Gdyby autorzy noworocznej wersji projektu zmian do ustawy o Krajowym Systemie Cyberbezpieczeństwa zdecydowali się na rzetelne konsultacje społeczne, zadałbym to pytanie bezpośrednio. Niestety, działania urzędników odpowiedzianych za prawo dotyczące cyberbezpieczeństwa nie zaowocują przepisami, które poprawią stan bezpieczeństwa Polaków w Internecie. Szansę na bezpieczeństwo cywili w Internecie oceniam dzisiaj na równi z wystąpieniem Polonii Warszawa w Ekstraklasie, czy zdobyciem Pucharu Europy przez Wisłę Kraków. To się może zdarzyć, ale najwcześniej w kolejnej dekadzie.
Objawiony po ponad 3 miesiącach od jesiennej „wersji alfa”, skrytykowanej w ponad stu opiniach podczas konsultacji społecznych, nowy projekt zmian do ustawy o Krajowym Systemie Cyberbezpieczeństwa tylko pozornie wygląda lepiej. Nazwijmy go „wersją beta”, z nadzieją, że autorzy chcą nad nim jeszcze pracować. W mojej opinii warto tę pracę wykonać, bo nowy projekt krytykują nie tylko polscy przedsiębiorcy, ale także Rządowe Centrum Legislacji, podległe bezpośrednio Premierowi. Premierowi, który po likwidacji ministerstwa cyfryzacji został zmuszony do firmowania tego projektu. Równocześnie podlegli Premierowi specjaliści od pisania ustaw z RCL ostrzegają: projekt ustawy w wersji styczniowej nie poprawi cyberbezpieczeństwa, zawiera nowe – nie konsultowane wcześniej rozwiązania, jest też wątpliwy z punktu widzenia zgodności z Konstytucją i prawa europejskiego, które ma realizować.
Wersja beta wprowadza system certyfikacji, postulowany w większości opinii w trakcie konsultacji wcześniejszej wersji. Niestety, mimo dużej objętości nowych przepisów, stanowią one zbiór procedur administracyjnych, bez odpowiednich kryteriów. Najważniejsze zagadnienia zostały „delegowane” do uregulowania aktem wykonawczym: „Krajowym Programem Certyfikacji Cyberbezpieczeństwa” i innymi rozporządzeniami – bez precyzowania ich zakresu. Rządowe Centrum Legislacji jednoznacznie wskazuje, że to rozwiązanie wadliwe.
Proponowana certyfikacja sprawia wrażenie dorzuconej obok rozwiązań regulacyjnych. W szczególności nie jest powiązana z kontrowersyjnymi uprawnieniami do wywłaszczania przedsiębiorców prywatnych z elementów infrastruktury, które arbitralną decyzją administracyjną uzna się za stanowiące „cyberzagrożenie”, z uwagi np. na kraj pochodzenia dostawcy. Zgodnie z wersją beta ustawy nawet sprzęt certyfikowany może zostać uznany za „niebezpieczny”, a przedsiębiorcy którzy go wykorzystują zmuszeni do wymiany na sprzęt innego dostawcy.
Inną nowością wersji beta ustawy jest katalog kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług (Załącznik 3 projektu). Propozycja zawiera tylko 10 ogólnych punktów, bez różnicowania jakich sieci, czy usług mogą dotyczyć. Propozycja jest oderwana od poziomu ryzyk występujących w rzeczywistych sieciach czy usługach. Takie podejście według zasady „one size fits all” jest błędem krytycznym regulacji. Ocena krytyczności konkretnych funkcji i elementów sieci nie może być abstrakcyjna – oderwana od rzeczywistych usług. O ile łącze transmisyjne między głównymi węzłami sieci będzie miało charakter krytyczny, o tyle identyczne łącze między stacjami bazowymi o małym ruchu, lub o powielających się zasięgach, już cech krytycznych mieć nie powinno. Analogiczne rozumowanie powinno dotyczyć sieci dostępu radiowego, która ze swojej istoty nie musi stanowić elementu infrastruktury krytycznej, jeśli nie służy realizowaniu specjalnych funkcji, wymagających wyższych niż przeciętne poziomów zabezpieczeń. Do realizacji tych ostatnich celów projektodawca postanowił powołać wyodrębniony podmiot państwowy – operatora sieci specjalnej dla celów rządowych, więc nakładanie nadmiarowych obowiązków na operatorów sieci powszechnych jest tym bardziej nieuzasadnione.
