nieporównywalnie więcej niż dotychczas

dr hab. Marcin Górski

- Można sobie wyobrazić firmę produkującą zaawansowane elektronicznie produkty, do której trafia takie wezwanie, np. przed długim weekendem - mówi Marcin Górski. – Pracownicy na urlopach, wypełnienie formularza wymaga pracy i wiedzy wielu osób, jest po prostu niewykonalne – dodaje.

Zauważa też, że dyrektywa NIS 2 po przeprowadzonym audycie przedsiębiorstwo wprowadza zalecenia w rozsądnym terminie. - Natomiast polski projekt implementacji NIS 2 zakłada, że termin na realizację zaleceń audytora określa audytor. W rezultacie przedsiębiorca będzie musiał stanąć na głowie i wdrożyć zalecenia, najpewniej płacąc za audyt nieporównywalnie więcej niż dotychczas, bo popyt na audytorów będzie się zwiększał w gwałtownym tempie .– dodaje.

Firmy wykluczone z rynku na podstawie decyzji urzędników

W ocenie eksperta projekt ustawy implementującej NIS 2 wprowadza również do polskiego systemu prawnego rozwiązania, których ta dyrektywa w ogóle nie przewiduje.

- To metoda tzw. goldplatingu - pozłacania, czyli wprowadzania zupełnie nowych rozwiązań równolegle z wdrażaniem unijnych regulacji – mówi Marcin Górski. – Jednym z tych, które w projekcie nowelizacji o cyberbezpieczeństwie budzą bodaj największe wątpliwości, jest przyznanie ministrowi cyfryzacji uprawnień do orzekania, kto jest dostawcą wysokiego ryzyka – dodaje.

Czytaj więcej:

Biznes

Skomplikowane losy reformy krajowych przepisów o cyberbezpieczeństwie

Pro

Jak wyjaśnia, ustawodawca nie podaje żadnych kryteriów, na podstawie których minister cyfryzacji oceniałby, czy daną firmę można zaliczyć do grupy dostawców wysokiego ryzyka.

- Minister cyfryzacji dostaje rolę arbitra nieskrępowanego żadnymi przesłankami, na podstawie który wydaje decyzje administracyjną – mówi Marcin Górski. – Jego decyzja jest natychmiastowo wykonalna. Naturalnie, przedsiębiorca będzie mógł ją zaskarżyć w sądzie administracyjnym. Ale sądy administracyjne badają sprawy pod kontem zgodności decyzji z prawem, a nie faktografii. Na dodatek w wielu przypadkach przesłanki, na podstawie których będzie opierał się szef resortu cyfryzacji będą miały charakter niejawny i strony nie będą mogła ich ponieść w trakcie postępowania – dodaje.

O tym, który dostawca dostanie status wysokiego ryzyka ma rozstrzygać wąskie grono urzędników według nieokreślonych prawem zasad

dr hab. Marcin Górski

Zwłaszcza że uznanie danego przedsiębiorcy za dostawcę wysokiego ryzyka będzie równoznaczne z całkowitym wykluczeniem go z działalności na polskim rynku. - Zgodnie z projektem nowelizacji dotychczasowi kontrahenci dostawcy ze statusem wysokiego ryzyka będą musieli zerwać z nim dotychczasowe kontrakty, dostaną zakaz utrzymywania z nim stosunków handlowych – mówi. – Jeśli weźmiemy pod uwagę czas trwania postępowań sądowych w Polsce, można stwierdzić, że firmy zakwalifikowane jako dostawcy wysokiego ryzyka zostaną pozbawione efektywnego środka ochrony prawnej. Mogą zostać zdewastowane przez arbitralną decyzje ministra cyfryzacji, podjętą w pewnej mierze na podstawie informacji niejawnych – dodaje.

