Prace nad Krajowym Systemem Cyberbezpieczeństwa, po latach prób, kilkunastu projektach i licznych zawirowaniach, wyraźnie zmierzają ku realizacji. W chwili ogłoszenia projektu w nowej formie, a zarazem rozpoczęcia konsultacji nad nim, przedstawiliśmy głos ustawodawcy. Dziś przyglądamy się opinii jednego ze szczególnie ważnych dostawców rozwiązań technologicznych.
Przedstawiony w kwietniu przez Ministerstwo Cyfryzacji projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa wzbudził różne reakcje na rynku. Z jednej strony, przedstawia dążenie ustawodawcy do ograniczenia ryzyka, z drugiej jednak, spotyka się z zarzutami o przeregulowanie. Czy rzeczywiście najnowszy projekt KSC jest “strzelaniem z armaty do komara”? Trudno dziś o jednoznaczną ocenę, ponieważ ustawa, która w teorii powinna być mocno techniczna, jest u swych podstaw, polityczna. I to właśnie od warstwy politycznej należy się jej przyjrzeć w pierwszej kolejności.
Polityka i technologia
W języku polskim istnieje słowo, które sprawia, że wszystko w zdaniu wypowiedziane przed nim niejednokrotnie nie ma większego znaczenia. To, oczywiście, “ale”. Dlatego też celowość projektu ustawy o KSC można pokrótce opisać słowami: Krajowy System Cyberbezpieczeństwa nie jest wymierzony w chińskie firmy, ale…
Minister Cyfryzacji, Wicepremier, Krzysztof Gawkowski podczas spotkania z mediami mówił, że wprawdzie nikogo nie chce wykluczać (red. z rynku) ale także “Trudno nie oceniać aspektów geopolitycznych, biorąc pod uwagę miejsce, w którym jesteśmy, i wojnę, która się toczy i to, co się dzieje na świecie”.
Ta narracja może być oceniana różnie, w zależności od tego, jak dziś oceniamy rywalizację mocarstw i naszą rolę w globalnej przepychance między USA, Chinami i, w mniejszym stopniu, Europą i Rosją. Problem, jaki pojawia się w tej narracji jest jeden: niekonsekwencja. Zachód, do którego przynajmniej od 20 lat przynależymy, a szczególnie Stany Zjednoczone, wśród czołowych wartości wymienia także wolny rynek, nieskrępowany obrót towarowy. Jednakże, wraz z narastaniem wrogości pomiędzy Chinami i USA, wolnorynkowe wartości Zachodu zyskały swoje własne “ale”, które dodaje jedno zastrzeżenie: nie dla wszystkich.
Emanacją tego zjawiska są zarówno amerykańskie sankcje na chińskie produkty, jak i sojusznicze restrykcje, które w EU objawiają się m.in. w postaci przyjętego w 2020 roku toolboxa 5G – zbioru zasad skupionego na sieciach 5G, w ramach których ocenia się dostawców sprzętu telekomunikacyjnego pod kątem oceny ryzyka. Zasady te są także jedną z podstaw projektu KSC w Polsce.
Krok dalej
Proponowane przez Ministerstwo Cyfryzacji przepisy są poniekąd pochodną dwóch praw UE: wspomnianego już toolboxa 5G oraz dyrektywy 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa, szerzej znanej jako NIS2. Rzecz w tym, że polski ustawodawca poszedł o krok dalej w jednym aspekcie: zasięgu ustawy.
Jak wskazuje prof. dr hab. Maciej Rogalski, rektor Uczelni Łazarskiego i partner w kancelarii prawnej Rogalski i Wspólnicy w wypowiedzi dla Dziennika Gazety Prawnej, w znacznie większych od naszej gospodarkach, liczba objętych analogicznymi przepisami podmiotów jest mniejsza niż będzie w Polsce, jeśli ustawa o KSC wejdzie w życie w obecnej formie. W Niemczech implementacja NIS2 ma mieć zasięg około 35 tys. podmiotów. W drugiej gospodarce UE, Francji, 15 tys. A w Polsce?
Wymogi, które znajdziemy w proponowanych przepisach, chociaż w różnym stopniu, dotyczyć będą łącznie ponad 38,5 tys. podmiotów: od administracji publicznej, przez bankowość i ubezpieczenia, aż po produkcję żywności, energetykę i wytwórców chemicznych. Ta pokaźna liczba to wprawdzie w większości (prawie 28 tys.) administracja, ale także firmy, których nikt szczególnie z obszarem cyberbezpieczeństwa nie będzie wiązać. Mają jednak kluczowe znaczenie dla funkcjonowania kraju. Szerokość oddziaływania proponowanych przepisów jest więc pokaźna, ale jest to argumentowane koniecznością geopolityczną. Jednocześnie to właśnie szerokość oddziaływania ustawy wzbudza kontrowersje:
– Z perspektywy Huawei temat jest znany już od dłuższego czasu, ale mówimy tutaj o ponad 38 tys. firm i podmiotów. Dostrzegam też swego rodzaju nadregulację w kontekście NIS2 –w 11 państwach Unii, które już implementowały dyrektywę NIS2, nie zastosowano kryterium politycznego. Proponowane w ustawie zapisy są wyjątkowo restrykcyjne i z całą pewnością wyróżniają Polskę na tle innych krajów UE. Pytanie brzmi, jak w praktyce wpłyną na rodzimy biznes i jakie koszty poniosą polscy przedsiębiorcy – komentuje w wypowiedzi dla DGP Ryszard Hordyński, dyrektor ds. strategii i komunikacji w Huawei Polska.
