Sześć grzechów głównych zmian planowanych w KSC

Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) jest już w Sejmie i prace nad nim podjęli posłowie oraz eksperci z Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. To dobra wiadomość, jest bowiem szansa na poprawienie tego potworka. Mam nadzieję, że to, co nie udało się ministerialnym autorom, uda się osobom mającym do projektu chłodny, profesjonalny stosunek.

Nie sposób w krótkim materiale prasowym ocenić 270 stron tekstu projektu, skupię się więc na wybranych, sześciu grzechach głównych, które posłowie mają okazję naprawić.

Kary, kary i jeszcze więcej kar

Wbrew zaklęciom strony rządowej kary w projekcie nie są czystą implementacją dyrektywy NIS2. Dyrektywa harmonizuje tylko górną wysokość kar, czyli 10 mln euro lub 2 proc. przychodów, w zależności, co będzie wyższe, nakładane na podmioty kluczowe, oraz analogicznie 7 mln euro lub 1,4 proc. przychodów dla podmiotów ważnych.

NIS2 nie mówi natomiast nic o karach minimalnych. Polski projekt takie minimalne kary zawiera. Za najbardziej błahe przewinienie przewiduje 20 tys. dla podmiotu kluczowego i co najmniej 15 tys. dla podmiotu ważnego. W obowiązującej dzisiaj ustawie też są kary minimalne, jednak najmniejsza z nich to 1 tys. zł. W praktyce więc nowelizacja podnosi dzisiejszą minimalną karę dwudziestokrotnie. Tego NIS2 nie wymaga. To zwykła urzędnicza nadgorliwość, a może troska o własne przychody, bowiem kary zasilą Fundusz Cyberbezpieczeństwa, służący do wypłat dodatków do urzędniczych pensji.

Nadgorliwością w obszarze kar jest również kara okresowa. NIS2 wspomina, że kraj może, ale nie musi, ustanowić tego rodzaju karę. Projektodawca bez kozery mówi 500, a nawet 100 tys. zł… dziennie. Kar okresowych w dzisiejszych przepisach nie ma, a NIS2 ich nie wymusza. Urzędnik więc nie musi, ale chce wprowadzić bardziej rygorystyczny system.

Nie ma też w NIS2 obowiązku nakładania kar bezpośrednio na osoby kierujące organizacją. Nie przeszkodziło to autorom projektu w ich wprowadzeniu: do 300 proc. wynagrodzenia w sektorze prywatnym i 100 proc. w sektorze publicznym. W tym ostatnim przypadku mamy nie tylko nadgorliwość, ale jeszcze dyskryminację.

Na koniec karna wisienka na czarnym torcie. Paragraf 22 ukryty w art. 73 ust. 1a projektu ustawy. Automat do karania za brak złożenia przez podmiot obowiązany wniosku o wpis do wykazu podmiotów, brak wskazania osób do kontaktu, brak poinformowania użytkownika usługi o ryzykach korzystania z niej czy brak kanału do zgłaszania przez użytkownika incydentów, podatności lub cyberzagrożeń. Sprzeczny z NIS2, bo pomijający „wagę naruszenia i znaczenie naruszonych przepisów” (art. 32 ust. 7 lit. a NIS2). W zamian za to mówiący o „wadze i znaczeniu naruszonych przepisów”, które to przepisy wskazuje bezpośrednio w swojej treści jako podstawę ukarania.

Sprzeczność z prawem UE i Konstytucją RP

Polska kara będzie więc automatyczna, niezależna od wagi naruszenia! To nie tylko jawna sprzeczność z NIS2, ale na dodatek w pakiecie z naruszeniem konstytucji. „Zasada określoności i pewności prawa wymaga, aby norma naruszona, za którą grozi sankcja, była sformułowana w sposób czytelny i jednoznaczny w powszechnie obowiązującym akcie prawnym” (Administracyjne kary pieniężne w demokratycznym państwie prawa. Monografia. Redakcja naukowa: Mateusz Błachucki, Rzecznik Praw Obywatelskich. Warszawa 2015 r.). Art. 73 ust. 1a projektu kryteriów tych nie spełnia.

Mam nadzieję, że w trakcie prac w Sejmie posłowie przywrócą projektowi balans i przytną do niezbędnego minimum kary, które będą przecież nakładane na ofiary przestępców i cyberterrorystów wspieranych przez rządy państw takich jak Rosja. Rolą państwa powinno być chronienie ofiar, a nie ich karanie.

Brak jednoznacznych definicji

Przykładem problemów wynikających z niejasnej definicji może być kwalifikacja podmiotu kluczowego lub ważnego. Temat o tyle niebanalny, że np. agencja reklamowa (sektor spoza załącznika), która dla wygody swoich klientów została partnerem NASK i przez chwilę była rejestratorem domen, będzie musiała się wpisać do wykazu nawet jeśli już tych domen nie rejestruje czy nie osiąga z tego tytułu przychodów.

