Zorganizowana w dniach 8-10 maja w Jachrance pod Warszawą przez Krajową Izbę Komunikacji Ethernetowej (KIKE) konferencja, była wyraźnym głosem operatorów w sprawie przygotowywanych regulacji w ramach Krajowego Systemu Cyberbezpieczeństwa (KSC).
Podczas wydarzenia miał miejsce panel dyskusyjny pod wiele mówiącym tytułem „Niebezpieczne cyberbezpieczeństwo, czyli co się dzieje, gdy ustawodawca zapomina o wpływie regulacji na gospodarkę”. Uczestnikami rozmowy byli: Maciej Rogalski, Rektor Uczelni Łazarskiego i przedstawiciel Kancelarii Rogalski i Wspólnicy, Piotr Podgórski, członek zarządu Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców – Przedsiębiorcy.pl, Marcin Zemła, specjalista ds. cyberbezpieczeństwa, ekspert projektu MDS oraz Karol Skupień, prezes zarządu Krajowej Izby Komunikacji Ethernetowej.
Dyskutanci byli zgodni co do ogólnej oceny projektu ustawy o KSC. Przedstawiony pod koniec kwietnia przez Ministra Cyfryzacji dokument, zdaniem uczestników debaty, idzie zbyt daleko we wprowadzanych regulacjach, względem ogólnoeuropejskiego NIS2. Przede wszystkim, krytyce podlega szerokość oddziaływania ustawy:
“Ile przedsiębiorców i podmiotów objętych będzie tą regulacją mówi wprost dokument w postaci oceny skutków regulacji (…) I tam jest dokładnie, jak policzyłem, 38 tys. 352 podmiotów (…) Są podzielone na 18 sektorów i to są różne sektory: jest sektor zdrowia, administracji publicznej, sektor określany jako ścieki, sektor produkcji, sektor wywozu odpadów, czyli bardzo duży zakres podmiotów. To oznacza, że do takiego grona podmiotów, w tym na pewno tysięcy przedsiębiorców, ta regulacja będzie miała zastosowanie. Czy to jest dużo, czy mało? Gdybyśmy porównali to do statystyk w innych krajach, to w Niemczech, bo oczywiście nie tylko Polska wdraża NIS2, (…) jest to 35 tysięcy podmiotów, we Francji 15 tysięcy podmiotów, w Hiszpanii 25 tysięcy podmiotów” – Maciej Rogalski, Rektor Uczelni Łazarskiego i przedstawiciel Kancelarii Rogalski i Wspólnicy.
“Patrząc na dokumenty, które tutaj również zostały przywołane, ja jako praktyk znowuż się nie zgodzę, że to dotknie tylko 39 tysięcy podmiotów. Z przepisów, które nowela niesie, wynika, że to będzie znacznie szerszy obraz i obawiam się ogromnej rewolucji na rynku, wywrócenia tego rynku do góry nogami pod kątem cen przede wszystkim dla klienta końcowego. To się będzie musiało odbić. To nie są rzeczy, które są na rynku drobne. Nie spotkałem się na przykład z audytem dla mikroprzedsiębiorców, który jest tańszy niż 4 tysiące złotych, gdybyśmy się chcieli nadzorować. Do tego dochodzą koszty roczne, dochodzą koszty zatrudnienia personelu, zakupienia sprzętu, oprogramowania monitorującego 24 godziny na dobę” – uzupełnił Marcin Zemła, specjalista ds. cyberbezpieczeństwa, ekspert projektu MDS.
