Co dalej z Krajowym Systemem Cyberbezpieczeństwa? Głos z Centrum im. Adama Smitha i odpowiedź Ministerstwa

Krajowy System Cyberbezpieczeństwa (KSC) to doprawdy temat-rzeka. Nie tylko w szerokości działania, ale też, a może głównie, w czasie realizacji prac nad zmianami, które są dość powszechnie określane jako pilne. Jednak pokuszę się o stwierdzenie, że lepiej późno ale dobrze, niż szybko i byle jak. 

Kiedy wiosną 2024 roku Ministerstwo Cyfryzacji zapowiadało start konsultacji nad projektem ustawy o Krajowym Systemem Cyberbezpieczństwa, zapowiedzi tej towarzyszyły także deklaracje dotyczące terminów. Na tę chwilę, co nie powinno specjalnie dziwić, biorąc pod uwagę złożoność problematyki KSC, prace są nieco poza sugerowanymi wcześniej przez Ministerstwo, ramami czasowymi. I te, wciąż nieznaczne (zwłaszcza mając w pamięci całe lata prac nad projektem KSC przez poprzedni Gabinet) opóźnienia są zrozumiałe, zwłaszcza, że co rusz pojawiają się, płynące z różnych stron, wątpliwości dotyczące części zapisów z aktualnego projektu.

Projekt nowelizacji ustawy o cyberbezpieczeństwie, wdrażający unijną dyrektywę NIS 2, wywołuje szeroką debatę w Polsce. Zgodnie z raportem Centrum im. Adama Smitha, proponowane rozwiązania mogą mieć daleko idące konsekwencje dla gospodarki cyfrowej, a nawet, paradoksalnie, obniżyć poziom bezpieczeństwa cyfrowego kraju. Jak? Chociaż może to wydawać się dziwne; przez zbyt ambitne podejście do tematu.

Należy bowiem pamiętać, że podstawowym elementem nowelizacji KSC jest implementacja do polskiego prawa zapisów unijnej dyrektywy NIS 2.  Ta natomiast została opracowana jako odpowiedź na rosnące zagrożenia cybernetyczne oraz zmieniające się potrzeby cyfrowego świata. Wprowadza nowe standardy bezpieczeństwa dla kluczowych sektorów, takich jak energetyka, bankowość czy ochrona zdrowia. Jednak sposób, w jaki Polska zamierza wdrożyć te przepisy, budzi wątpliwości niektórych aktorów rynku.

Centrum Adama Smitha wobec KSC

Projekt nowelizacji, przygotowany przez Ministerstwo Cyfryzacji, wprowadza dwie kategorie podmiotów: kluczowych i ważnych z punktu widzenia cyberbezpieczeństwa. Kluczowym elementem jest możliwość uznania danego dostawcy za podmiot wysokiego ryzyka na podstawie arbitralnej decyzji ministra cyfryzacji. Taki status oznaczałby automatyczne wykluczenie z rynku polskiego.

Eksperci zwracają uwagę, że rozwiązania te mają charakter dyskrecjonalny, co może prowadzić do nieprzewidywalności i chaosu. W raporcie pt. „Ograniczenie rozwoju polskiej gospodarki cyfrowej?” Andrzej Sadowski, prezydent Centrum im. Adama Smitha, podkreśla, że takie przepisy mogą obniżyć poziom bezpieczeństwa narodowego, ograniczyć dostęp Polski do konkurencyjnych technologii i negatywnie wpłynąć na innowacyjność gospodarki. Sadowski wskazuje, że otwartość na różnorodne technologie z całego świata jest jednym z kluczowych czynników sukcesu nowoczesnych państw. Jako przykład (prawdę mówiąc obecnie niekoniecznie szczęśliwy) podaje Izrael, który skutecznie adoptuje technologie pochodzące z różnych źródeł, w tym tych uznawanych za nieprzyjazne, dostosowując je do własnych potrzeb. Według eksperta, Polska powinna obrać podobną strategię, zamiast wprowadzać ograniczenia, które mogą pozbawić kraj dostępu do najnowszych osiągnięć technologicznych.

Jednakże z potencjalnych „czerwonych flag”, które Andrzej Sadowski wskazuje w raporcie, odnosi się do czegoś zupełnie innego, co, jak sądzę, bardzo dobrze rezonuje z warunkami kulturowymi polskiego rynku. Raport ostrzega również przed potencjalnym ryzykiem korupcji, które może wynikać z arbitralnego podejścia do oceny dostawców technologii. Nieco uznaniowy charakter decyzji administracyjnych mogą prowadzić do nadużyć, co stanowi zagrożenie zarówno dla bezpieczeństwa państwa, jak i dla efektywności gospodarki.