Podobnie będzie z niemałą grupą podmiotów wpisanych do rejestru przedsiębiorców telekomunikacyjnych, tylko dlatego, że formalnie odsprzedają usługi łączności elektronicznej podmiotom ze swojej grupy kapitałowej, w tym zagranicznym (grupowe centra zakupowe). Takie podmioty też mogą być zaskoczone wciągnięciem ich do KSC, jak były zaskakiwane karami od prezesa UKE za nieskładanie „zerowych” sprawozdań ze swojej działalności telekomunikacyjnej. Firmom polecam przejrzeć własne wpisy w różnych rejestrach, umowach spółek etc. i powykreślać działalności, których nie wykonują, a które mogą być pretekstem do uznania za podmiot kluczowy lub ważny.

Urzędnicza uznaniowość

Przykładem zbyt dużej swobody urzędniczej może być uznawanie (lub nie) audytów. Zgodnie z NIS2 audyty mają poprawić nasze bezpieczeństwo. Nie są one przy tym czymś nowym, wiele podmiotów wykonuje je np., bo takie są wymagania kontrahentów albo są dostawcami dla sektora finansowego (rozporządzenie DORA). Niestety, projekt ustawy KSC nie daje jasnych wytycznych do uznawania takich audytów za te wymagane na podstawie jej przepisów. W rezultacie decydował będzie kontroler (ten sam, który może mieć dodatek z Funduszu Cyberbezpieczeństwa).

Kolejny problem to relacje obowiązków z KSC do innych przepisów. W szczególności do RODO czy DORA. Często będzie tak, że jeden incydent pod KSC będzie też incydentem pod RODO i DORA. Dla KSC wprowadzony został System S46 (jasny punkcik projektu!). Nie zmieniono jednak np. art. 55 ustawy o ochronie danych osobowych z 2018 r. (tak, ona dalej obowiązuje równolegle do RODO) o tym, że prezes Urzędu Ochrony Danych Osobowych może prowadzić system teleinformatyczny do zgłaszania incydentów. Fakt zawarcia porozumienia między urzędami w sprawie korzystania przez prezesa UODO z S46 nie wynika z przepisów i jest przejawem uznaniowości urzędników.

Porozumienia można wypowiadać, przepisy ustawy zmienia się trudniej. Podobnie brak jest procedury dla podmiotów obowiązanych z DORA. Incydenty będą więc raportowane wielokrotnie, niekoniecznie spójnie, w różne miejsca. Przykładem, jak źle działa to obecnie, jest egzekwowany przez urzędników UODO od operatorów telekomunikacyjnych, obowiązek przekazywania okresowych raportów z incydentu, nawet jeśli stan jego analizy nie uległ zmianie. A wszystko na podstawie rozporządzenia 611/2013 w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych. Rozporządzenie to dotyczy „tylko telekomów”, więc KSC problemu nie zauważyło.

Procedurę zgłaszania incydentów trzeba uprościć i ujednolicić, likwidując niespójności i wielość ścieżek raportowania. I trzeba to zrobić w ustawie, a nie porozumieniami między urzędami.

Blankietowość przepisów

Z kolei w przypadku wdrożenia do polskiego prawa „urzędnika delegowanego do nadzorowania przedsiębiorcy” implementacja ograniczyła się do skopiowania i wklejenia treści dyrektywy. Zamiast wskazania „ściśle określonych zadań, które urzędnik monitorujący realizuje” zgodnie z NIS2, w KSC można będzie delegować jakiekolwiek zadania w instrukcji wydanej urzędnikowi przez jego przełożonego. Co w praktyce oznacza, że urzędnikowi będzie można zlecić dowolne zadania nadzorcze.

Ustawy nie mogą być blankietowe, kiedy w grę wchodzi ograniczanie wolności i praw obywatelskich, jak własność czy swoboda działalności gospodarczej. W KSC brakuje uregulowania kwestii dostępu do tajemnic prawnie chronionych, jak dane osobowe, tajemnice handlowe, tajemnica przedsiębiorstwa oraz klientów przedsiębiorstwa. Projektodawca powinien także rozejrzeć się po systemie prawa i nawiązać do jakiejś istniejącej procedury (np. przepisów dot. kontroli administracyjnej). Wreszcie, powinien przewidzieć tryb, w jakim urzędnik poniesie odpowiedzialność za szkody, jakich dokona w toku tych czynności. Czy znajdziemy chociaż jeden z tych elementów w KSC? Niestety nie.