Projekt nowelizacji ustawy o cyberbezpieczeństwie tworzy de facto instytucję sądu kapturowego

Ekspert zauważa, że projekt nowelizacji ustawy o cyberbezpieczeństwie tworzy de facto instytucję sądu kapturowego. – O tym, który dostawca dostanie status wysokiego ryzyka ma rozstrzygać wąskie grono urzędników według nieokreślonych prawem zasad – mówi. – Przypuszczam, że resort cyfryzacji i legislatorzy nie mają złych intencji i chcą wprowadzić ustawę, która podniesie poziom bezpieczeństwa w Polsce. Można sobie jednak wyobrazić, że za kilka lat właściciele i zarząd pewnej formy wpłacą maksymalne kwoty na fundusz wyborczy konkretnej partii politycznej. Następnie należący do tej partii minister cyfryzacji uzna za dostawcę wysokiego ryzyka firmę konkurencyjną dla tej, która hojnie dotowała partię władzy. Ustawodawca powinien brac pod uwagę zaistnienie tego typu ryzyka – ostrzega Marcin Górski.

Estonia zabiezpieczyła się przed cyberterroryzmem

Z kolei w ocenie Andrzeja Sadowskiego, prezydenta Centrum im. Adama Smitha rozwiązaniami dyskrecjonalnym, a do takich zalicza projekt nowelizacji implementującej dyrektywę NIS, nie da się podwyższyć poziomu cyberbezpieczeństwa w Polsce.

- O pozycji państw na świecie decydują dziś w ogromnej mierze technologie, którymi dysponują – mówi. – Niektóre państwa absorbują technologie ze wszystkich możliwych miejsc, adoptując je na własne potrzeby i udoskonalając. Przykładem państwa otwartego na technologie z całego świata jest Izrael, który oprócz tworzenia własnych adoptuje je do własnych celów – dodaje Andrzej Sadowski.

Czytaj więcej

Opinie Prawne

Blockchain: przed Polską prawdziwe szanse

Blockchain doceniany jest już m.in. w usługach prawnych, służbie zdrowia, handlu czy administracji publicznej. A możemy zyskać jeszcze więcej na zwiększonej wydajności wynikającej z bezpośredniej aplikacji technologii w świadczeniu usług rządowych czy rozwiązania adaptowane w sektorze prywatnym – zauważają eksperci.

W jego ocenie nawet technologie najistotniejsze znaczenie ma konkurencyjność i jakość technologii oraz umiejętność ich bezpiecznego zastosowania, a nie miejsce, z którego pochodzi.

- Kupujemy przecież technologię, a nie firmę, która ją posiada – mówi Andrzej Sadowski. – Jeśli wprowadzimy kryterium państwa pochodzenia przy wyborze dostawców technologii, eliminujemy te, które mogą okazać się najbardziej konkurencyjne. Tymczasem nawet technologie z państw uchodzących za nieprzyjazne można zaadaptować tak, by nie stanowiły zagrożenia dla bezpieczeństwa państwa – uważa Andrzej Sadowski. Prezydent Centrum im. Adama Smitha wskazuje na przykład Estonii, która po wejściu do Unii Europejskiej w reakcji na cyberterroryzm w roku 2007 ze strony Rosji zastosowała powszechnie kryptograficzną technologię blockchain.

Dzięki właściwemu zastosowaniu nowoczesnej technologii Estonia zabezpieczyła się przed agresją Federacji Rosyjskiej tworząc cyfrowe kopie swojego państwa w chmurze na serwerach zlokalizowanych różnych kontynentach

- Tę kojarzoną z kryptowalutami technologię Estonia zastosowała szeroko w administracji państwowej – opisuje Andrzej Sadowski. – Blockchain umożliwia integracje integrację bardzo różnych systemów informatycznych w jeden. Dzięki temu estoński systemu opieki zdrowotnej należy do najsprawniejszych na świecie. W przypadku gdy w tym państwie ktoś np. zasłabnie na ulicy, to pogotowie od momentu zgłoszenia dysponuje pełną informacją medyczną na jego temat i dzięki temu wiadomo, jakiego rodzaju pomoc należy zastosować – zaznacza Sadowski. Dodaje, że aż 95 proc. usług urzędowych w Estonii jest dostępnych online, w tym można również głosować, rejestrować samochody i noworodki, co oszczędza czas obywatelom, bo formalności zajmują zaledwie kilka minut.

