Prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa trwają już od sześciu lat. W tym czasie liczba ataków cyfrowych na Polskę nieustannie rosła. Obecnie, nasz kraj należy do najczęściej obieranych za cel cyberprzestępców - zarówno w skali Europy i świata. Współczesne cyberzagrożenia nie są już marginalnym ryzykiem, a cyberprzestrzeń to realny front walki o suwerenność państwa i stabilność naszej gospodarki. Mimo, że stawką jest bezpieczeństwo narodowe, a wdrożenie nowych przepisów umacniających naszą odporność cyfrową jest w najlepszym interesie kraju, to wokół projektu, który trafił do Sejmu wyrosło wiele szkodliwych mitów, które mogą opóźnić proces legislacyjny. Tymczasem każde kolejne opóźnienie zwiększa nasze narażenie na cyberataki.
Obecna, niespotykana dotychczas, skala zagrożeń cyfrowych i liczba cyberataków na infrastrukturę, przedsiębiorstwa i obywateli w Polsce nie pozostawia złudzeń. Cyberbezpieczeństwo w Polsce wymaga pilnego umocnienia i zmian. Nie tylko w obszarze inwestycji i rozwoju świadomości oraz kompetencji, ale również w sferze regulacyjnej. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa i implementacja unijnych przepisów w tym zakresie jest zwyczajnie niezbędna z punktu widzenia naszego bezpieczeństwa narodowego. Wbrew powielanej w debacie publicznej fałszywej narracji, według której projektowane w Polsce przepisy, również te dotyczące Dostawców Wysokiego Ryzyka (DWR), miałyby wykraczać poza ramy prawa unijnego i stanowić przejaw przeregulowania niespotykany w innych państwach, w większości państw Unii Europejskiej wprowadzone zostały już podobne regulacje. Przepisy dotyczące DWR obowiązują też w wielu spoza UE. Polska jest też jednym z ostatnich krajów UE pod względem implementacji założeń obowiązującego od pięć lat unijnego zestawu narzędzi na rzecz bezpieczeństwa sieci 5G, tzw. 5G Toolbox.
Duże ryzyko wymaga dużych zmian
Choć kwestia Dostawców Wysokiego Ryzyka jest powszechnie uregulowana w innych państwach Europejskich – często bardziej restrykcyjnie i w sposób znacznie bardziej arbitralny niż zakłada polski projekt – to wciąż wywołuje wiele emocji. Sprzyja to pojawianiu się w przestrzeni publicznej przekłamań i narracji, które zdają się mieć na celu wzbudzać niechęć do zmian, mających umocnić nasze wspólne bezpieczeństwo narodowe. Mówi się między innymi, że wymiana infrastruktury podchodzącej od potencjalnych DWR spowoduje wzrost kosztów dla konsumentów korzystających z sieci. Nic takiego nie wydarzyło się w państwach, które podjęły takie kroki. Wręcz przeciwnie, wymiana infrastruktury, która jest zresztą normalną, cykliczną praktyką rynkową wynikającą z postępu technologii, prowadzi na ogół do poprawy jakości świadczonych konsumentom usług sieciowych.
Dlatego również wątpliwy jest podnoszony w debacie publicznej argument, że czas na wymianę sprzętu od DWR miałby być zbyt krótki, a modernizacja stanowiłaby dodatkowy kosztem. Choć wycofanie sprzętu, szczególnie na dużą skalę, to skomplikowany proces, to wymiana infrastruktury IT nie jest nadzwyczajnym zjawiskiem. Urządzenia sieciowe regularnie podlegają modernizacji i wymianom, co wynika z cyklu życia produktów, zmian technologicznych i oczekiwań klientów.
Bezpieczeństwo to inwestycja
Nim jakikolwiek podmiot będzie jednak w obowiązku modernizacji swojej infrastruktury, musi zapaść stosowna decyzja, a dostawca tego sprzętu uznany za źródło wysokiego ryzyka dla bezpieczeństwa narodowego. Proces podejmowania tej decyzji także obrósł mitami powielanymi w debacie o nowelizacji KSC. Według przeciwników zmian na rzecz bezpieczeństwa narodowego decyzja o uznaniu konkretnych elementów infrastruktury za niosące znaczne ryzyko będzie zapadać arbitralnie i podejmowana będzie w oparciu o motywy polityczne, a kryteria są niejasne i mogą nieproporcjonalnie dotknąć sprzętu pochodzącego od podmiotów spoza UE lub NATO. Jak jest naprawdę? W myśl projektu o tym, czy dane rozwiązania IT będą kwalifikowane jako obarczone wysokim ryzykiem, nie będą decydować “decyzje polityczne”, a przesłanki wynikające wprost właśnie z unijnego 5G Toolbox, które są obecnie standardem w państwach członkowskich UE. Co więcej, szczegółowo opisana w polskim projekcie procedura jest bardzo transparentna na tle standardu innych krajów Europy i zakłada, że decyzja zapadać będzie na podstawie opinii kolegium podmiotów, w skład którego wchodzą m.in. służby i UOKIK, a o pracach którego informowany jest prokurator generalny. Każdej decyzji w tej sprawie towarzyszyć będzie też skrupulatna procedura weryfikacyjna sprzętu, co do którego zachodzą wątpliwości. W rzeczywistości mamy zatem do czynienia z bardzo konkretnymi procedurami, które nadadzą techniczno-formalny porządek tak istotnemu obszarowi – cyberbezpieczeństwa Polski – w sposób daleki od dyskryminującego. Wszystkie podmioty podlegać będą w myśl projektu tej samej transparentnej procedurze, bez względu na ich pochodzenie, a od decyzji przysługiwać ma im możliwość skargi do sądu administracyjnego.
