4) najnowszego projektu ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa.
Wdrożenie dyrektywy NIS2 na szczęście nie jest jeszcze opóźnione. Termin unijny to 18 października tego roku. Jest szansa, by przygotować realne środki poprawy cyberodporności firm, niezależnie od ich wielkości, by poprawić bezpieczeństwo w sektorze publicznym, w tym w samorządach, a przy tym nie ograniczyć naszego dostępu do innowacyjnych usług i produktów, nie osłabić konkurencyjności polskich przedsiębiorstw i nie pogorszyć szans polskiej nauki na udział w kreowaniu innowacji.
Jak realizuje powyższe szansy przedstawiony projekt nowelizacji ustawy o krajowym systemie bezpieczeństwa? Miernie.
Projekt powstał jako modyfikacja krytykowanego projektu poprzedniego rządu, a poprawianie cudzego tekstu zawsze jest żmudne i trudniejsze niż napisanie go od nowa. Głównym problemem jest utrzymanie centralistycznego podejścia z poprzedniego projektu, opartego na nakazach i karnych konsekwencjach. Zamiast współpracy i wymiany informacji o cyberbezpieczeństwie, wprowadzono formalne procedury, rejestry i kary, głównie nałożone na przedsiębiorców. Projekt karze ofiary cyberprzestępstw, zwłaszcza małe i średnie firmy, podczas gdy rząd powinien zapewniać wsparcie, dostęp do informacji i finansowanie szkoleń i inwestycji.
Drugą poważną wadą projektu jest wiara, że do zapewnienia bezpieczeństwa niezbędne jest poświęcenie konstytucyjnie chronionych wartości, tj. własności, wolności obywatelskich czy swobody działalności gospodarczej. O ile przyzwyczajano nas do tego przez minione osiem lat, o tyle zastosowanie tej samej aksjologii w projekcie rządu koalicji deklarującej ochronę konstytucji poważnie niepokoi. Widać to szczególnie w dwóch procedurach, które będzie mógł prowadzić minister ds. cyfryzacji – pełnomocnik rządu ds. cyberbezpieczeństwa. Pierwsza to procedura tzw. poleceń zabezpieczających, zgodnie z którymi w razie wystąpienia incydentu krytycznego u podmiotu objętego ustawą, minister będzie mógł „przejmować dowodzenie”, w wyniku czego może w szczególności wyłączać w prywatnych firmach całe systemy, serwisy internetowe czy usługi cyfrowe, na okres do dwóch lat. Autorzy za poprzedniego rządu deklarowali, że będą to stosować z umiarem i wyjątkowo, i trzeba im ufać. Zupełnie jak z Pegasusem. Autorzy z tego rządu jeszcze nie wyjaśnili swoich intencji, ale mają szansę zrobić to w konsultacjach. Druga kontrowersyjna procedura to wyznaczanie „dostawców wysokiego ryzyka” – tzw. HRV. Jest to kopia pojęcia z europejskiego 5G Toolbox, przyjętego przez ENISA jako zalecenie dla przedsiębiorców telekomunikacyjnych, do szacowania ryzyk i ich mitygowania. Poprzednia władza nie rozumiała pojęcia zalecenia i samooceny ryzyk przez przedsiębiorcę, więc postanowiła użyć tych kryteriów jako przesłanek decyzji urzędniczej, czyj sprzęt i usługi są bezpieczne, a czyj nie jest. Pierwotnie była to procedura tajna, bez udziału zainteresowanych stron, mimo że jej wynik mógł skutkować całkowitym zamknięciem danej usługi czy kosztowną wymianą infrastruktury – będącej prywatną własnością działających w Polsce przedsiębiorców. Takie myślenie nie dziwiło wśród kierownictwa Zjednoczonej Prawicy, wszak tylko państwowy Lewiatan jest dobry, a przedsiębiorcy prywatni to wcielone zło i ich jedynym celem powinno być finansowanie urzędniczych prześladowców. Zgodnie z wartościami deklarowanymi przez rządzącą koalicję nie ma miejsca na pomijanie zasady proporcjonalności. Dlatego w projekcie brakuje katalogu środków proporcjonalnych i precyzyjnych warunków ich stosowania, jeśli mają wpływ na wolności obywatelskie czy własność prywatną. Szokuje też zgoda na ustawowy brak gwarancji uczestnictwa w procedurze administracyjnej wszystkich, których procedura dotyczy.
Trzeci, równie istotny jak poprzednie, zarzut dotyczy zakresu projektu. Względem poprzednich wersji listę branż stanowi kilkustronicowy załącznik, a liczbę podmiotów dotkniętych wyliczono na blisko 40 tysięcy. Praktycznie do wszystkich można będzie stosować krytykowane instrumenty regulacyjne. Wszystkie też będą objęte rejestrem i karami, w wysokości do 10 milionów euro. To chyba najbardziej szokujący przejaw pominięcia zasady proporcjonalności. Kosztów regulacji dla tych podmiotów nie oszacowano. Podobnie jak nie pokazano związku rejestru i kar z poprawą odporności na ataki cybernetyczne.