Zdaniem dyskutantów, wdrażanie nowych przepisów związanych z ustawą NIS2 w obecnym ich kształcie stanie się poważnym wyzwaniem dla podmiotów działających w branży telekomunikacyjnej. Koszty dostosowania do nowych wymagań mogą być nie do udźwignięcia dla wielu z nich, szczególnie dla małych i średnich firm. Największe korporacje telekomunikacyjne, które wcześniej wdrożyły normy ISO mogą czuć się na tym polu pewnie:
Jeżeli idzie o podmioty telekomunikacyjne, możemy to podmioty telekomunikacyjne podzielić na dwie grupy. Są duże podmioty telekomunikacyjne, które w zasadzie nie przejmują się tą regulacją. Mam tutaj na myśli duże korporacje, ponieważ już od dawna mają wdrożona normę ISO 27001 (…) jeżeli ktoś ma wdrożone normy ISO 27001, państwo przyjmuje, że spełnia wymagania tej ustawy, więc duże podmioty już mają to od dawna. (…) Czekają, aż sprawa się ureguluje i będą mieli szersze pole do popisu w zdobywaniu rynku, co oczywiście nie do końca korzystnie będzie wpływało na cenę, choćby nawet ceny dostępu do internetu. A te są praktycznie najniższe w Europie. (…) Przypomnę, że podstawowym elementem prawa telekomunikacyjnego obowiązującym dziś jest to, że analiza ryzyka i analiza incydentów są obowiązkowe. Kłopot polega na tym, że nikt tego do tej pory nie sprawdzał, w związku z czym większość podmiotów tego po prostu nie robi” – wskazał Marcin Zemła, specjalista ds. cyberbezpieczeństwa, ekspert projektu MDS. Wskazał on, że chociażby koszty samych audytów dotkną głównie mniejsze podmioty, które dotychczas nie posiadały stosownych metod raportowania.
Niebagatelne są również koszty związane z zatrudnieniem pracowników posiadających odpowiednie kompetencje, zakupem specjalistycznego sprzętu oraz oprogramowania monitorującego systemy. W przypadku, gdy dostawca usług zostanie uznany za dostawcę wysokiego ryzyka, konieczne może być dokonanie wymiany sprzętu lub oprogramowania, co generuje dodatkowe koszty.
– “Z jakimi kosztami przy samym audycie zerowym będziemy mieli do czynienia? Następnie zmiana mentalności, zmiana myślenia, wdrożenie pewnych pojęć związanych z systemem zarządzania bezpieczeństwem informacji. Do czego zmierza ta nowelizacja? To znowuż są godziny pracy trenerów, którzy są wyspecjalizowani w konkretnie tych regulacjach, które na nas spłyną. Kolejna rzecz (…) to sprawdzanie wyników wdrożenia tych regulacji w zakresie obrotu i korelacji pomiędzy rejestrem incydentów, a rejestrem ryzyk, planem postępowania z ryzykiem, czyli oceną szefów zarządów najwyższego kierownictwa. Co z tymi ryzykami trzeba zrobić dalej? Określenia celów biznesowych dla konkretnych przedsiębiorstw i badania, w jakim stopniu te cele są realizowane przez prowadzenie takich okresowych przeglądów zarządczych z najwyższym kierownictwem – zatem całość takiego wdrożenia można ocenić najwcześniej po roku.”
