Stanisław Dąbek: Mity i błędne przekonania

Od czterech lat trwają prace nad zmianą ustawy o krajowym systemie cyberbezpieczeństwa, mające w założeniu podnieść poziom ochrony infrastruktury państwa i implementować dyrektywę NIS2. Liczne środowiska przedsiębiorców zwracają jednak uwagę na nadmierny zakres projektowanych przepisów, brak przejrzystych kryteriów i wykraczanie poza unijne zalecenia – co może ograniczyć konkurencyjność rynku. W dyskusji publicznej często mówi się o „nadregulacji” i potencjalnie arbitralnych decyzjach politycznych.

Podczas niedawnego spotkania z cyklu #DigitalTalks, organizowanego przez Związek Cyfrowa Polska, w którym wzięli udział eksperci, m.in. przedstawiciele Ministerstwa Cyfryzacji (MC), prezes UKE, czy przedstawiciele pomiotów prywatnych, odpierali jednak zarzuty, wskazując, że podobne przepisy dotyczące dostawców wysokiego ryzyka istnieją w wielu państwach UE i nie zawsze są tak transparentne, jak te projektowane w Polsce (por. także komunikat MC). Celem spotkania zorganizowanego przez Związek Cyfrowa Polska, było rozprawienie się z powielanymi w przestrzeni publicznej mitami i błędnymi przekonaniami dotyczącymi projektu nowelizacji ustawy o KSC.

Procedura uznania za dostawcę wysokiego ryzyka

Ministerstwo Cyfryzacji argumentuje, że w dobie narastających cyberataków państwo powinno dysponować sprawnym narzędziem do eliminowania z rynku podmiotów stwarzających wysokie ryzyko dla infrastruktury kluczowej. W projekcie nowelizacji wprowadzono więc instytucję dostawcy wysokiego ryzyka (DWR). Zgodnie z projektem, MC – po uzyskaniu opinii Kolegium ds. Cyberbezpieczeństwa – będzie mógł, jednoosobowo, uznać określonego przedsiębiorcę za DWR. Skutkiem takiej decyzji jest natychmiastowy zakaz nabywania nowych usług i sprzętu od dostawcy oraz nakaz wymiany rozwiązań już wykorzystywanych, w terminie czterech lub siedmiu lat (co zgodnie z założeniem ministerstwa ma odpowiadać typowemu cyklowi życia urządzeń). Według ministerstwa aktualnie nie istnieją w Polsce przepisy, które zapewniałyby bezpieczeństwo państwa w tym aspekcie.

Zdaniem projektodawców, procedura ma charakter wieloetapowy i przejrzysty. Resort wyjaśnia, że decyzja nie jest wyłącznie „arbitralną decyzją polityczną” MC – przeciwnie, opiera się na opinii całego kolegium złożonego m.in. ze służb, UOKiK, a o prowadzonych pracach informowany jest prokurator generalny. Niemniej trudno pominąć fakt, że MC jest organem politycznym, tak jak i przeważająca większość członków Kolegium – oznacza to, że decyzja, i opinia wydawana jest przez organ o charakterze politycznym, a nie eksperckim. Kolegium nie jest sądem i nie przysługują mu przymioty charakterystyczne dla sądów jak ustrojowa gwarantowana niezawisłość, czy niezależność.

Skarga do sądu administracyjnego, a co z merytoryczną analizą decyzji?

Co więcej, ustawa nie precyzuje dostatecznie, jakie konkretne incydenty uruchamiają analizę pod kątem dostawcy wysokiego ryzyka. Projekt nie wymaga również wykazania realnych luk w bezpieczeństwie produktów – wystarczy uznanie istnienia wysokiego prawdopodobieństwa zagrożenia geopolitycznego, czy wywiadowczego. Decyzja ministra jest także z mocy ustawy natychmiast wykonalna, zanim sąd administracyjny zdoła ocenić merytoryczną zasadność takiego kroku lub zdecyduje się uchylić ten rygor.

MC podkreśla, że od decyzji o uznaniu za DWR przysługuje skarga do sądu administracyjnego, co zapewnia mechanizm kontroli. Nie sposób pominąć, że sądy administracyjne badają głównie formalną poprawność decyzji, a nie jej merytoryczną zawartość. Trudno oczekiwać zatem, by kontrola sądowa miała charakter dogłębnej weryfikacji. Sytuacja ta wydaje się przypominać postępowania dotyczące wniosków o założenie podsłuchów, które sądy w przeważającej większości zatwierdzają (według danych Panoptykon w latach 2011–2020 sądy zaakceptowały około 98–99 proc. takich wniosków!). Powstaje zatem pytanie, czy w tym przypadku rzeczywiście będzie inaczej.

