Ręczne sterowanie firmami? Ustawa o KSC budzi kontrowersje

• Nowelizacja ustawy o KSC nakłada na kluczowe firmy (m.in. energetyczne, bankowe, e-commerce) nowe obowiązki cyberbezpieczeństwa, w tym zarządzanie ryzykiem i zgłaszanie incydentów.
• Projekt ustawy budzi kontrowersje, zwłaszcza zapis o „dostawcy wysokiego ryzyka” (DWR), który pozwala ministrowi wykluczyć sprzęt, co prezes KIKE nazywa „komunistyczną praktyką” i szacuje na miliardowe koszty.
• Firmy muszą wdrożyć system zarządzania bezpieczeństwem, wyznaczyć osobę kontaktową i przeprowadzać audyty, a za niezastosowanie się grożą kary do 200 000 zł.
• Eksperci ostrzegają, że obecna forma ustawy jest „niebezpieczna dla bezpieczeństwa cyfrowego Polaków”, a odpowiedzialność za ewentualne pogorszenie sytuacji spada wyłącznie na przedsiębiorców

Kogo dotyczy ustawa o Krajowym Systemie Cyberbezpieczeństwa?

W Sejmie ruszyły prace nad rządowym projektem implementacji unijnej dyrektywy NIS2, która ma podnieść poziom cyberbezpieczeństwa. W pierwszej dyskusji licznie uczestniczyli przedstawiciele izb gospodarczych.Projekt jest obszerny i nałoży nowe obowiązki na kilkadziesiąt tysięcy podmiotów prywatnych i publicznych. Ale najwięcej emocji budzą rozwiązania dotyczące tzw. dostawców wysokiego ryzyka.

Głównym celem ustawy jest stworzenie ram prawnych, które mają wzmocnić odporność polskiej gospodarki i administracji na cyberzagrożenia. Regulacje nie dotyczą jednak wszystkich. Przepisy precyzyjnie określają grupy podmiotów, które muszą wdrożyć nowe zasady. Ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmuje szerokie grono podmiotów, od sektora energetycznego i bankowego, po dostawców usług cyfrowych, takich jak platformy e-commerce i chmury obliczeniowe.

Do kluczowych grup zobowiązanych do stosowania ustawy należą:

• Operatorzy usług kluczowych – to firmy mające krytyczne znaczenie dla funkcjonowania państwa i gospodarki, działające m.in. w sektorach energetyki, transportu, bankowości, finansów, a także ochrony zdrowia.
• Dostawcy usług cyfrowych – kategoria ta obejmuje internetowe platformy handlowe, usługi przetwarzania w chmurze oraz wyszukiwarki internetowe.

Podmioty publiczne – czyli jednostki sektora finansów publicznych.

Jednak nowelizacja, która trafiła do Sejmu, budzi ogromne kontrowersje w branży. W rozmowie z portalem CyberDefence24 Karol Skupień, Prezes Zarządu Krajowej Izby Komunikacji Ethernetowej (KIKE), ocenia projekt bardzo krytycznie. „Uważam, że należy wprowadzić zmiany do nowelizacji, ponieważ w obecnej formie ustawa jest niebezpieczna dla bezpieczeństwa cyfrowego Polaków; pogarsza sytuację w wielu aspektach” – stwierdził ekspert.

Ta sprawa budzi najwięcej kontrowersji

Najwięcej emocji budzą rozwiązania dotyczące dostawców wysokiego ryzyka (DWR lub z ang. HRV). Stanowią one wdrożenie innych unijnych narzędzi oceny ryzyka dostawców sprzętu do sieci telekomunikacyjnych (znanych jako toolbox). Krytykę budzi m.in. fakt, że środki bezpieczeństwa przewidziane pierwotnie dla operatów sieci komórkowych 5G zostały rozszerzone na wszystkie podmioty KSC.

Nowela przewiduje, że decyzje o uznaniu dostawcy produktów, usług lub procesów związanych z technologiami informacyjno-telekomunikacyjnymi (ICT) za dostawcę wysokiego ryzyka będzie wydawał minister cyfryzacji. Podmioty KSC nie będą mogły kupować od DWR sprzętu objętego decyzją, a już posiadany będą musiały wymienić w ciągu 4-7 lat, za co nie przewidziano rekompensaty.

