Mariusz Busiło: nowa wersja projektu ustawy o cyberbezpieczeństwie jest społecznie szkodliwa

Nie popełnia błędów tylko ten, kto nic nie robi. Jak jednak ocenić kogoś, kto błędy powtarza, przy okazji pomijając rozsądne opinie osób zainteresowanych w powodzeniu przedsięwzięcia? – pyta Mariusz Busiło, prawnik specjalizujący się w nowych technologiach, wspólnik w Kancelarii Bącal, Busiło Sp. k.

Publikacja: 12.02.2021 11:39

Mariusz  Busiło: nowa wersja projektu ustawy o cyberbezpieczeństwie jest społecznie szkodliwa

Foto: Adobe Stock

Gdyby autorzy noworocznej wersji projektu zmian do ustawy o Krajowym Systemie Cyberbezpieczeństwa  zdecydowali się na rzetelne konsultacje społeczne, zadałbym to pytanie bezpośrednio. Niestety, działania urzędników odpowiedzianych za prawo dotyczące cyberbezpieczeństwa nie zaowocują przepisami, które poprawią stan bezpieczeństwa Polaków w Internecie. Szansę na bezpieczeństwo cywili w Internecie oceniam dzisiaj na równi z wystąpieniem Polonii Warszawa w Ekstraklasie, czy zdobyciem Pucharu Europy przez Wisłę Kraków. To się może zdarzyć, ale najwcześniej w kolejnej dekadzie.

Objawiony po ponad 3 miesiącach od jesiennej „wersji alfa”, skrytykowanej w ponad stu opiniach podczas konsultacji społecznych, nowy projekt zmian do ustawy o Krajowym Systemie Cyberbezpieczeństwa tylko pozornie wygląda lepiej. Nazwijmy go „wersją beta”, z nadzieją, że autorzy chcą nad nim jeszcze pracować. W mojej opinii warto tę pracę wykonać, bo nowy projekt krytykują nie tylko polscy przedsiębiorcy, ale także Rządowe Centrum Legislacji, podległe bezpośrednio Premierowi. Premierowi, który po likwidacji ministerstwa cyfryzacji został zmuszony do firmowania tego projektu. Równocześnie podlegli Premierowi specjaliści od pisania ustaw z RCL ostrzegają: projekt ustawy w wersji styczniowej nie poprawi cyberbezpieczeństwa, zawiera nowe – nie konsultowane wcześniej rozwiązania, jest też wątpliwy z punktu widzenia zgodności z Konstytucją i prawa europejskiego, które ma realizować.

Wersja beta wprowadza system certyfikacji, postulowany w większości opinii w trakcie konsultacji wcześniejszej wersji. Niestety, mimo dużej objętości nowych przepisów, stanowią one zbiór procedur administracyjnych, bez odpowiednich kryteriów. Najważniejsze zagadnienia zostały „delegowane” do uregulowania aktem wykonawczym: „Krajowym Programem Certyfikacji Cyberbezpieczeństwa” i innymi rozporządzeniami – bez precyzowania ich zakresu. Rządowe Centrum Legislacji jednoznacznie wskazuje, że to rozwiązanie wadliwe.

Proponowana certyfikacja sprawia wrażenie dorzuconej obok rozwiązań regulacyjnych. W szczególności nie jest powiązana z kontrowersyjnymi uprawnieniami do wywłaszczania przedsiębiorców prywatnych z elementów infrastruktury, które arbitralną decyzją administracyjną uzna się za stanowiące „cyberzagrożenie”, z uwagi np. na kraj pochodzenia dostawcy. Zgodnie z wersją beta ustawy nawet sprzęt certyfikowany może zostać uznany za „niebezpieczny”, a przedsiębiorcy którzy go wykorzystują zmuszeni do wymiany na sprzęt innego dostawcy.

