Mariusz Busiło: Wady projektu ustawy o KSC

Projekt ustawy o KSC powstał jako modyfikacja projektu przygotowywanego przez wiele lat w poprzednim rządzie, mocno krytykowanego i miernego merytorycznie. Jednak poprawienie złego cudzego tekstu to praca żmudna i zawsze wynik jest gorszy niż napisanie dobrego tekstu samemu – pisze wspólnik w Kancelarii Bącal Busiło sp. k.

Publikacja: 28.05.2024 06:06

Mariusz Busiło: Wady projektu ustawy o KSC

Foto: mat. pras.

Ulewy i niespotykane od dawna powodzie przetaczają się w ostatnich dniach przez ziemie zachodnich sąsiadów od Niemiec przez Francję aż po Belgię. Od ponad 800 dni w sąsiadującej Ukrainie trwa największa od II wojny światowej kinetyczna faza wojny.

Tymczasem w Polsce słoneczna wiosna. „Niech na całym świecie wojna, byle polska wieś zaciszna, byle polska wieś spokojna”, cytując Dziennikarza z „Wesela” Wyspiańskiego. Sielanka jednak pozorna, przez polską cyberwieś przewalają się bowiem właśnie deszcze niespokojne, w postaci czterech jeźdźców Apokalipsy:

1) nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, męczonej latami przez szczęśliwie minionego już ministra cyfryzacji minionego rządu. Ma wdrażać dyrektywę NIS2,

2) unijnego rozporządzenia DORA (Digital Operational Resilience Act), istotnego dla instytucji finansowych działających w UE,

3) wizji ustawy wprowadzającej dyrektywę o odporności podmiotów krytycznych (dyrektywa CER),

4) najnowszego projektu ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa.

Wdrożenie dyrektywy NIS2 na szczęście nie jest jeszcze opóźnione. Termin unijny to 18 października tego roku. Jest szansa, by przygotować realne środki poprawy cyberodporności firm, niezależnie od ich wielkości, by poprawić bezpieczeństwo w sektorze publicznym, w tym w samorządach, a przy tym nie ograniczyć naszego dostępu do innowacyjnych usług i produktów, nie osłabić konkurencyjności polskich przedsiębiorstw i nie pogorszyć szans polskiej nauki na udział w kreowaniu innowacji.

Jak realizuje powyższe szansy przedstawiony projekt nowelizacji ustawy o krajowym systemie bezpieczeństwa? Miernie.

Projekt powstał jako modyfikacja krytykowanego projektu poprzedniego rządu, a poprawianie cudzego tekstu zawsze jest żmudne i trudniejsze niż napisanie go od nowa. Głównym problemem jest utrzymanie centralistycznego podejścia z poprzedniego projektu, opartego na nakazach i karnych konsekwencjach. Zamiast współpracy i wymiany informacji o cyberbezpieczeństwie, wprowadzono formalne procedury, rejestry i kary, głównie nałożone na przedsiębiorców. Projekt karze ofiary cyberprzestępstw, zwłaszcza małe i średnie firmy, podczas gdy rząd powinien zapewniać wsparcie, dostęp do informacji i finansowanie szkoleń i inwestycji.

