Duże zainteresowanie, a nawet kontrowersje, zwłaszcza w branży technologii informacyjnych i komunikacyjnych (ICT), wzbudza ostatnio projekt zmian ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Ustawę, która została przyjęta w 2018 r. i jest implementacją unijnej dyrektywy NIS, mogą czekać istotne zmiany. Jakich podmiotów dotyczy KSC?
Sam Krajowy System Cyberbezpieczeństwa dotyczy podmiotów, których awaria lub przerwa w dostępności ich usług spowodowałaby istotne skutki dla dużej części społeczeństwa. W praktyce chodzi o podmioty publiczne i tzw. operatorów usług kluczowych, których lista nie jest jawna, natomiast dotyczy to dużych podmiotów, które obsługują dużą liczbę klientów lub ich usługi mają duży wpływ na społeczeństwo. Mogą to być choćby duże banki czy wielkie firmy energetyczne, itp. Natomiast obecna nowelizacja trochę paradoksalnie może rozszerzać zakres oddziaływania ustawy w tym sensie, że będzie również wpływać na dostawców rozwiązań ICT, a więc takich, które służą przetwarzaniu informacji w systemach informatycznych, z których korzystają te podmioty.
Co tu jest przedmiotem wspomnianych kontrowersji?
Tym, co budzi największe kontrowersje, jest tzw. procedura uznawania dostawcy za dostawcę wysokiego ryzyka. Mówiąc najprościej, minister będzie miał możliwość uznania de facto dowolnego dostawcy rozwiązań ICT za dostawcę wysokiego ryzyka, jeżeli stwierdzi, że stwarza on istotne zagrożenie dla (niezdefiniowanego w ustawie) bezpieczeństwa narodowego. Efektem takiej decyzji będzie to, że podmioty podlegające ustawie – czyli podmioty publiczne, operatorzy usług kluczowych, dostawcy usług cyfrowych – nie będą mogły korzystać z rozwiązań wskazanych w decyzji ministra, dostarczanych przez takiego dostawcę wysokiego ryzyka. Co więcej, dotyczy to zarówno kupowania takich rozwiązań w przyszłości, jak i wycofania rozwiązań nabytych już wcześniej.
Kontrowersje wzbudzają dwie rzeczy. Po pierwsze to, że tak bardzo szeroki jest zakres oddziaływania zapisów, czyli jedna decyzja wystarczy do wywarcia wpływu na bardzo dużą liczbę podmiotów i na ich bardzo istotne, codzienne decyzje gospodarcze, dotyczące rozwiązań, z których korzystają. A druga rzecz, to procedura administracyjna przewidziana w tym projekcie, która mocno odbiega od standardu przewidzianego w kodeksie postępowania administracyjnego. Przede wszystkim przewiduje ona, że decyzja będzie wykonalna natychmiast i tej wykonalności nie będzie można wtrzymać nawet w sytuacji wniesienia skargi do sądu i również sąd nie będzie mógł tej natychmiastowej wykonalności uchylić. Minister nie musi też uzasadniać decyzji co do faktów, na których się oparł, wydając decyzję, co w praktyce może uniemożliwić stronie obronę swojego stanowiska i może znacząco ograniczyć możliwości dokonania oceny decyzji przez sąd administracyjny. Wydaje się, że tak daleko idące rozwiązanie nie ma uzasadnienia, zwłaszcza że dostępne są „standardowe” mechanizmy, takie jak utajnienie części uzasadnienia zgodnie z przepisami o ochronie informacji niejawnych.