Andrzej Sadowski zauważa też, że dzięki właściwemu zastosowaniu nowoczesnej technologii Estonia zabezpieczyła się przed agresją Federacji Rosyjskiej tworząc cyfrowe kopie swojego państwa w chmurze na serwerach zlokalizowanych różnych kontynentach. - Są tam umieszczone kopie wszystkich hipotek, aktów urodzenia, zgonów – komplet dokumentów, dzięki którym można zarządzać państwem z zagranicy dzięki „ciągłości cyfrowej” po potencjalnym zajęciu go przez Federację Rosyjską – mówi ekspert.

Rozwiązania korupcjogenne i niebezpieczne

W ocenie Andrzeja Sadowskiego twórcy projektu nowelizacji ustawy o cyberbezpieczeństwie błędnie założyli, że poziom bezpieczeństwa Polski można podnieść, wprowadzając do systemu prawnego mechanizm arbitralnej oceny dostawców technologii przez administrację rządową.

Wprowadzanie rozwiązań arbitralnych i dyskrecjonalnych ocen dostawców technologii jest z praktyki korupcjogenne i tym samym samo w sobie stanowi zagrożenie dla bezpieczeństwa narodowego wystawiając je na bardzo silną korupcj

Andrzej Sadowski, prezydent Centrum im. Adama Smitha

- Kwalifikacja dostawców technologii pod kątem bezpieczeństwa na podstawie decyzji administracyjnych może pozbawić Polskę dostępu do najbardziej konkurencyjnych technologii. W rezultacie może doprowadzić do chaosu w wielu obszarach, nie tylko gospodarczych, bo m.in. w ochronie zdrowia, gdyż korzystamy sprzętu z państw azjatyckich, który jest czasami wielokrotnie tańszy od pochodzącego z Europy – mówi Andrzej Sadowski. – Ponadto wprowadzanie rozwiązań arbitralnych i dyskrecjonalnych ocen dostawców technologii jest z praktyki korupcjogenne i tym samym samo w sobie stanowi zagrożenie dla bezpieczeństwa narodowego wystawiając je na bardzo silną korupcję, która pojawi się w sytuacji, kiedy nie będzie możliwa otwarta konkurencja na rozwiązania technologiczne – podsumowuje prezydent Centrum im. Adama Smitha.

Osoby Krzysztof Gawkowski cyberbezpieczeństwo

Polityka

Polscy żołnierze na Ukrainie? Jednoznaczna deklaracja Radosława Sikorskiego

- Nic, co dotyczy Ukrainy, nie powinno odbywać się bez Ukrainy i Europy - mówił w czasie spotkania szefów MSZ Niemiec, Polski, Francji, Włoch i Hiszpanii oraz Wielkiej Brytanii w Berlinie minister Radosław Sikorski. W niemieckiej stolicy jest też szefowa europejskiej dyplomacji, Kaja Kallas.

Materiał Promocyjny

Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę

Polityka

Nie będzie kredytu 0 proc. Chaos w polityce mieszkaniowej się pogłębia

Minister rozwoju Krzysztof Paszyk ogłosił w czwartek rano, że rząd nie wprowadzi kredytu 0 proc. Czy to koniec wielkich obietnic koalicji? Jak rząd Donalda Tuska radzi sobie w polityce mieszkaniowej? Czy to był stracony rok? W przededniu rocznicy powołania rządu w podcaście „Rzecz w tym” osiągnięcia gabinetu Donalda Tuska podsumowuje Adam Roguski.

Prokuratura zarzuca Michałowi K. udział w zorganizowanej grupie przestępczej

Polityka

Były szef RARS ma jednak szansę na list żelazny. Sąd podważa sprzeciw prokuratora

Michał K., były szef Rządowej Agencji Rezerw Strategicznych, nie traci nadziei na uzyskanie tzw. listu żelaznego, który pozwoli mu cieszyć się w Polsce wolnością. Sąd apelacyjny podważył właśnie interpretację przepisu wprowadzonego za rządów PiS, który w założeniu miał dawać w tej kwestii ostatnie słowo prokuraturze. Gra o list żelazny zaczyna się więc od nowa.

Polityka

Beata Szydło o Karolu Nawrockim: Grupa osób, która go kojarzyła, była niewielka

On musi w tej chwili zbudować swoją rozpoznawalność. Takiego etapu nie musieliby przechodzić kandydaci, którzy byliby znanymi politykami - mówiła w rozmowie z Radiem Plus była premier, a obecnie europosłanka PiS Beata Szydło, komentując przebieg prekampanii wyborczej prezesa IPN Karola Nawrockiego, który startuje w wyborach prezydenckich z poparciem PiS.