Bardzo krytycznie odniesiono się także do zaproponowanej w projekcie ustawy procedury ustalania statusu Dostawcy Wysokiego Ryzyka. Aktualny projekt zakłada, że decyzję podejmuje Minister Cyfryzacji w oparciu o opinie Kolegium ds. cyberbezpieczeństwa, a więc organu składającego się z przedstawicieli kilku ministerstw, policji, służb, ale też instytucji o charakterze eksperckim (prawdopodobnie NASK). Postępowanie będzie uruchamiane będzie na wniosek Ministerstwa Cyfryzacji, a od decyzji będzie można się odwołać. Zdaniem prezesa KIKE jednakże, jest to decyzja jednoosobowa:
“My nie rozumiemy w ogóle koncepcji określania dostawców wysokiego ryzyka, która przyjęta jest w tej ustawie. Mówiliśmy to przy wszystkich osiemnastu wersjach. Ta koncepcja nie ma żadnego sensu” – stwierdził dobitnie Karol Skupień, prezes zarządu Krajowej Izby Komunikacji Ethernetowej – “Chciałbym tutaj uzupełnić, bo większość z Państwa mówi, że nieznane są kryteria oceny dostawców wysokiego ryzyka. Ja uważam, że są znane. Jest to po prostu jedyne jedno, jedyne kryterium. To jest kryterium polityczne. Czyli polityk, jednoosobowo, może podjąć decyzję o tym, który sprzęt uważa za bezpieczny, a który nie. I to jest dla nas kompletnie niezrozumiałe i bardzo złe. Jeśli uznamy, że w Polsce mamy tysiące inżynierów zajmujących się telekomunikacją, to próba przekonania nas, że polityk wie lepiej od tysięcy inżynierów doświadczonych, używających sprzętu profesjonalistów, który sprzęt jest bezpieczny, a który nie. Jest to dla nas skrajnie absurdalna koncepcja, której nie rozumiemy. Dyrektywa NIS 2 sugeruje pewne rozwiązania i wprowadzanie mechanizmów poprzez certyfikację. (…) Jest to znany w bardzo wielu branżach od wielu lat, właściwie w całym świecie, mechanizm”
Jak wskazano, brak konkretnych oszacowań kosztów procesu dostosowawczego sprawia, że przedsiębiorstwa telekomunikacyjne są narażone na ryzyko finansowe. Kolejną istotną kwestią jest wpływ ustawy na kwestie bezpieczeństwa danych. Dyskutanci zwrócili uwagę na to, że choć założeniem NIS2 jest ochrona Unii Europejskiej przed potencjalnymi zagrożeniami związanymi z dostawcami spoza jej obszaru, istnieje paradoks polegający na tym, że polskie firmy nie mogą korzystać z taniego i wysokiej jakości sprzętu spoza UE, podczas gdy dane Polaków mogą być przekazywane do firm zagranicznych spoza obszaru europejskiego.
“Zgodnie z uzasadnieniem ministerstwa, ta ustawa ma chronić obywateli UE przed sprzętem, przed ewentualnym wykradanie danych przez firmy spoza Unii Europejskiej. Po pierwsze, nie wiemy do końca, dlaczego ktoś zakłada, że w UE czy w NATO nie mogą być producenci, którzy robią niebezpieczny sprzęt. To założenie jest założeniem politycznym. To z punktu widzenia techniki to nie ma sensu” – zwraca uwagę prezes KIKE – “Załóżmy, że rzeczywiście ktoś chciałby, chciałby wykradać dane Polaków i byłby spoza Unii Europejskiej, czy musiałby produkować sprzęt, włamywać się i wykradać dane. Proszę państwa, jest łatwiejszy sposób. Wystarczy kupić w Polsce operatora telekomunikacyjnego i mieć legalny dostęp do sprzętu i możemy mieć super bezpieczny sprzęt. Nie wiem, amerykański jakikolwiek, ale można legalnie mieć do niego login i hasło i te dane naprawdę wykradać. To jest coś o czym wszyscy milczą. Proszę Państwa, ja może dodam, bo to nas bardzo boli. W Polsce takie sytuacje istnieją, czyli mamy operatorów, którymi właścicielami są fundusze spoza Unii Europejskiej i oni mają login, hasło do urządzeń i dane Polaków przepływają przez przedsiębiorców bez żadnego okłamywania się. Mało tego, ci operatorzy są jeszcze finansowani z budżetu państwa, dostają środki Unii Europejskiej, więc to jest absurd.”
W konsekwencji, krytycy ustawy NIS2 podkreślają potrzebę przeprowadzenia dokładnych analiz finansowych i konsultacji publicznych, aby ocenić realne koszty wdrożenia nowych przepisów oraz ich wpływ na cały sektor telekomunikacyjny. W przeciwnym razie, wysokie koszty dostosowań mogą przyczynić się nie tylko do wzrostu cen usług dla użytkowników końcowych, ale także do eliminacji wielu małych i średnich przedsiębiorstw z rynku, co w dłuższej perspektywie może mieć negatywne konsekwencje dla całej gospodarki.
