O ogółu do szczegółu, czyli projekt jest coraz dokładniejszy
To już piąty rok tortur prac nad nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa, nad którą wykłada się już drugi rząd z rzędu. Nowy wariant to prawdopodobnie 19. oficjalna wersja, choć licząc od zmiany rządu to bodajże wersja (dopiero) 5.
Zmiany w projekcie są przede wszystkim kosmetyczne. Zapisy są bardziej precyzyjne, szczegółowe i odnoszą się m.in. do konkretnych przepisów unijnych. Aż chce się zapytać – nie można było tak od razu? Niezmiennie Ministerstwo Cyfryzacji próbuje upiec dwie pieczenie na jednym ogniu i ustawą dostosować nasze przepisy do unijnej dyrektywy NIS2.
Warto tutaj wspomnieć o dwóch zmianach, które się pojawiają. Firmy zagraniczne, uznane za podmioty ważne lub kluczowe, które działają na terenie Polski, ale mające siedzibę i władze poza Unią Europejska, będą musiały wyznaczyć przedstawiciela na nasz rynek.
NASK będzie pełnić funkcję koordynatora na potrzeby skoordynowania ujawnienia podatności i będzie przyjmować zgłoszenia dotyczące podatności na zagrożenia. Zgłoszenie będzie mógł zrobić każdy. NASK zidentyfikuje podatność, sklasyfikuje, zlikwiduje ją i/lub jej skutki oraz może ujawnić informacje na ten temat.
Czytaj też: Polski Światłowód Otwarty zapewni dostęp do internetu w nowych lokacjach
NASK z nowym rejestrem danych. Nie za dużo tych informacji?
Obecna władza sprawia wrażenie, że idealnie kontynuuje działania poprzedników. Co kilka tygodni wypuszcza nową wersję projektu i dodaje do niego kontrowersję, przez co jest o nim głośno i mamy wrażenie, że ktoś tam faktycznie w pocie czoła nad tym pracuje. Nie widzę innego logicznego wytłumaczenia.
Tym razem chodzi o nowe zapisy zawarte w Art. 26c. Mówi on, że NASK stworzy narzędzie online pozwalające osobie fizycznej sprawdzenie, czy jej dane osobowe nie zostały ujawnione w sieci w sposób nieuprawniony. Na skutek incydentu lub cyberzagrożenia. Fajnie, ale… takie narzędzia są dostępne w sieci. Działa już portal BezpieczneDane.gov. Podobne usługi mają Google czy Apple i są w stanie nas informować o tego typu wyciekach. Po co nam w takim razie kolejne rządowe narzędzie do tego samego?
Czytaj też: Nowe częstotliwości sieci 5G w drodze. Brak zakłóceń zależy od prac Ukrainy
Tymczasem ma zostać stworzone nowe narzędzie, które dodatkowo daje NASK-owi dostęp do ogromnej bazy danych. Bo jak czytamy w punkcie drugim Art. 26c, dla realizacji usługi online, o której mowa w ust. 1, CSIRT NASK może gromadzić i przetwarzać następujące dane osobowe:
1) imię i nazwisko,
2) datę urodzenia,
3) adres zamieszkania,
4) płeć,
5) imię i nazwisko nadane podczas urodzenia,
6) miejsce urodzenia,
7) identyfikator użytkownika w Węźle Krajowym nadawany tymczasowo podczas uwierzytelniania,
8) login, który uległ nieuprawnionemu upublicznieniu,
9) adres poczty elektronicznej,
10) numer telefonu,
11) numer PESEL.
Ciśnie się tu na usta cytat z Michała Gramatyki. Wiceministra cyfryzacji, który za czasów poprzedniej władzy, kiedy to Rozbita Prawica tworzyła lub próbowała tworzyć nowe rejestry zwykły pytać – po co Wam nasze dane?