Ograniczony udział w postępowaniu ze strony organizacji społecznych

Wątpliwości budzi też ograniczony udział organizacji społecznych w postępowaniu. Choć ustawodawca dopuszcza przedstawianie opinii przez stowarzyszenia, nie gwarantuje im statusu strony ani możliwości odwołania – wyłączono tu część przepisów kodeksu postępowania administracyjnego. Z kolei stroną postępowania może być jedynie sam dostawca (rozpatrywany pod kątem DWR) lub przedsiębiorca telekomunikacyjny osiągający przychody w wysokości ok. 120 mln zł. Oznacza to, że prawie 40 000 podmiotów – w tym wiele firm, które mogłyby realnie ucierpieć na blokadzie sprzętu lub usług – nie będzie mogło skarżyć takiej decyzji. W publicznych dyskusjach, wskazywano, że przez taki zapis faktyczna kontrola społeczna jest ograniczona do minimum, a konsekwencje finansowe spadną na instytucje, którym nie przysługuje środek odwoławczy. Trudno z tym zarzutem się nie zgodzić.

Zero-jedynkowy charakter wykluczenia i 5G Toolbox

Projektowane przepisy przewidują radykalne wykluczenie dostawcy wysokiego ryzyka bez możliwości narzucenia mu lub podmiotom korzystającym dodatkowych środków nadzoru czy stopniowego eliminowania luk. W niektórych krajach UE można na przykład wprowadzić jedynie ograniczenia w korzystaniu z urządzeń lub usług, zamiast całkowitego zakazu (np. w Finlandii, czy Irlandii).

W przestrzeni publicznej pojawia się też argument, że polska nowelizacja wykracza poza unijny zestaw narzędzi 5G Toolbox, gdyż obejmuje aż 18 sektorów gospodarki, a nie tylko infrastrukturę stricte związaną z sieciami telekomunikacyjnymi piątej generacji. Resort cyfryzacji przyznaje, że przepisy mają objąć „kluczowe sektory” państwa, powołując się na pilną potrzebę zapewnienia kompleksowego bezpieczeństwa i na przykłady z innych krajów – jednocześnie podkreślając, iż Polska jest obecnie jednym z ostatnich państw UE, które nie wdrożyły dotąd tych rozwiązań. Niemniej przecież 5G Toolbox, jak sama nazwa wskazuje, dotyczy właśnie sieci 5G, a nie wszystkich podmiotów ważnych i kluczowych, objętych NIS2. Analiza podobnych uregulowań w wybranych państwach członkowskich UE, w oparciu o notyfikacje TRIS, wskazuje, że tamtejsze przepisy są nakierowane na bezpieczeństwo sieci 5G. Przykładowo, w Hiszpanii i Belgii wydano akt prawny koncentrujący się na sieciach i usługach 5G, a w Finlandii ograniczono regulacje do kluczowych elementów infrastruktury telekomunikacyjnej.

W NIS2 nie ma przepisów dotyczących dostawców wysokiego ryzyka

Co więcej sama dyrektywa NIS2 nie przewiduje postępowania w sprawie wykluczenia dostawców, odwołując się jedynie do skoordynowanych ocen ryzyka na szczeblu unijnym. Choć kraje członkowskie dysponują swobodą w kształtowaniu regulacji wychodzących poza NIS2, zasada proporcjonalności nakazuje rozważyć, czy nie posunięto się zbyt daleko w odniesieniu do faktycznych potrzeb ochrony infrastruktury krytycznej.

Obciążenia dla przedsiębiorców i brak kompleksowego planu wsparcia

Resort utrzymuje, że obowiązek wymiany sprzętu w ciągu czterech lub siedmiu lat zazwyczaj pokrywa się z naturalnym cyklem życia urządzeń. To oczywiste, że nie da się budować silnej gospodarki bez solidnych fundamentów bezpieczeństwa, a więc pewne ograniczenia są nieuniknione. Nie ma jednak pełnej jasności co do zakresu i źródeł ewentualnego dofinansowania. Zmuszone do wycofania się z używanych rozwiązań podmioty mogą ponieść wysokie koszty – nie tylko zakupu nowego sprzętu, ale też przeszkolenia pracowników czy modyfikacji zawartych umów. Brak jest analiz w tym zakresie w ocenie skutków regulacji i nie można zatem uznać, że nowe przepisy nie spowodują nadmiernego obciążenia. Będzie to możliwe dopiero po dokonaniu właściwej oceny skutków regulacji.