Prace nad ustawą o cyberbezpieczeństwie nadal trwają, a już jest… nieaktualna

Rząd nadal pracuje nad projektem nowelizacji Ustawy i Krajowym Systemie Cyberbezpieczeństwa. W tym czasie Rada Unii Europejskiej przyjęła nowe przepisy dyrektywy NIS2, która powoduje, że polski projekt jest już nieaktualny. W tle mamy organizację aukcji częstotliwości sieci 5G, która jak się okazuje… nie potrzebuje już nowej Ustawy o KSC. Jak się w tym wszystkim połapać?
Prace nad ustawą o cyberbezpieczeństwie nadal trwają, a już jest… nieaktualna

Dyrektywa NIS2, czyli nowa dyrektywa w sprawie bezpieczeństwa sieci i systemów informatycznych

NIS2 to nowa wersja przepisów dotyczących szeroko pojętego cyberbezpieczeństwa. Obejmuje ona wiele branż, takich jak infrastruktura cyfrowa, transport, energetyka czy zdrowie. Określa minimalne zasady ram regulacyjnych, harmonizuje wymogi bezpieczeństwa i ich wdrażania, a także mechanizmy współpracy organów państw członkowskich. Obejmuje też środki zaradcze na wypadek wystąpienia incydentów bezpieczeństwa i ewentualne sankcje.

Obecna wersja przepisów (NIS) oddawała w ręce państwo członkowskich decyzję co do tego, jaki podmiot spełnia kryteria operatora usług kluczowych. Co jest kluczowe w kwestii polskiej Ustawy, do czego wrócimy. Nowa dyrektywa określa zasadę wielkości przy identyfikacji regulowanych podmiotów. A konkretnie obejmie ona wszystkie średnie i duże podmioty działające we wszystkich sektorach objętych nowymi przepisami. Dodatkowo stanowi przepisy zapewniające proporcjonalność i możliwość decydowania przez państwa członkowskie, jakie jeszcze podmioty mają zostać objęte nowymi wytycznymi.

Czytaj też: Huawei porzuca Europę. Biznesowo rozumiem, ale jako konsument mam z tym problem

Nowymi przepisami nie zostaną objęte sądy, parlamenty, banki i podmioty zajmujące się obronnością i bezpieczeństwem narodowym. Obejmą je natomiast administrację publiczną na poziomie regionalnym i centralnym. Decyzją państw będzie to, czy dojdą do tego również administracje lokalne.

Dyrektywa zawiera mechanizm wzajemnego uczenia się na podstawie wymiany dobrych praktyk i doświadczeń państw członkowskich, ale jest on dobrowolny. Więc kraje mogą, ale nie muszą dzielić się swoimi rozwiązaniami. Dobrą decyzją jest uproszczenie obowiązków sprawozdawczych dotyczących np. incydentów cyberbezpieczeństwa, aby odciążyć objęte nimi podmioty. Co też ma odniesienie do polskich przepisów.

Dyrektywa wejdzie w życie po 20 dniach od publikacji w Dzienniku Urzędowym Unii Europejskiej, a państwa członkowskie będą miały 21 miesięcy na dostosowanie do niej przepisów krajowych.

Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa powstaje w bólach. Projekt już jest nieaktualny

Projekt nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa to powiedziałbym jazda bez trzymanki, gdyby nie to, że jest to jazda na grzbiecie ślimaka. Przepisy początkowo były odpowiedzią na naciski administracji Donalda Trumpa i ich głównym zadaniem było zablokowanie sprzętu sieciowego Huawei przy budowie sieci komórkowych w Polsce. Kiedy wraz z przegraną Trumpa Stany Zjednoczone przestały być na moment naszym przyjacielem, przepisy nieco złagodzono wobec chińskich firm i dodano do nich twór w postaci operatora sieci strategicznej i spółki Polskie 5G. Co nie spodobało się niektórym frakcjom w rządzie i ministerstwa długo nie mogły dojść w tej sprawie do porozumienia. W tle cały czas przewijają się nowe obowiązki dotyczące m.in. raportowania incydentów cyberbezpieczeństwa i obowiązki nakładane np. na operatorów. Tak docieramy do października 2022 roku i ósmej lub nawet dziewiątej wersji projektu.

Czytaj też: Czy rząd dalej chce blokować Huawei? Nowe przepisy coraz bardziej dopracowane

Projekt znika po kilku godzinach w celu naniesienia kolejnych poprawek i… mamy już grudzień. Co dalej? Najnowsze doniesienia mówią, że ostateczne (które to już z kolei?) ustalenia mają pojawić się w lutym-marcu 2023 roku. Tyle tylko, że obecny projekt jest już nieaktualny i musi zostać dostosowany do dyrektywy NIS2. Szczególnie w zakresie operatora usług kluczowych, ale też obowiązków sprawozdawczych. Obecny projekt można wyrzucić do kosza, częściowo go wykorzystać i stworzyć nowy. Dzięki temu, co się obecnej władzy nie zdarza, w końcu moglibyśmy wdrożyć przepisy dotyczące szeroko pojętej cyfryzacji i telekomunikacji w wymaganym przez Unię Europejską terminie. To byłby prawdziwy cud! A mamy do tego naprawdę idealną okazję.

Pozostaje pytanie, co z aukcją częstotliwości sieci 5G? Ma dalej czekać na dostosowanie przepisów?

Czytaj też: Operator sieci strategicznej w nowej odsłonie. Idą telekomunikacyjne zmiany

Aukcja 5G już nie potrzebuje Ustawy o KSC

Aukcja częstotliwości sieci 5G, odwołana prawie 2,5 roku temu wraz z ówczesnym prezesem UKE w ramach walki z pandemią Covid-19 (nie polecam próbować zrozumieć, ale warto zerknąć w linki), do dzisiaj nie wystartowała. Cały czas słyszymy, że nie może ruszyć do momentu, w którym wdrożona zostanie nowa Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Jedno nie może istnieć bez drugiego i koniec. No nie do końca…

Okazuje się, że jednak można zrobić aukcję bez nowych przepisów. Naciski ze strony rynku mają być już zbyt duże i panuje przekonanie, że te przepisy nie zostaną wdrożone, a aukcja jest potrzebna na wczoraj. Delikatnie mówiąc. Dlatego też najnowsze doniesienia mówią, że procedura aukcyjna może wystartować jeszcze w grudniu. Urząd Komunikacji Elektronicznej już dawno powtarzał, że może wystartować z aukcją w ciągu dosłownie godzin.

Czekanie na nowe przepisy faktycznie nie ma najmniejszego sensu. Nie wiadomo, ile to potrwa. Przyjmowanie ich teraz też nie ma sensu, bo już trzeba je aktualizować. Czekanie z aukcją na aktualizację… To już kompletnie nie trzyma się kupy. Do tej pory rządzący nie mieli żadnego celu politycznego w ruszaniu z aukcją częstotliwości sieci 5G. To nie jest żadne polityczne złoto, które dałoby się sprzedać wyborcom. Ale aukcja to dodatkowe miliardy dla budżetu, które dzisiaj są bardzo potrzebne.

Jak sytuacja dalej się potoczy, tego chyba nikt nie wie. Pozostaje nam się przyglądać sytuacji z szerokim uśmiechem, bo na płacz jest już za późno.