Olbrzymie kontrowersje

Wtorkowe posiedzenie komisji trwało ponad trzy godziny. Prof. dr hab. Marek Chmaj, ekspert Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców PRZEDSIĘBIORCY.PL, zwrócił uwagę, że skutki decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka obejmują wiele podmiotów. - W przypadku wydania decyzji o uznaniu za dostawcę wysokiego ryzyka podmioty kluczowe i ważne (podmioty nowego KSC – red.) mają mieć od 4 do 7 lat na wycofanie produktów i usług ICT. Te terminy, mam nadzieję, zostały dobrane po przemyśleniach, ale czy nie warto zastanowić się, jakie są rzeczywiste terminy eksploatacji określonych urządzeń tak, żeby te terminy dopasować do faktycznego zużywania się urządzeń? - mówił prof. Marek Chmaj.- Nie wiem, jak większość parlamentarna, ale ja osobiście się nie ugnę – przekonywał w trakcie posiedzenia komisji Paweł Olszewski, wiceminister cyfryzacji broniąc procedury dotyczącej dostawców wysokiego ryzyka, stanowiącej najbardziej kontrowersyjny element rządowego projektu nowelizacji ustawy o KSC.

Jakie są kluczowe obowiązki dla firm i jak zarządzać ryzykiem?

Ustawa nakłada na firmy konkretne zadania, które można podzielić na dwa główne obszary:

• proaktywne zarządzanie bezpieczeństwem oraz
• reaktywne zarządzanie incydentami.

Podstawowym wymogiem jest wdrożenie adekwatnego systemu zarządzania ryzykiem i odpowiednich środków technicznych oraz organizacyjnych. Największe emocje budzi jednak wprowadzana instytucja „dostawcy wysokiego ryzyka” (DWR). Mechanizm ten daje ministrowi prawo do wykluczenia sprzętu danego producenta z polskiego rynku.

Zdaniem Karola Skupnia to niebezpieczny i szkodliwy zapis. Według prezesa KIKE, jednym z głównych problemów jest przyznanie urzędnikom prawa do ręcznego decydowania o tym, na jakim sprzęcie mają pracować prywatne firmy, co określił mianem „komunistycznej praktyki”. 

Jak podkreśla w wywiadzie dla CyberDefence24, rząd powinien skupić się na wymogach jakościowych i standaryzacji, a nie na wskazywaniu konkretnych dostawców.

„Wydamy miliardy złotych na zastąpienie jednych rozwiązań drugimi, a Rosjanie nadal będą nas atakować, bo jedno z drugim nie ma nic wspólnego” – argumentuje, wskazując, że argumentacja rządu łącząca ataki hakerskie z pochodzeniem sprzętu jest manipulacją.

Mimo kontrowersji, formalne wymogi pozostają jasne. Jednym z najważniejszych nałożonych na przedsiębiorców obowiązków jest zgłaszanie poważnych incydentów do właściwego zespołu CSIRT (Computer Security Incident Response Team) w ciągu 24 godzin od ich wykrycia. Firmy muszą także wyznaczyć osobę kontaktową do współpracy z podmiotami KSC oraz regularnie przeprowadzać audyty bezpieczeństwa.

Nadzór, kontrola i kary, czyli co grozi za błędy?

Wdrożenie Krajowego Systemu Cyberbezpieczeństwa nie jest jedynie rekomendacją – za przestrzeganie przepisów odpowiadają organy właściwe, takie jak ministrowie poszczególnych resortów. Mają one prawo do przeprowadzania kontroli u operatorów usług kluczowych i dostawców usług cyfrowych. Kontrolerzy mogą żądać dostępu do dokumentacji, systemów informatycznych oraz wyjaśnień dotyczących wdrożonych zabezpieczeń.

W przypadku stwierdzenia nieprawidłowości organ kontrolujący może wydać zalecenia pokontrolne. Eksperci z KIKE zwracają jednak uwagę na brak symetrii. „Tymczasem procedura DWR jest tak skonstruowana, że minister może nakazać nam wymianę sprzętu, ale jeśli w konsekwencji sytuacja się pogorszy, nie odpowie za błędy tej decyzji” – alarmuje Karol Skupień. Cała odpowiedzialność pozostaje po stronie przedsiębiorcy, który dodatkowo może zostać ukarany finansowo.

Za naruszenie przepisów, w tym niezastosowanie się do zaleceń pokontrolnych, ustawa przewiduje kary pieniężne w wysokości do 200 000 zł. Nowe przepisy stanowią implementację unijnej dyrektywy NIS i są odpowiedzią na rosnącą skalę cyberzagrożeń. Dla przedsiębiorców oznaczają one konieczność potraktowania cyberbezpieczeństwa jako strategicznego priorytetu, a nie jedynie problemu działu IT.