Inną nowością wersji beta ustawy jest katalog kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług (Załącznik 3 projektu). Propozycja zawiera tylko 10 ogólnych punktów, bez różnicowania jakich sieci, czy usług mogą dotyczyć. Propozycja jest oderwana od poziomu ryzyk występujących w rzeczywistych sieciach czy usługach. Takie podejście według zasady „one size fits all” jest błędem krytycznym regulacji. Ocena krytyczności konkretnych funkcji i elementów sieci nie może być abstrakcyjna – oderwana od rzeczywistych usług. O ile łącze transmisyjne między głównymi węzłami sieci będzie miało charakter krytyczny, o tyle identyczne łącze między stacjami bazowymi o małym ruchu, lub o powielających się zasięgach, już cech krytycznych mieć nie powinno. Analogiczne rozumowanie powinno dotyczyć sieci dostępu radiowego, która ze swojej istoty nie musi stanowić elementu infrastruktury krytycznej, jeśli nie służy realizowaniu specjalnych funkcji, wymagających wyższych niż przeciętne poziomów zabezpieczeń. Do realizacji tych ostatnich celów projektodawca postanowił powołać wyodrębniony podmiot państwowy – operatora sieci specjalnej dla celów rządowych, więc nakładanie nadmiarowych obowiązków na operatorów sieci powszechnych jest tym bardziej nieuzasadnione.

Powiedzieć, że ta ustawa jest źle napisana, to mało. Złe mogą być poszczególne przepisy i można je wtedy poprawiać. Wersja beta projektu ustawy o cyberbezpieczeństwie jest społecznie szkodliwa z uwagi na założenia jakie leżą u jej podstaw. Z rozwiązań przewidzianych w projekcie przebija się bezradność organów i służb odpowiedzialnych za zapewnienie naszego bezpieczeństwa, w tym w cyberprzestrzeni. Bezradność tak daleko posunięta, że do osiągnięcia celu „poprawy cyberbezpieczeństwa” postanowiono „zmilitaryzować” nie tylko sektor prywatny, ale każdego obywatela. Projekt robi to z naruszeniem konstytucyjnych swobód i wolności, takich jak wolność wypowiedzi czy prawo własności. Wybrany model regulacyjny jest oparty na nakazie prawnym i jego administracyjnym egzekwowaniu. Wymaga rozbudowy aparatu administracyjnego, procedur, raportowania, kontroli. Mechanizmy te są nastawione na karanie ofiar, a nie ściganie przestępców. W swoich podstawach aksjologicznych projekt pomija fakt, że ataki cybernetyczne, prowadzone są obecnie przez wyspecjalizowane grupy przestępcze czy aktorów wspieranych przez obce państwa. Zamiast więc oferować wsparcie publicznych instytucji wyspecjalizowanych w zwalczaniu cyberataków czy przygotowanych do cyberwojny, wprowadza się kosztowne w realizacji obowiązki administracyjne, wywłaszczanie i ograniczenia wolności obywatelskich. Pozostaje mieć nadzieję, że z uwagi na zakres zmian projekt zostanie poddany dyskusji społecznej w szerokich konsultacjach społecznym, a przedstawione opinie zostaną uwzględnione w kolejnej wersji.

Mariusz Busiło, prawnik specjalizujący się w nowych technologiach, wspólnik w Kancelarii Bącal, Busiło Sp. k.

Gdyby autorzy noworocznej wersji projektu zmian do ustawy o Krajowym Systemie Cyberbezpieczeństwa  zdecydowali się na rzetelne konsultacje społeczne, zadałbym to pytanie bezpośrednio. Niestety, działania urzędników odpowiedzianych za prawo dotyczące cyberbezpieczeństwa nie zaowocują przepisami, które poprawią stan bezpieczeństwa Polaków w Internecie. Szansę na bezpieczeństwo cywili w Internecie oceniam dzisiaj na równi z wystąpieniem Polonii Warszawa w Ekstraklasie, czy zdobyciem Pucharu Europy przez Wisłę Kraków. To się może zdarzyć, ale najwcześniej w kolejnej dekadzie.

Pozostało 89% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Telekomunikacja
Uwaga na nowe pułapki w roamingu. Jak za granicą łączyć się taniej lub za darmo
Telekomunikacja
Gigant ogłasza przełom w łączności. To zupełnie nowa jakość
Telekomunikacja
To ma być przełom w tworzeniu ultraszybkiego internetu 6G. Znika wielka przeszkoda
Materiał Promocyjny
Mobilne ekspozycje Huawei już w Polsce – 16 maja odwiedzi Katowice
Telekomunikacja
Eldorado 5G dobiega końca, a firmy tną etaty. Co z Polską?