Andrzej Arendarski, prezydent Krajowej Izby Gospodarczej (KIG) w kometarzu dla ISBtech na temat projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).
Bezpieczeństwo cyfrowe w sposób nierozerwalny łączy ze sobą działania na polu Państwa, Biznesu i Obywatela. Przechodzenie do formuły powszechności komunikacji cyfrowej nie jest już przywilejem czy planem jest rzeczywistością, za którą stoją niestety ogromne ryzyka.
Nowelizacja tak, ale z wizją
Technologia zawsze wyprzedza regulacje prawne stąd ich wdrażanie musi charakteryzować się bieżącą – a bardziej przyszłą wizją.
Na szczeblu krajowym kwestie związane z funkcjonowaniem systemu bezpieczeństwa cyfrowego określa Ustawa KSC, która jest bezpośrednią implementacją wspólnotowej Dyrektywy NIS
Technologie cyfrowe charakteryzują się ciągłą rotacją, mają to w zasadzie wpisane w swoje DNA, stąd inicjatywy Rządu związane z nowelizacją Ustawy KSC są i będą wymogiem dostosowującym prawo do otoczenia. Wprowadzona 1 sierpnia 2018 r Ustawa KSC doczekała się obecnie trzech działań związanych z jej nowelizacją.
Byłoby to absolutnie zrozumiałe gdyby nowelizacje ustawy miały charakter konsekwentnej unifikacji prawa. Poprzednie próby nowelizacji wprowadzały bardzo potrzebne wsparcie dla działań Zespołów Reagowania na Incydenty (CSIRT), Centra Wymiany Analiz i Informacji (ISAC) czy też wsparcie budowy Centrów Operacji (SOC).
W nowelizacjach pojawiały się również dość kontrowersyjne zapisy jak choćby arbitralne uprawnienia nadane Kolegium, które może decyzją administracyjną bez jakiejkolwiek możliwości odwołania zmienić dostawców sprzętu i oprogramowania.
Patrząc się na bezpieczeństwo cyfrowe na świecie – region, w którym my żyjemy może być i jest szczególnie narażony na ataki, inwigilacje i dezinformacje z obszaru świata, gdzie „wschód słońca jest wcześniej niż Europie”.
Kwestia polityczna
Stąd podtekst polityczny jest zrozumiały i nie jest to tylko problem w naszym kraju. Pozostaje jednak pytanie, czy ta formuła będzie wykorzystywana również w innych celach, które nie są związane z bezpieczeństwem cyfrowym Polski?…
Obecna nowelizacja, której tryb i zasady są odmienne do dotychczas stosowanych konsultacji społecznych nie może dać spokoju przedsiębiorcom z branży, ale również jak nie przede wszystkim podmiotom i osobom korzystających z ich usług. Stąd szerokość konsultacji jest bezwzględnie pożądana podobnie jak maksymalnie długie vacatio legis. Długi okres obowiązywania ustawy bierze się z faktu ogromnej ilości skutków, które ponosić będą dostawcy usług cyfrowych jak również ich odbiorcy.
Szybkie wprowadzenie nowego prawa prawdopodobnie spowoduje chaos organizacyjny i prawny ponieważ obecnie zaprezentowana nowelizacja zakłada również wcześniej nie sygnalizowane zmiany jak choćby powołanie Operatora Strategicznej Sieci Bezpieczeństwa (OSSB), która to ma powołać Spółkę (Polskie 5G) a wszystko to ma być finansowane głównie ze środków publicznych. Należy w tym miejscu przypomnieć, że idea powołania wyżej wymienionego podmiotu jest znana na rynku od 2019 r. , jednak do tej pory interesariusze, bez których działanie to nie jest możliwe – nie porozumieli się.
Wydaje się, że niestandardowy sposób przeprowadzenia konsultacji może dotyczyć niestandardowego przyjęcia nowych zapisów prawa.
Minione dwa lata zderzenia się ludzkości z wirusem wykazuje powszechne zainteresowanie wykorzystania technik cyfrowych przez wszystkich. Zarejestrowana ilość incydentów na rynku polskim w 2020 r. z raportu NASK zamyka się liczbą ok 250 tys. Są to jednak tylko zdarzenia zarejestrowane i tylko zdarzenia w ramach jednego z trzech w Polsce Centrów Reagowania.
Eksperci branżowi szacują, że może być to jedynie ok 10% faktycznych incydentów na rynku. Skala incydentów jak pokazują światowe trendy na pewno będzie się zwiększała i to niestety nie w funkcji liniowej.
Obrona przed cyberzagrożeniami
Organy Państwa wydaje się, iż widzą potrzebę aktywności, dlatego m. in.
- MSWiA powołało Centralne Biuro do zwalczania przestęp cyberbezpieczeństwa,
- MON we wrześniu b.r. powołał Departament Cyberbezpieczeństwa,
- Prawdopodobnie w 2022 r. zostanie powołany nowy rodzaj Sił Zbrojnych RP bazujący na Narodowym Centrum Bezpieczeństwa Cyberprzestrzeni.
Wszystkie te działania służą uszczelnieniu naszego Państwa jaki i Obywateli przed coraz liczniejszymi incydentami. Stąd zmiany prawa w formule ad hoc na pewno nie są oczekiwane przez Przedsiębiorców, dla których stabilność prawa jest fundamentem prowadzenia biznesu. Należy również zadać sobie pytanie czy obecna nowelizacja a istniejące prawo jest zgodna z prawem polskim i wspólnotowym. Jak ma się do tego in spe Prawo Komunikacji Elektronicznej czy choćby Europejski Kodeks Łączności Elektronicznej?
