Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa z kolejnymi opóźnieniami. Wprowadza więcej, niż powinna
Czas płynie nieubłaganie i zaraz minie pół roku od zaprezentowania projektu Ustawy o Krajowym Systemie Cyberbezpieczeństwa numer… szesnaście? Siedemnaście? Nie zdziwię się, jeśli w samym Ministerstwie Cyfryzacji nie wszyscy potrafią to policzyć.
Poprzednia władza podchodziła do tematu bardzo nieudolnie i w wyniku, najpierw amerykańskiego lobbingu, następnie w walce o własne wpływy i interesy, wprowadzała do projektu kolejne niezbyt udane zapisy. Wydawać by się mogło, że zmiana władzy wprowadzi do legislacji spokój i przewidywalność. Nic z tego.
Prace nad nowelizacją Ustawy KSC ponownie skręciły w las i projekt zakłada wprowadzenie więcej, niż wymaga tego unijna dyrektywa wymagające od nas jej przyjęcia. Prawdopodobnie urzędnicy resortu cyfryzacji stwierdzili, że skoro mamy ogromne opóźnienie we drożeniu przepisów Aktu o cyberbezpieczeństwie to za jednym zamachem, jednymi przepisami wprowadzimy też zapisy dyrektywy NIS2. Tyle tylko, że robią to w sposób, który może nam bardzo mocno zaszkodzić i spróbujemy sobie to wszystko uporządkować.
Czytaj też: USA straszy Huaweiem i dalej używa jego sprzętu. Zabawne, czy żenujące?
W cyberbezpieczeństwie potrzebujemy jednolitych standardów i spójnych procedur. Polska nie może się próbować wychodzić przed szereg
Unijne przepisy dotyczące cyberbezpieczeństwa nie powstają bez powodu. Wdrożenie ich w całej Unii, tworze posiadającym wspólny rynek, ma na celu standaryzowanie procedur, co ma doprowadzić do podniesienia bezpieczeństwa. Jednocześnie ma być to ułatwieniem dla działania międzynarodowych firm. Podmiot działający, przykładowo, we Francji, Hiszpanii i Czechach musi spełniać te same wymogi dotyczące cyberbezpieczeństwa. W przypadku wystąpienia incydentu w jednym kraju, procedury można też profilaktycznie zastosować w drugim. Wydaje się to logiczne i zrozumiałe, ale nie dla polskich urzędników.
Tutaj musimy wrócić do początków prac nad projektem nowelizacji Ustawy o KSC. W pierwotnej wersji jej głównym zadaniem miało być zablokowanie chińskim firmom dostępu do budowy sieci 5G w Polsce. Po latach i kolejnych wersjach zapisy nieco złagodzono, choć nadal dowolna firma może zostać uznana za dostawcę wysokiego ryzyka w wyniku decyzji Kolegium ds. Cyberbezpieczeństwa, czyli głównie polityków.
Czytaj też: Operatorzy chcą zmieniać ceny abonamentów. Czy tym razem się uda?
Wprowadzając w Polsce dyrektywę NIS2 (przepisy dotyczące podniesienia poziomu cyberbezpieczeństwa w całej Unii Europejskiej) rządzący chyba zapominają o powiązaną z nią dyrektywą CER, której zadaniem jest poprawa odporności podmiotów o znaczeniu krytycznym dla funkcji społecznych i gospodarczych oraz zatwierdzonej w marcu 2024 roku dyrektywie CRA, czyli tzw. aktu o odporności cyfrowej. Szczególnie ta druga jest w tym przypadku istotna, bo mówi ona, że jeśli podmiot dysponuje niezbędnymi certyfikatami, to jego produkty są uznawane za bezpieczne. Tymczasem polskie przepisy zakładają, że polityczny organ w Polsce może uznać producenta za dostawcę wysokiego ryzyka i zablokować korzystanie z jego rozwiązań na terenie kraju. Inaczej mówiąc, próbujemy przyjąć przepisy, które będą działać przeciwko przepisom unijnym i twierdzimy, że robimy to wdrażając… unijne przepisy. Prawa, że proste?
Czytaj też: Każdy robi w cyberbezpieczeństwie. Kolejka po pieniądze z Ministerstwa Cyfryzacji
O kosztach wdrożenia nowych regulacji staje się nikt nie myśleć. Czasu też nie mamy
Przyjęcie nowych przepisów to jedno, ale wypadałoby jeszcze je wdrożyć. Tutaj mamy kolejne schody, bo rządzący chyba zapominają, jak duże mamy opóźnienie. Tymczasem wymagania stawiane przez nowelizację Ustawy o KSC wobec tysiącom podmiotów są bardzo wysokie. Zarówno tym prywatnym, jak i państwowym.
Certyfikacje, szkolenia, wdrażanie nowych rozwiązań, audyty bezpieczeństwa, cyberbezpieczeństwa… to wszystko kosztuje i wymaga czasu. Specjaliści są zadania, że mówimy o zmianach porównywalnych z tymi, dotyczącymi wdrożenia RODO. Tymczasem wszystko to będzie musiało działać niemal od razu, co wydaje się niewykonalne.
Na wdrożenie dyrektywy NIS2 mamy czas do 17 października i jest mało prawdopodobne, że do tego dojdzie. Jeśli Ministerstwo Cyfryzacji nie wycofa się ze swoich pomysłów, Komisja Europejska będzie musiała notyfikować wdrożone przepisy ze względu na to, że wychodzą one poza wymagania unijnych dyrektyw. Procedura trwa trzy miesiące. To oznacza, że Sejm zajmie się projektem najwcześniej w 2025 roku i możemy rozpocząć swoją prezydencję w Radzie Unii Europejskiej od wszczęcia przez Komisję Europejską postępowania w sprawie braku wdrożenia dyrektywy NIS2.
W zasadzie można by uznać, że to przecież kolejne takie postępowanie, w końcu i tak płacimy już kary za wcześniejsze, więc jedno w tę czy drugą stronę różnicy nam nie robi, ale wypadałoby, gdybyśmy w czasie naszej prezydentury chociaż raz świecili dobrym przykładem.