Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która ma wzmocnić cyberbezpieczeństwo Polski, znalazł się w centrum uwagi sejmowej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii (CNT).
Projekt, nad którym prace ciągną się już od sześciu lat, ma wdrożyć przepisy dyrektywy NIS 2. Regulacje zostały rozszerzone o rozwiązania z 5G Toolbox, czyli zestawu unijnych rekomendacji dotyczących bezpieczeństwa sieci komórkowej piątej generacji. Przypomnijmy, że termin implementacji NIS 2 do prawa krajowego minął w październiku ubiegłego roku. Jego niedotrzymanie to ryzyko nałożenia na Polskę kar.
Ustawa o KSC obowiązuje od 2018 r., jednak już rok później rozpoczęły się prace nad jej nowelizacją. W tym roku prace przyspieszyły. We wrześniu projekt został przyjęty przez Stały Komitet Rady Ministrów. 21 października przyjęła go Rada Ministrów i w listopadzie dokument trafił do Sejmu. 5 grudnia odbyło się I czytanie.
We wtorek projekt był przedmiotem posiedzenia CNT, które cieszyło się ogromnym zainteresowaniem strony społecznej, w tym organizacji branżowych. Część z nich jest za jak najszybszym przyjęciem przepisów w obecnym kształcie, część zarzuca projektowi nadregulację i przestrzega, że przepisy uderzą w polskie małe i średnie przedsiębiorstwa z branży ICT.
Najgorętszym punktem jest instytucja dostawcy wysokiego ryzyka (DWR). Część uczestników rynku uważa, że może ona być wykorzystywana arbitralnie przez rząd do usuwania z rynku konkretnych podmiotów. Ministerstwo Cyfryzacji podkreśla, że po pierwsze, za DWR może być uznana konkretna usługa lub urządzenie, a nie cała firma czy państwo, a po drugie, że procedura jest długotrwała i transparentna, a na dostosowanie się do niej – czyli np. wymianę sprzętu – będzie kilkuletni okres przejściowy. Jakie są argumenty stron?
Stawką jest bezpieczeństwo państwa.
Paweł Olszewski, sekretarz stanu w Ministerstwie Cyfryzacji podkreślał, że projekt nowelizacji to kompromis, który jest efektem wieloletniej ścieżki konsultacji, zarówno międzyresortowych, jak i społecznych. Ponieważ jednak stawką jest cyberbezpieczeństwo państwa, w niektórych obszarach nie ma miejsca na ustępstwa. Tak właśnie jest w przypadku DWR. Jak mówił wiceminister, Polska tylko w tym roku była już celem 200 tys. poważnych ataków i incydentów, dlatego państwo musi mieć narzędzia, żeby „obronić Polki, Polaków, instytucje i państwo”.
Paweł Olszewski podkreślił, że DWR nie jest narzędziem eliminacji dostawców ze względu na kraj pochodzenia, lecz instrumentem reagowania na realne zagrożenia. Decyzje mają dotyczyć „urządzeń i usług, które stanowią zagrożenie dla bezpieczeństwa państwa niezależnie od tego, czy pochodzą z Polski, Niemiec czy USA”. Jednocześnie dodał, że w sytuacjach skrajnych – np. w przypadku sprzętu z Rosji czy Białorusi – państwo musi mieć możliwość natychmiastowej reakcji. Podkreślał rolę polecenia zabezpieczającego jako narzędzia szybkiego reagowania w sytuacjach kryzysowych, odróżniając je od DWR, który ma charakter systemowy i długofalowy.
Odpowiadając na wątpliwości przedstawicieli rynku Paweł Olszewski podkreślił, że resort jest otwarty na dyskusję o karach, terminach i szczegółowych rozwiązaniach wdrożeniowych. Jak zapewnił, branża będzie włączona w konsultacje i wypracowanie rozwiązań. Jednocześnie jednak nie zgadza się na podważanie fundamentów ustawy. – Bezpieczeństwo ma pierwszeństwo, dlatego działamy zdecydowanie. Toczy się wojna hybrydowa na wielu polach, Polska odczuwa ją m.in. w cyberprzestrzeni. Przepisy tej ustawy oznaczają inwestycję, a nie koszt – argumentował.
Ustawę wreszcie trzeba uchwalić.
W dalszej części prowadzący obrady poseł Bartłomiej Pejo, przewodniczący CNT, udzielał głosu kolejnym stronom. Dyskusja pokazała, że część uczestników rynku jest za jak najszybszym uchwaleniem ustawy w obecnym brzmieniu.
Jakub Bińkowski z zarządu Związku Przedsiębiorców i Pracodawców (ZPP) zaznaczył, że wśród członków związku są firmy amerykańskie, europejskie, azjatyckie – ale nie chińskie – w tym dostawcy sprzętu. Według niego powszechnie wiadomo, że w sprawie KSC działa z jednej strony lobbing firm amerykańskich i europejskich, a z drugiej – chiński. Podkreślił, że zwłaszcza po lutym 2022 r. – czyli po agresji Rosji na Ukrainę – na rynku „nie ma symetryzmu”, bo współpraca z podmiotami z Chin, państwa, które wspiera Rosję, nie może być symetryczna do pozycji dostawców z USA i UE.
Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji podkreślał, że choć branża, jak każda inna, z zasady nie cieszy się z regulacji, to w tym przypadku jest inaczej. W jego ocenie jest to potrzebna regulacja, na którą branża oczekuje. Apelował, by przyjąć ustawę „w możliwie najkrótszym czasie, jeśli nie niezwłocznie”. Dodał, że Izba zrzesza podmioty z biznesu polskiego, amerykańskiego, europejskiego i azjatyckiego.
Michał Kanownik, prezes Związku Cyfrowa Polska zwrócił uwagę, że przy KSC mówimy nie tylko o bezpieczeństwie Polski, ale także o zaufaniu ze strony naszych sojuszników w NATO. Jak mówił, przyjęcie DWR nie spowoduje wzrostu cen urządzeń dla konsumentów, nie zabraknie również sprzętu. KSC to ekosystem, w którym chodzi o bezpieczeństwo całego kraju, a nie interesy pojedynczych firm, zaś „próba wyłamania zębów ustawie to działanie na szkodę państwa polskiego”.
Marta Grabowska z Centrum Europejskiego Uniwersytetu Warszawskiego mówiła, że przepisy dotyczą istoty cyberbezpieczeństwa – zarządzania ryzykiem i reagowania na incydenty. Jak tłumaczyła, jeśli zagrożenie pojawia się w systemie, nie wystarczy usunąć owego zagrożenia z jednego miejsca, ale trzeba je wyeliminować w całości.
Nadregulacja na niespotykaną skalę?
Podczas posiedzenia CNT pojawiło się też wiele głosów krytykujących projekt zmian w KSC.
Prof. Artur Nowak-Far z SGH, reprezentujący Polskie Towarzystwo Gospodarcze, wskazywał, że polskie regulacje na tle innych państw UE idą zdecydowanie za daleko. Zastanawiał się, czy w związku z tym „komfortowo i w odpowiednich warunkach będą funkcjonowały polskie małe i średnie przedsiębiorstwa”. W jego ocenie nadregulacja może też prowadzić do tzw. arbitrażu technologicznego – firmy z innych państw UE „będą w Polsce sprzedawać technologie drożej, a same kupować je taniej na świecie, co może upośledzić konkurencyjność polskiej gospodarki”.
Kinga Pawłowska-Nojszewska z Krajowej Izby Komunikacji Ethernetowej (KIKE) zwracała uwagę na skalę rozszerzenia zakresu ustawy w porównaniu z innymi państwami UE. Nie zgodziła się z opinią Pawła Olszewskiego, że jesteśmy pod tym względem w środku unijnej stawki. Jak podkreślała, „żadne państwo nie rozszerza tej regulacji na 18 sektorów gospodarki”. A polski projekt obejmuje nie tylko infrastrukturę 5G, ale rozszerza jego wymogi na wiele firm i instytucji. Jak mówiła, przedmiotem 5G Toolbox jest regulacja sieci 5G, czyli de facto chodzi o cztery podmioty, a regulacje KSC obejmą 40 tys. podmiotów. Dlatego w jej ocenie jest to rozwiązanie najszersze, a skala nadregulacji jest „bardzo duża, wręcz porażająca”. Podkreśliła, że nowe obowiązki obejmą w dużej mierze MŚP, które – w przeciwieństwie do dużych podmiotów – nie dysponują rozbudowanymi zespołami prawnymi i technicznymi. Według niej projekt w obecnym kształcie nie różnicuje w wystarczającym stopniu sytuacji podmiotów o skrajnie różnych możliwościach organizacyjnych i finansowych.
Mówiąc o DWR, ekspertka Krajowej Izby Komunikacji Ethernetowej wyraziła obawy, że może mieć daleko idące konsekwencje rynkowe. Zwracała uwagę, że decyzje podejmowane na podstawie tego mechanizmu będą miały realny wpływ na funkcjonowanie przedsiębiorstw i strukturę rynku, dlatego – jej zdaniem – wymagają szczególnej precyzji i jasnych kryteriów.
Kinga Pawłowska-Nojszewska dodała, że środowisko przedsiębiorców nie kwestionuje potrzeby wdrożenia NIS 2 ani samej idei wzmocnienia cyberbezpieczeństwa. Podkreślała, że celem uwag nie jest blokowanie ustawy, lecz zwrócenie uwagi na ryzyko nadregulacji i apel o dostosowanie przepisów do realiów rynkowych i unijnych standardów proporcjonalności.