Materiał Promocyjny

Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite

Bank wspiera rozwój pasji, dlatego miał już w swojej ofercie konto gamingowe, atrakcyjne wizerunki kart płatniczych oraz skórek w aplikacji nawiązujących do gier. Teraz, chcąc dotrzeć do młodych, stworzył w ramach trybu kreatywnego swoją mapę symulacyjną w Fortnite, łącząc innowacyjną rozgrywkę z edukacją finansową i udostępniając graczom możliwość stworzenia w wirtualnym świecie własnego banku.

Kandydat Komitetu Obywatelskiego w przyszłorocznych wyborach na prezydenta RP, popierany przez Prawo

Polityka

Nawrocki zdecydował. Przedstawił „obywatelską rzeczniczkę obywatelskiego kandydata”

- Mam wielką przyjemność i ogromny zaszczyt przedstawić nową obywatelską rzeczniczkę obywatelskiego kandydata na prezydenta Rzeczypospolitej Polskiej - mówił w Tomaszowie Mazowieckim Karol Nawrocki. Kim jest wybrana przez prezesa IPN Emilia Wierzbicki?

Materiał Promocyjny

Jaecoo J7 w leasingu od 1670 zł/mies.

Polityka

Polscy żołnierze na Ukrainie? Jednoznaczna deklaracja Radosława Sikorskiego

Prawo karne

Prokuratura: poseł PiS Marcin Romanowski ścigany listem gończym

Prokuratura wystawiła w czwartek list gończy za Marcinem Romanowskim. Były wiceminister w rządzie PiS ma trafić na trzy miesiące do aresztu. Jest podejrzany w śledztwie dotyczącym nieprawidłowości w Funduszu Sprawiedliwości.

Prawnicy

Wiadomo, kto zastąpił Ewę Wrzosek

Prokurator Generalny Adam Bodnar powołał nowego członka Krajowej Rady Prokuratorów. Odwołaną w środę Ewę Wrzosek zastąpi prokurator Justyna Brzozowska.

Opinie Prawne

Iwona Gębusia: Polsat i TVN – dostawcy usług medialnych czy strategicznych?

Wysoce ryzykowne jest zamieszczenie Polsatu i TVN w wykazie firm strategicznych Polski na podstawie rozporządzenia z uwagi na wtórną w tym stanie faktycznym działalność telekomunikacyjną, a nie podstawową – medialną (audiowizualną).

Polityka

Donald Tusk po spotkaniu z Emmanuelem Macronem: To wyborcy będą wybierali prezydentów, a nie Putin

Rozmawialiśmy o zagrożeniu ingerencji rosyjskiej w nasze procesy demokratyczne, dziękuję za zrozumienie, mamy ten sam pogląd. W Polsce i we Francji to wyborcy będą wybierali prezydentów, a nie Kreml i nie Putin - mówił po spotkaniu z Emmanuelem Macronem premier Donald Tusk.

Komentarze

Rusłan Szoszyn: Broń atomowa na Białorusi to problem dla Aleksandra Łukaszenki, nie dla Polski

Paranoja i chęć zachowania władzy. To są prawdziwe powody, dla których Aleksandrowi Łukaszence śpieszy się z rozmieszczeniem najnowszej rosyjskiej broni atomowej w swoim kraju. I białoruski dyktator staje się jej zakładnikiem.

Przestępczość

„Największy akt łaski w ciągu jednego dnia”. Niespodziewany ruch Joe Bidena

Kończący urzędowanie prezydent USA Joe Biden skorzystał z przysługującego mu uprawnienia i złagodził wyroki dotyczące 1500 osób, odbywających karę pozbawienia wolności w aresztach domowych. Ułaskawił także 39 osób skazanych za przestępstwa bez użycia przemocy - podała agencja AP. Prezydent zapowiedział, że w nadchodzących tygodniach będzie kontynuował przegląd petycji o ułaskawienie. To największy taki akt łaski podjęty w ciągu jednego dnia - zauważa agencja.