Odpowiedź Ministerstwa Cyfryzacji

Ministerstwo Cyfryzacji, patronujące projektowi, wskazuje jednak, że twierdzenie iż wskazanie podmiotu jako Dostawcy Wysokiego Ryzyka to decyzja wyłącznie uznaniowa i polityczna, jest fałszywe. W informacji prasowej z 30 grudnia 2024 roku Ministerstwo podaje m.in. takie przykłady rzekomej dezinformacji:

• Dezinformacja: Decyzja o uznaniu dostawcy za dostawcę wysokiego ryzyka to arbitralna decyzja polityczna.
  • Fakt: Decyzja ta ma być wynikiem wieloetapowego postępowania, w którym uczestniczyć będzie Kolegium do Spraw Cyberbezpieczeństwa oraz fakultatywnie, organizacje społeczne i Prezes UOKiK.

• Dezinformacja: Przy wydawaniu decyzji nie będą brane pod uwagę przesłanki techniczne, a wyłącznie polityczne.
  • Fakt: Decyzja będzie uwzględniać indywidualną sytuację przedsiębiorcy, biorąc pod uwagę zarówno przesłanki prawno-polityczne (ryzyko stworzenia zagrożeń w wymiarze ekonomicznym, wywiadowczym czy terrorystycznym), jak i techniczne, takie jak liczba i rodzaj wykrytych podatności i incydentów, tryb i zakres w jakim dostawca sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania, posiadanie przez dostawcę certyfikatów.

Pochylając się nieco nad tymi przykładami, warto zauważyć, że wiele tu zależy od interpretacji intencji i zaufania wobec rzetelności procesów. Wspomniane chociażby wieloetapowe postępowanie, prowadzone przez Kolegium do Spraw Cyberbezpieczeństwa, to oczywiście dobry pomysł. Nie ma mowy o indywidualnej decyzji jednego urzędnika, nawet tak wysoko postawionego jak Minister Cyfryzacji. Jednakże warto zauważyć, że skład Kolegium jest albo polityczny (Minister Cyfryzacji, Minister Obrony Narodowej, szef BBN itd.), albo wyłoniony spośród instytucji podlegających, lub budżetowo uzależnionych od ministerstw. Nie znaczy to oczywiście, że system ten jest z gruntu wadliwy. Wręcz przeciwnie. Osobiście spodziewałbym się tam jednak także przedstawicieli organizacji branżowych związanych z tematami kluczowymi dla cyberbezpieczeństwa.

Drugi z wymienionych punktów, chociaż w ogólnej koncepcji słuszny, nie „waży” wymienionych czynników. Wymienia natomiast czynnik techniczny, czy właściwie cały szereg tychże: „liczba i rodzaj wykrytych podatności i incydentów, tryb i zakres w jakim dostawca sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania, posiadanie przez dostawcę certyfikatów”. Mówiąc wprost: wiemy, że zarówno czynnik określony jako prawno-polityczny, jak i zestaw czynników technicznych grać będą rolę w procesie decyzyjnym, ale nie wiemy jak dokładnie ów proces będzie przebiegał. Czy np. pełne spełnienie wymogów technicznych, ale pochodzenie np. z Chin, nie wyeliminuje dostawcy sprzętu z rynku?

Znowelizowane KSC w 2025 roku? 

Reasumując – nie wątpię w dobre intencje Ministerstwa Cyfryzacji, ani w konieczność uregulowania niektórych elementów gospodarczo-cyfrowej układanki. Zarzut, kierowany wobec autorów projektu, mówiący, że niepotrzebnie idą oni dalej niż założenia NIS2 można, moim zdaniem odrzucić, gdyż położenie Polski jest zupełnie inne niż większości krajów, które też muszą wdrożyć lub już wdrożyły NIS2. To, że zajmujemy specjalne miejsce na liście rosyjskich celów ataków hakerskich jest faktem.

Jednak, to co może budzić cień wątpliwości, to procedury podejmowania decyzji. Być może, na jakimś etapie, warto zasięgnąć opinii organizacji branżowych? Mam szczerą nadzieję, że Ministerstwo Cyfryzacji zdoła opracować taki projekt, który, nawet jeśli nie zadowoli wszystkich, to będzie możliwie mało ryzykowny dla podmiotów objętych działaniem ustawy. Czy zobaczymy wchodzącą w życie nowelizację jeszcze w tym roku? Czas pokaże.