Związek Cyfrowa Polska zareagował na zaprezentowaną przez ministra w KPRM ds. cyfryzacji Janusza Cieszyńskiego nową wersję ustawy o Krajowym Systemie Cyberbezpieczeństwa. Prezes organizacji Michał Kanownik przypomina, że polski sektor cyfrowy, który reprezentuje, długo oczekiwał uporządkowania zagadnień bezpieczeństwa cyfrowego Polski, szczególnie w kontekście rozwoju sieci 5G. Jego zdaniem prace w tym zakresie nie powinny być dłużej przedłużane. Wskazuje ponadto na rosnące znaczenie cyberbezpieczeństwa i konieczność szybkiego działania w przypadku identyfikacji niegodnych zaufania źródeł infrastruktury 5G.
Nowa wersja projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa przedstawiona w połowie października opisuje m.in. mechanizm postepowania w sprawie uznania dostawcy sprzętu i oprogramowania dla podmiotów krajowego systemu cyberbezpieczeństwa za dostawcę wysokiego ryzyka. Ustawa określa również czas na wycofanie infrastruktury takiego dostawcy. Na ostateczny projekt ustawy długo czekała polska branża cyfrowa.
Obszar cyberbezpieczeństwa jest nadzwyczaj istotny, a jego znaczenie stale wzrasta wraz z postępującą cyfryzacją gospodarki i społeczeństwa. Ustawa nadająca bezpieczeństwu cyfrowemu techniczno-formalne ramy i porządkująca procedury związane m.in. z budową sieci 5G jest zatem konieczna. Jako branża zaangażowana w rozwój łączności i bezpiecznych usług cyfrowych pozytywnie oceniamy prace nad KSC – ocenia Michał Kanownik, prezes Związku Cyfrowa Polska.
Jasne ramy formalno-techniczne dla kluczowych zagadnień
Michał Kanownik pochwala przewidziane w projekcie ustawy o KSC postępowanie w sprawie uznania dostawcy sprzętu lub oprogramowania dla podmiotów krajowego systemu cyberbezpieczeństwa za dostawcę wysokiego ryzyka.
Już na poprzednich etapach przygotowań regulacji pozytywnie odnieśliśmy się do inicjatywy ustawodawcy, by wdrożyć jasne ramy prawne w tym zakresie. Rosnąca liczba ataków i skala zagrożeń sprawiają, że potrzebujemy przepisów, które w jasny sposób opisują ścieżkę postępowania wobec niegodnych zaufania podmiotów – wyjaśnia.
Zdaniem prezesa Związku Cyfrowa Polska warto bliżej przyjrzeć się ramom czasowym przewidzianym na wycofanie sprzętu lub oprogramowania przez dostawców uznanych za źródło wysokiego ryzyka. Nowy projekt ustawy mówi o 7 latach na wykonanie decyzji administracyjnej lub 5 latach w przypadku dostarczania infrastruktury dla funkcji krytycznych.
Choć wymiana i modernizacja infrastruktury sieciowej to zjawisko regularne ze względu na postęp technologii i cykl życia produktów, to wycofanie sprzętu w dużej skali jest bardzo złożonym procesem. Rozumiemy zatem, skąd wzięły się zaproponowane w projekcie ramy czasowe. Pamiętać należy jednak, że mówiąc o kwestiach bezpieczeństwa narodowego i gospodarczego kraju i sieciach 5G, które staną się podstawą cyfrowej gospodarki, w przypadku uznania, że dostawca infrastruktury nie jest godny zaufania, podjąć należy możliwie najszybsze działania na rzecz wymiany dostarczanych przez niego elementów i produktów. Cyberbezpieczeństwo nie może czekać, szczególnie, gdy na szali są procesy o znaczeniu krytycznym – wyjaśnia Michał Kanownik.
Jednolite podejście dla całej sieci
Komentując zagadnienie cyberbezpieczeństwa sieci mobilnych piątej generacji poruszane w projekcie ustawy, prezes Cyfrowej Polski zwraca uwagę, że w skali całej sieci, krytyczne znaczenie mieć może każdy jej element, który wykazuje podatność na atak.
Uważamy, że podejście do dostawców wysokiego ryzyka powinno być ujednolicone zarówno dla warstwy CORE, jak i RAN sieci 5G. Kryteria uznania dostawcy jako obarczonego wysokim ryzykiem powinny być jednakowe niezależnie od elementu sieci, jaki on dostarcza. Wszystkie komponenty sieci powinny podlegać rozważaniu nt. ryzyka i być traktowane jako potencjalnie krytyczne – wskazuje Michał Kanownik.
Prezes Cyfrowej Polski apeluje również o jak najszybsze sfinalizowanie prac nad projektem.
Przyjęcie ustawy jest ważne z uwagi nie tylko na bezpieczeństwo narodowe, ale i rozwój gospodarczy. Polski biznes wiąże duże nadzieje z siecią nowej generacji, która pozwoli usprawnić np. funkcjonowanie przemysłu oraz tworzyć nowe usługi i produkty w różnych sektorach, takich jak choćby energetyka, służba zdrowia, edukacja czy komunikacja. Nie stać nas na dalsze zwlekanie z implementacją 5G w naszym kraju. By ruszyć z miejsca, musimy tylko mieć odpowiednie wiążące regulacje – zaznacza.
Opracowany przez rząd projekt ustawy o KSC i przedstawiony w ubiegłym tygodniu opisuje również m.in. podstawy dla Funduszu Cyberbezpieczeństwa i wprowadzenie jednolitej siatki płac dla ekspertów pracujących w jednostkach odpowiedzialnych za cyberbezpieczeństwo oraz operatora strategicznej sieci bezpieczeństwa.