Drugą poważną wadą projektu jest wiara, że do zapewnienia bezpieczeństwa niezbędne jest poświęcenie konstytucyjnie chronionych wartości, tj. własności, wolności obywatelskich czy swobody działalności gospodarczej. O ile przyzwyczajano nas do tego przez minione osiem lat, o tyle zastosowanie tej samej aksjologii w projekcie rządu koalicji deklarującej ochronę konstytucji poważnie niepokoi. Widać to szczególnie w dwóch procedurach, które będzie mógł prowadzić minister ds. cyfryzacji – pełnomocnik rządu ds. cyberbezpieczeństwa. Pierwsza to procedura tzw. poleceń zabezpieczających, zgodnie z którymi w razie wystąpienia incydentu krytycznego u podmiotu objętego ustawą, minister będzie mógł „przejmować dowodzenie”, w wyniku czego może w szczególności wyłączać w prywatnych firmach całe systemy, serwisy internetowe czy usługi cyfrowe, na okres do dwóch lat. Autorzy za poprzedniego rządu deklarowali, że będą to stosować z umiarem i wyjątkowo, i trzeba im ufać. Zupełnie jak z Pegasusem. Autorzy z tego rządu jeszcze nie wyjaśnili swoich intencji, ale mają szansę zrobić to w konsultacjach. Druga kontrowersyjna procedura to wyznaczanie „dostawców wysokiego ryzyka” – tzw. HRV. Jest to kopia pojęcia z europejskiego 5G Toolbox, przyjętego przez ENISA jako zalecenie dla przedsiębiorców telekomunikacyjnych, do szacowania ryzyk i ich mitygowania. Poprzednia władza nie rozumiała pojęcia zalecenia i samooceny ryzyk przez przedsiębiorcę, więc postanowiła użyć tych kryteriów jako przesłanek decyzji urzędniczej, czyj sprzęt i usługi są bezpieczne, a czyj nie jest. Pierwotnie była to procedura tajna, bez udziału zainteresowanych stron, mimo że jej wynik mógł skutkować całkowitym zamknięciem danej usługi czy kosztowną wymianą infrastruktury – będącej prywatną własnością działających w Polsce przedsiębiorców. Takie myślenie nie dziwiło wśród kierownictwa Zjednoczonej Prawicy, wszak tylko państwowy Lewiatan jest dobry, a przedsiębiorcy prywatni to wcielone zło i ich jedynym celem powinno być finansowanie urzędniczych prześladowców. Zgodnie z wartościami deklarowanymi przez rządzącą koalicję nie ma miejsca na pomijanie zasady proporcjonalności. Dlatego w projekcie brakuje katalogu środków proporcjonalnych i precyzyjnych warunków ich stosowania, jeśli mają wpływ na wolności obywatelskie czy własność prywatną. Szokuje też zgoda na ustawowy brak gwarancji uczestnictwa w procedurze administracyjnej wszystkich, których procedura dotyczy.

Trzeci, równie istotny jak poprzednie, zarzut dotyczy zakresu projektu. Względem poprzednich wersji listę branż stanowi kilkustronicowy załącznik, a liczbę podmiotów dotkniętych wyliczono na blisko 40 tysięcy. Praktycznie do wszystkich można będzie stosować krytykowane instrumenty regulacyjne. Wszystkie też będą objęte rejestrem i karami, w wysokości do 10 milionów euro. To chyba najbardziej szokujący przejaw pominięcia zasady proporcjonalności. Kosztów regulacji dla tych podmiotów nie oszacowano. Podobnie jak nie pokazano związku rejestru i kar z poprawą odporności na ataki cybernetyczne.

Szczegółowe zarzuty do obecnego projektu z pewnością zostaną wskazane w toku trwających konsultacji. Chciałbym wierzyć, że doprowadzą one do debaty i przywrócenia tej niezwykle ważnej regulacji fundamentów konstytucyjnych.

Ulewy i niespotykane od dawna powodzie przetaczają się w ostatnich dniach przez ziemie zachodnich sąsiadów od Niemiec przez Francję aż po Belgię. Od ponad 800 dni w sąsiadującej Ukrainie trwa największa od II wojny światowej kinetyczna faza wojny.

Tymczasem w Polsce słoneczna wiosna. „Niech na całym świecie wojna, byle polska wieś zaciszna, byle polska wieś spokojna”, cytując Dziennikarza z „Wesela” Wyspiańskiego. Sielanka jednak pozorna, przez polską cyberwieś przewalają się bowiem właśnie deszcze niespokojne, w postaci czterech jeźdźców Apokalipsy:

Pozostało 90% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Opinie i komentarze
Odpowiedzialne innowacje: Czy sztuczna inteligencja może zastąpić psychoterapeutów?
Opinie i komentarze
Odpowiedzialne projektowanie produktów cyfrowych – granica pomiędzy zaangażowaniem a uzależnieniem
Opinie i komentarze
Deszcze niespokojne w polskiej cyber-wsi
Akcje Specjalne
Firmy chcą działać w sposób zrównoważony
Opinie i komentarze
Prezes DataWalk: Chcemy burzyć monopol Palantira. Dane to złoto XXI wieku
Materiał Promocyjny
Sztuczna inteligencja może być wykorzystywana w każdej branży