Cyberbezpieczeństwo z poślizgiem. Dlaczego Polska się spóźnia z przepisami?

Rosnąca liczba usług publicznych dostępnych online i nowe cyberzagrożenia, wynikające także z sytuacji geopolitycznej, stawiają przed instytucjami publicznymi i podmiotami prywatnymi kolejne wyzwania. Dostrzega to UE, co znalazło wyraz m.in. w dyrektywie ws. środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa, nazywanej NIS2, i w wytycznych 5G Toolbox, czyli zestawie narzędzi dla bezpieczeństwa sieci 5G.

Co się dzieje z przepisami NIS2 i 5G Toolbox?

Przepisy miały być wdrożone w krajach UE do 17 października ub.r. Polska jest jednak wśród państw, które jeszcze tego nie zrobiły. Stąd sprawa stała się przedmiotem posiedzenia sejmowej Komisji cyfryzacji, innowacyjności i nowoczesnych technologii, która zapoznała się z informacją ministra cyfryzacji nt. stanu prac nad implementacją regulacji. Resort przygotował projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) oraz niektórych ustaw, wdrażający dyrektywę.

Powody, dla których regulacje nie zostały jeszcze przyjęte – to m.in. duża liczba uwag zgłoszonych w trakcie konsultacji publicznych – i przewidywany harmonogram prac przedstawił Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji. Na pytanie posłów, kiedy projekt trafi do parlamentu, odpowiedział, że ma to nastąpić jeszcze w tym półroczu.

W trakcie posiedzenia głos zabierali przedstawiciele strony społecznej. Michał Kanownik, prezes Związku Cyfrowa Polska, podkreślił, że w projekcie chodzi nie tylko o bezpieczeństwo infrastruktury państwowej, ale przede wszystkim o bezpieczeństwo i kluczowe aspekty funkcjonowania biznesu.

– Ustawa jest wyczekiwana i ważna. Ze strony biznesu jest pełne zrozumienie, że na bezpieczeństwie nie wolno oszczędzać. Mam nadzieję, że to podejście będzie się przewijało w pracach nad tą ustawą. Mówimy o inwestycjach, które są niezbędne dla ciągłości funkcjonowania państwa i biznesu. Tu nie ma miejsca na kompromisy. Dlatego liczymy, że ustawa będzie sprawnie procedowana i wejdzie w życie, bo jest to w interesie nas wszystkich. Biznes trzyma kciuki i będziemy starali się wspierać rząd, żeby ustawa jak najszybciej została przyjęta przez parlament – powiedział.

Tomasz Bukowski, ekspert z Polskiej Izby Komunikacji Elektronicznej (PIKE), powiedział, że PIKE razem z innymi izbami telekomunikacyjnymi przygląda się projektowi ustawy. Zgadzając się, że kwestie cyberbezpieczeństwa są bardzo istotne, zaznaczył, że izba po raz kolejny wskazuje, że problemy z projektem i jego tak długie procedowanie „nie wynikają z implementacji NIS2 czy 5G Toolbox, ale ze znacznego wyjścia poza te dwie regulacje”.

Dyr. Wysocki odpowiedział, że minister cyfryzacji z innymi ministrami dokładnie ocenia, czy jest uzasadnione wprowadzenie danego dalej idącego rozwiązania.

Justyna Wilczyńska-Baraniak z EY Law przedstawiła wnioski z raportu EY „Regulacje NIS2 i 5G Toolbox w Polsce. Analiza wdrożenia i porównanie z państwami UE”. Jak mówiła, różnice w implementacji regulacji dotyczą m.in. sposobu oceny dostawców i produktów. Niektóre państwa mają szczegółowe oceny pochodzenia dostawców, inne tylko minimalne wymagania. Podejścia do klasyfikacji krytycznych elementów sieci także się różnią – między ograniczeniem tylko do rdzenia sieci 5G a szerszym podejściem. Niektóre państwa przewidują możliwość natychmiastowego usunięcia sprzętu dostawców wysokiego ryzyka, inne są bardziej elastyczne i dopuszczają działania naprawcze.

Polski projekt zbyt restrykcyjny?

Raport wskazuje, że Polska przygotowuje jeden z najbardziej restrykcyjnych modeli regulacyjnych. Także dlatego, że wdraża dyrektywę NIS2 i 5G Toolbox w jednej ustawie. – Rozszerzenie regulacji na wszystkie 18 sektorów objętych NIS2 wskazuje na bardzo rygorystyczne podejście do bezpieczeństwa, wykraczające poza standardowe wymagania w innych państwach. Podobnie jak szczegółowe procedury oceny dostawców, które obejmują nie tylko aspekty techniczne, ale także geopolityczne. Polska przewiduje możliwość usunięcia sprzętu od dostawców wysokiego ryzyka będącego już w użyciu, co stanowi kolejny element wyróżniający ten model w stosunku do innych krajów – wymieniała ekspertka EY.

Prezes Kanownik zwrócił uwagę na pojawiające się we wnioskach z raportu kwestie bezpieczeństwa także w kontekście zapisów ws. wycofywania sprzętu od dostawców wysokiego ryzyka.

– Mówimy o sytuacji, w której służby państwa uznają, że coś jest dla nas niebezpieczne. Projekt zakłada, że jeszcze przez cztery lata niebezpieczny sprzęt nadal może pracować. To gdzie restrykcyjność? Jeżeli wiemy, że ktoś nam zagraża, to natychmiast powinniśmy go usunąć. Ta ustawa jest za mało restrykcyjna. Nie ma czasu i miejsca na kompromisy. Przepisy powinny być stosowane jak najszerzej, bo to nie tylko kwestia telekomunikacji, ale każdego aspektu naszej gospodarki – powiedział Kanownik.