Także prof. Marek Chmaj, ekspert organizacji pracodawców Przedsiębiorcy.pl, skupił się na ocenie projektu z perspektywy konstytucyjnej i zgodności z prawem UE. Jego zdaniem dokument wykracza poza zakres wymagany przez dyrektywę NIS 2, co rodzi pytania o zasadę proporcjonalności oraz dopuszczalność nadimplementacji. Zwrócił uwagę na sankcje, wskazując, że przewidziane w projekcie kary są surowsze niż te wynikające z dyrektywy, zarówno pod względem maksymalnej wysokości, jak i mechanizmów ich nakładania. W jego ocenie może to budzić wątpliwości co do zgodności z prawem UE i standardami ochrony praw podmiotów objętych regulacją.
Prof. Chmaj uważa, że objęcie regulacją bardzo szerokiego kręgu podmiotów – w tym takich, które nie zostały jednoznacznie wskazane w NIS 2 – może prowadzić do naruszenia zasady pewności prawa. Zwracał uwagę, że im dalej ustawodawca odchodzi od unijnego minimum, tym silniejszego wymaga to uzasadnienia.
O praktycznych i prawnych konsekwencjach noweli KSC, zwłaszcza w kontekście jej stosowania przez MŚP, mówił także prof. Maciej Rogalski, rektor Uczelni Łazarskiego. Podkreślał, że projekt „rodzi istotne ryzyka niepewności prawnej”, ponieważ wiele kluczowych mechanizmów – mimo dużej ingerencji w działalność podmiotów – zostało opisanych w sposób ogólny lub niedostatecznie precyzyjny. Szczególną uwagę zwrócił na instrumenty ingerujące w prawa przedsiębiorców, takie jak decyzje administracyjne o daleko idących skutkach organizacyjnych i finansowych. Wskazywał, że przy tak szerokim zakresie uznaniowości organów państwa konieczne są jasne kryteria, procedury i gwarancje procesowe, aby adresaci regulacji mogli przewidywać skutki prawne swoich działań. Błędy lub niejasności przepisów mogą prowadzić do sporów i paraliżu decyzyjnego po stronie firm.
Według Pawła Wajdy z Uniwersytetu Warszawskiego, reprezentującego Pracodawców RP, proponowane przepisy są przejawem gold platingu. Jego zdaniem regulacje, nawet jeśli zostaną wprowadzone, w praktyce nie zadziałają, a dodatkowo podmioty uznane za DWR mogą wystąpić z roszczeniami wobec Skarbu Państwa.
Pytanie o koszty
Drugim wątkiem była kwestia kosztów wdrożenia i możliwości implementacji nowych obowiązków, szczególnie przez MŚP. Piotr Podgórski z Przedsiębiorcy.pl podkreślał, że w projekcie nie chodzi o proste zmiany sprzętowe, ale o „gigantyczną, bardzo złożoną strukturę sprzętu i usług ICT”, którą trzeba wycofać, zakupić na nowo i wdrożyć organizacyjnie. Jego zdaniem harmonogramy przewidziane w ustawie są oderwane od realiów funkcjonowania firm.
Kinga Pawłowska-Nojszewska zwracała uwagę, że ciężar kosztów spadnie przede wszystkim na sektor MŚP. Jak wskazywała, ustawa dotyczy większości MŚP, co oznacza, że nowe obowiązki obejmą podmioty o ograniczonych zasobach finansowych i kadrowych. Adam Abramowicz, prezes Rady Przedsiębiorców, były rzecznik MŚP, ostrzegał, że 99 proc. firm telekomunikacyjnych to firmy z sektora MŚP i że bez mechanizmów wsparcia nie będzie ich stać na wymianę sprzętu. W jego ocenie grozi to ich wypadnięciem z gry i koncentracją rynku. Jego zdaniem za uchwaleniem ustawy są korporacje, tymczasem większe rozproszenie oznacza większe bezpieczeństwo.
Krytycy ustawy przypominali także o cyklu życia infrastruktury. Odpowiadając na stwierdzenie Pawła Olszewskiego, że siedem lat to długi okres, w którym każdy z nas np. ze trzy razy wymienia telefon komórkowy, wskazywali, że nie odnosi się to do wymiany kluczowego sprzętu w infrastrukturze telekomunikacyjnej czy w innych branżach. Okres amortyzacji urządzeń sieciowych to ok. 10 lat, tymczasem projekt w razie uznania jakiegoś podmiotu za DWR oznacza ich wymianę w cztery lub siedem lat.
Zwracali także uwagę na konsekwencje objęcia regulacją sektora ochrony zdrowia oraz samorządów. Pytali, jak w praktyce ma wyglądać nadzór nad szpitalami i samorządami oraz czy państwo jest przygotowane na egzekwowanie nowych obowiązków wobec tysięcy podmiotów publicznych. Kinga Pawłowska-Nojszewska podkreśliła, że to właśnie włączenie sektorów publicznych – takich jak szpitale czy samorządy – odróżnia projekt od większości rozwiązań unijnych. Jej zdaniem tak szeroki zakres rodzi poważne wątpliwości co do proporcjonalności i skuteczności nadzoru, zwłaszcza wobec instytucji, które już dziś zmagają się z brakami kadrowymi i finansowymi.