Trudna kwestia Dostawcy Wysokiego Ryzyka
Jedną z proponowanych zasad, które najsilniej odbiją się na rynku, będzie wprowadzenie instytucji Dostawcy Wysokiego Ryzyka (DWR). Podmioty objęte działaniem ustawy będą zobowiązane do wymiany sprzętu pochodzącego od DWR w ciągu 7 lat. Jednak przedsiębiorcy telekomunikacyjni korzystający ze sprzętu, usług lub procesów ICT, które realizują funkcje określone w ustawie mianem krytycznych, będą na to miały tylko 4 lata. Czy to dużo? Tylko pozornie. Mówimy bowiem o wielkich ilościach urządzeń. W praktyce więc, biznesy oparte na technologii np. związane z segmentem data center czy telekomunikacji, będą musiały wymienić znaczną część swoich urządzeń w ledwie 4 lata. To będzie znaczący koszt, który z pewnością zostanie przeniesiony na użytkownika końcowego. W skrócie: usługi telekomunikacyjne lub hostingowe zapewne w wyniku wprowadzenia ustawy o KSC w obecnym jej kształcie zdrożeją. Można by było temu zjawisku zapobiec np. poprzez rekompensaty, ale takiego rozwiązania ustawodawca nie planuje wprowadzać.
Samo określenie kto jest, a kto nie jest DWR jest dość skomplikowane. Chociaż finalną decyzję podejmuje Minister Cyfryzacji, to postępowanie może zostać uruchomione na wniosek Kolegium ds. Cyberbezpieczeństwa. Proces ten może mieć, niestety, efekt mrożący. Wystarczy, że wobec konkretnej firmy zostanie wszczęte postępowanie mające na celu określenie czy jest ona DWR. Nie trzeba nawet wydawać ostatecznej decyzji – samo postępowanie sprawi, że rynek zrezygnuje z zakupu produktów i usług tego dostawcy, w obawie przed koniecznością wymiany tychże, do tego na własny koszt, który nie zostanie w żaden sposób zrefundowany.
Kto może zostać poddany postępowaniu? Tutaj panuje pewna dowolność, ale jednym z kryteriów jest, jak określa to projekt ustawy, prawdopodobieństwo znajdowania się ich „pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego”. Biorąc pod uwagę stopień rozwoju różnych gospodarek w obszarze IT, nietrudno wskazać ledwie trzy kraje, które spełniają to kryterium. Są to Japonia, Korea Południowa oraz Chiny. Dziś chyba nikt nie ma wątpliwości, że to ostatnia z wymienionych azjatyckich gospodarek jest pod szczególną uwagą organów państwa. Dlaczego? Powód jest polityczny: Japonia i Korea Południowa to, chociaż pośrednio, państwa sojusznicze. Chiny natomiast balansują pomiędzy zachowaniem dobrych relacji z Europą, a z drugiej strony z putinowską dyktaturą na Kremlu. Niestety, ofiarą tej polityki mogą paść chińskie firmy, które nieraz znajdują się w absolutnej czołówce w swoich branżach.
Miesiąc konsultacji i co dalej?
Okres konsultacji projektu trwa 30 dni i kończy się 24 maja. Po tej dacie publiczny wpływ na kształt ustawy będzie właściwie żaden. Przepisy wejdą w życie po miesiącu od publikacji, a adresaci będą mieć 6 miesięcy na ich wdrożenie, co oznacza, że firmy i instytucje, uznane w świetle ustawy za krytyczne, będą miały od chwili wydania decyzji 4 lata by zastosować się do wymogu wymiany sprzętu. Wcześniej, bo od dnia obowiązywania ustawy, na wiele firm i instytucji spadną dodatkowe obowiązki związane m.in. z raportowaniem incydentów, budowaniem strategii cyberbezpieczeństwa czy odbywaniem audytów. W praktyce może to oznaczać konieczność zatrudnienia osób, których zadania skupią się na tych aspektach.
Czy zatem wprowadzenie KSC w proponowanej formie będzie wiązało się z kosztami? Z całą pewnością.
Czy jest zasadne? Każdy powinien ocenić to samodzielnie.
