Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa kojarzy nam się z telekomunikacją. A to błąd
Skojarzenie cyberbezpieczeństwa z telekomunikacją jest oczywiste. Cyberzagrożenia kojarzą nam się z Internetem, a za ten odpowiada właśnie branża telekomunikacyjna. W zasadzie też tego dotyczyło poprzednich, bodajże 15 wariantów projektu. Jeśli jednak się zastanowimy, znaczne rozszerzenie branż objętych Ustawą ma sens.
Pamiętajmy, że żyjemy w 2024 roku, gdzie wiele branż od dawna jest mocno scyfryzowanych. Znacznie większe szkody może nam wyrządzić cyberatak na przedsiębiorstwa wodne czy producentów żywności, niż atak na operatora komórkowego. Wyobraźmy sobie sytuację, w której w wyniku ataku do żywności dostaje się zbyt duża ilość substancji, która może nam zaszkodzić i katastrofa gotowa. Tym bardziej że zagrożenie cyberatakiem ze wschodu, nie mylić z zagrożeniem cybernetycznym, co palnął ostatnio jak kulą w płot minister cyfryzacji Krzysztof Gawkowski, a co bezrefleksyjnie powielają kolejne duże media, jest realne.
Dlatego też rozszerzenie liczby branż objętych nowymi przepisami jest dobrym, ale czy rozsądnym, w obecnej sytuacji, posunięciem?
Czytaj też: Rząd przyjął Prawo Komunikacji Elektronicznej. Będzie można odzyskać środki z numeru na kartę
Czas goni, tylko na które ponaglenie powinniśmy zwracać większą uwagę?
Wdrożenie nowych przepisów ma dwóch poganiaczy. Pierwszy to wspomniane realne zagrożenie. Drugi to unijne kary, które kosztują nas 50 tys. euro dziennie. Czy taki podwójny pośpiech może nam wyjść na dobre? W drugim przypadku tak. Przepisy muszą być wdrożone szybko, żeby mieć problem z głowy. W pierwszym mam spore wątpliwości.
Branże, które obejmą nowe przepisy, niekoniecznie muszą być na nie gotowe. Przypomnijmy, że nowelizacja Ustawy wprowadza możliwość uznania dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka oraz konieczność wymiany. Chodzi oczywiście o dostawców chińskich. Firmy telekomunikacyjne od dawna znają temat i są w mniejszym lub większym stopniu na to przygotowane. Pozostałe, a przypomnijmy, że nowe przepisy obejmą m.in. 1249 firm zajmujących się zdrowiem, 1204 żywnością, 268 wodą pitną, 102 kanalizacja, czy 1120 produkcją z wyłączenie wyrobów medycznych, nie do końca.
Ile sprzętu i oprogramowania firm, które mogą zostać uznane za dostawców wysokiego ryzyka działa we wspomnianych przedsiębiorstwach? Nie wiadomo. Jakie będą koszty wymiany? Nie wiadomo. Kto za to zapłaci? No pewnie my, ale nie w tym jest problem. Problemem jest powielanie błędów poprzedniej władzy, która nie uwzględniała tego typu kwestii w ocenie ryzyka wdrożenia przepisów. Nowa władza robi dokładnie to samo.
Czytaj też: W Marrakeszu są sztuczne palmy. Potrzebujemy takich w Polsce
Konsultacje społeczne, na które nie mamy czasu
O powyższą wiedzę możemy być bogatsi, jeśli w tej kwestii wypowiedzą się zainteresowane firmy. Niektóre z nich być może nawet nie wiedzą, że mogą ich czekać takie zmiany. Co słusznie wskazuje w felietonie dla Telko.In Piotr Mieczkowski. Czasu na konsultacje społeczne jest bardzo mało i może go nie starczyć dla wszystkich.
Czy w ogóle mamy czas na wydłużone konsultacje? Niekoniecznie. Dlatego też być może lepszym rozwiązaniem będzie wdrożenie przepisów w okrojonym wymiarze, a następnie ich rozszerzenie, ale już w nieco spokojniejszym tempie, po gruntownych konsultacjach.
Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa to jedno wielkie pole minowe. Musi być przyjęta do 17 października, inaczej będą nas czekać kolejne kary ze strony unijnych organów. Wydaje się też, że musi być przyjęta przed jesiennymi wyborami w Stanach Zjednoczonych, bo w przypadku wygranej Donalda Trumpa mogą powrócić naciski na wykluczenie chińskich firm, które dyktowały powstanie pierwszych wersji projektu nowelizacji Ustawy. A wszystko to musi być zrobione tak, aby zadbać o interes polskich firm. Nie ma lekko, ale nikt nie mówił, że sprzątania po ośmiu latach partactwa i czterech demolki cyfrowej legislacji będzie prostym zadaniem.