Kurowska: Krajowy System Cyberbezpieczeństwa wymaga konsultacji z ekspertami

Tym, co budzi największe kontrowersje, jest tzw. procedura uznawania dostawcy za dostawcę wysokiego ryzyka – uważa mec. Małgorzata Kurowska z Kancelarii Maruta Wachta, ekspert w dziedzinie prawa ochrony danych osobowych oraz prawa nowych technologii/IT.

Duże zainteresowanie, a nawet kontrowersje, zwłaszcza w branży technologii informacyjnych i komunikacyjnych (ICT), wzbudza ostatnio projekt zmian ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Ustawę, która została przyjęta w 2018 r. i jest implementacją unijnej dyrektywy NIS, mogą czekać istotne zmiany. Jakich podmiotów dotyczy KSC?

Sam Krajowy System Cyberbezpieczeństwa dotyczy podmiotów, których awaria lub przerwa w dostępności ich usług spowodowałaby istotne skutki dla dużej części społeczeństwa. W praktyce chodzi o podmioty publiczne i tzw. operatorów usług kluczowych, których lista nie jest jawna, natomiast dotyczy to dużych podmiotów, które obsługują dużą liczbę klientów lub ich usługi mają duży wpływ na społeczeństwo. Mogą to być choćby duże banki czy wielkie firmy energetyczne, itp. Natomiast obecna nowelizacja trochę paradoksalnie może rozszerzać zakres oddziaływania ustawy w tym sensie, że będzie również wpływać na dostawców rozwiązań ICT, a więc takich, które służą przetwarzaniu informacji w systemach informatycznych, z których korzystają te podmioty.

Co tu jest przedmiotem wspomnianych kontrowersji?

Tym, co budzi największe kontrowersje, jest tzw. procedura uznawania dostawcy za dostawcę wysokiego ryzyka. Mówiąc najprościej, minister będzie miał możliwość uznania de facto dowolnego dostawcy rozwiązań ICT za dostawcę wysokiego ryzyka, jeżeli stwierdzi, że stwarza on istotne zagrożenie dla (niezdefiniowanego w ustawie) bezpieczeństwa narodowego. Efektem takiej decyzji będzie to, że podmioty podlegające ustawie – czyli podmioty publiczne, operatorzy usług kluczowych, dostawcy usług cyfrowych – nie będą mogły korzystać z rozwiązań wskazanych w decyzji ministra, dostarczanych przez takiego dostawcę wysokiego ryzyka. Co więcej, dotyczy to zarówno kupowania takich rozwiązań w przyszłości, jak i wycofania rozwiązań nabytych już wcześniej.

Kontrowersje wzbudzają dwie rzeczy. Po pierwsze to, że tak bardzo szeroki jest zakres oddziaływania zapisów, czyli jedna decyzja wystarczy do wywarcia wpływu na bardzo dużą liczbę podmiotów i na ich bardzo istotne, codzienne decyzje gospodarcze, dotyczące rozwiązań, z których korzystają. A druga rzecz, to procedura administracyjna przewidziana w tym projekcie, która mocno odbiega od standardu przewidzianego w kodeksie postępowania administracyjnego. Przede wszystkim przewiduje ona, że decyzja będzie wykonalna natychmiast i tej wykonalności nie będzie można wtrzymać nawet w sytuacji wniesienia skargi do sądu i również sąd nie będzie mógł tej natychmiastowej wykonalności uchylić. Minister nie musi też uzasadniać decyzji co do faktów, na których się oparł, wydając decyzję, co w praktyce może uniemożliwić stronie obronę swojego stanowiska i może znacząco ograniczyć możliwości dokonania oceny decyzji przez sąd administracyjny. Wydaje się, że tak daleko idące rozwiązanie nie ma uzasadnienia, zwłaszcza że dostępne są „standardowe” mechanizmy, takie jak utajnienie części uzasadnienia zgodnie z przepisami o ochronie informacji niejawnych.

Jaki zatem może być w praktyce efekt oddziaływania decyzji o uznaniu danego podmiotu za dostawcę wysokiego ryzyka?

Można to ustalić, bowiem w uzasadnieniu do projektu ustawy takie wyliczenia są. Samych podmiotów publicznych jest ok. 4 tys. I będą one musiały obserwować publikowane decyzje, żeby zweryfikować, czy przypadkiem nie muszą wycofać takich rozwiązań z użytku. To także m.in. jednostki samorządu terytorialnego, których jest ponad 2 tys., operatorzy usług kluczowych, których jest ok. 140, a przedsiębiorców telekomunikacyjnych – takich, którzy będą dotknięci ustawą, czyli spełniających warunki w niej określone – będzie ok. 100. To są te wiodące, kluczowe podmioty, z których usług większość z nas korzysta na co dzień, często nawet nie zdając sobie z tego sprawy.

Jakie zatem rozwiązania czy mechanizmy mogłyby pani zdaniem wzmocnić cyberbezpieczeństwo państwa?

Bardzo dobrym rozwiązaniem jest to, co się dzieje na poziomie europejskim, czyli ogólne zobowiązanie do tego, żeby wszystkie państwa tworzyły pewne schematy działań, oparte na mniej więcej wspólnych kryteriach, które mają wzmacniać cyberbezpieczeństwo państwa.

Zrozumiałe jest oczywiście podejście badania ryzyka wpływu obcych państw, bo Unia Europejska stara się zapewnić suwerenność cyfrową. Natomiast tym, czego zabrakło i czego moim zdaniem bardzo brakuje również w tym procesie, jest to, że za mało widać w tym projekcie pracy eksperckiej, za mało jest skonsultowania z interesariuszami, którzy de facto będą dotykani działaniem tej ustawy. Za mało jest podejścia technicznego, które się odnosi do mierzalnych kryteriów bezpieczeństwa. Instrumenty określone w ustawie powinny, w państwie prawa, zapewniać przede wszystkim jakieś mechanizmy ochrony strony. Nawet jeżeli przyjmiemy pewne kryteria i uznajemy dostawcę za takiego, który stwarza ryzyko, to należy mu zapewnić możliwość obrony i przedstawienie stanowiska.

W tym kontekście szczególnie istotne jest zapewnienie transparentności postępowania (jasne kryteria oceny, uzasadnienie faktyczne decyzji, możliwość wstrzymania wykonalności). Chodzi o to, by prawo nie było narzędziem do pustoszenia jakiegoś sektora czy jego wycinka, tylko żeby to raczej było chirurgiczne cięcie. Chodzi przecież o to, żeby wyeliminować zagrożenie, a więc wyeliminować określone rozwiązanie, które stwarza ryzyka dla cyberbezpieczeństwo państwa. A w proponowanych rozwiązaniach tego eksperckiego podejścia i szerszej konsultacji społecznej zabrakło. Zwraca uwagę także to, że publikowane projekty dość istotnie różnią się między sobą. W praktyce oznacza to, że projekt, który był konsultowany, jest inny, niż ten, który widzimy obecnie. I na razie nie zapowiada się, by miały nastąpić nowe konsultacje.