16 grudnia odbyły się rozmowy pomiędzy sejmową Komisją Cyfryzacji, Innowacyjności i Nowoczesnych Technologii debatowali, a środowiskiem biznesowym, wliczając w to przedstawicieli organizacji branżowych. Tematem rozmów były zmiany, które miałyby pojawić się w ustawie o Krajowym Systemie Cyberbezpieczeństwa. Pytanie tylko: czy to kolejna dyskusja dla samej dyskusji?
Zacznijmy od oczywistości: dat. Ponieważ nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) jest jednocześnie wprowadzeniem do polskiego prawa zapisów dyrektywy NIS2, powinna, w założeniu, wejść w życie zgodnie z czasem przyjętym dla owego europejskiego dokumentu. Problem w tym, iż NIS2 (przyjęty przez kraje członkowskie UE w styczniu 2023 roku), ma zapisany termin implementacji do… 17 października 2024 r. Tymczasem mamy grudzień 2025 roku, a NIS2, jak nie działał w Polsce, tak nie działa. Powód? Przeciągające się prace nad nowelizacją KSC. Te natomiast realizowane są od wielu lat. Podobnie w przypadku poprzedniego rządu, jak i obecnej koalicji, nie wydaje się, by owe prace miały nas gdziekolwiek zaprowadzić.
Wtorkowe konsultacje były w praktyce starciem dwóch spojrzeń na aktualny projekt nowelizacji. Pierwsze, nazwijmy je na potrzeby tego artykułu spojrzeniem “rządowym”, oraz drugie, roboczo nazwane przeze mnie “ostrożnym”, nie różnią się co do samego faktu konieczności nowelizacji, ani choćby oceny ryzyka, ale przedstawiają znaczące różnice w podejściu do detali, które rzutują na skuteczność całego dokumentu. Przede wszystkim kontrowersje wzbudza wprowadzenie i opisanie pojęcia Dostawców Wysokiego Ryzyka (DWR) oraz szerokość działania ustawy, która nakłada w obecnym kształcie obowiązki na około 40 tysięcy podmiotów, z których, jak możemy założyć z przekonaniem bliskim pewności, większość nie jest przygotowana na wejście tak złożonych regulacji.
Głos Ministerstwa Cyfryzacji
Zacznijmy od spojrzenia “rządowego”, które na konsultacjach przedstawił Paweł Olszewski, Wiceminister Cyfryzacji. Trudno nie zgodzić się z wysnutą przez niego narracją, mówiącą o potężnym znaczeniu cyberbezpieczeństwa w polskim położeniu geograficznym. Jak zaznaczył Wiceminister, tylko w 2025 roku poważnych ataków i incydentów z zakresu cyberbezpieczeństwa, jakich doświadczyły polskie organizacje (firmy, samorządy, instytucje etc.) było ponad 200 tysięcy. To oznacza, iż dziennie takich zdarzeń odnotowuje się około 570. To stawia Polskę wśród czołówki najczęściej atakowanych państw na świecie. Przyczyny tego stanu rzeczy są raczej oczywiste. W “rządowym” spojrzeniu na KSC, obok całkiem słusznego tonu alarmistycznego, jest także ta część, która bywa postrzegana jako kontrowersyjna. To przede wszystkim termin Dostawców Wysokiego Ryzyka (DWR).
– Wprowadzamy instytucję Dostawców Wysokiego Ryzyka, która ma na celu zapewnienie bezpieczeństwa państwa i obywateli przed zagrożeniami technologicznymi. To nie jest decyzja arbitralna ministra, ale wieloetapowa procedura z udziałem kolegium ds. cyberbezpieczeństwa i możliwością odwołania się do sądu – podkreślił wiceminister Olszewski.
DWR nie jest określany, jak podkreślał wiceminister Olszewski, dzięki arbitralnej decyzji Ministerstwa Cyfryzacji, ale poprzez decyzję podjętą na podstawie opinii Kolegium ds. Cyberbezpieczeństwa. W skład Kolegium, według projektu ustawy, wchodzą Premier RP (jako Przewodniczący), Pełnomocnik Rządu ds. Cyberbezpieczeństwa, Sekretarz Kolegium oraz ministrowie odpowiedzialni za sprawy wewnętrzne, informatyzację, obronę narodową, zagraniczne, finansów, Szef BBN i Koordynator Służb Specjalnych, wspierani przez Dyrektorów RCB, ABW, SKW oraz NASK. Tak szerokie grono, w teorii, powinno zapewniać obiektywne spojrzenie pozbawione uprzedzeń i preferencji. Jednak, jak nie jest trudno zauważyć, większość tych stanowisk jest bezpośrednio, lub pośrednio, związane lub zależne od rządu. Wyjątkiem jest tu Szef BBNu, który jest zależny od Prezydenta.
Kontrowersją wokół DWR jest także to, iż procedurą badania czy danego dostawcę zaliczyć do grona DWR czy nie, będą, zgodnie z projektem, objęte firmy spoza UE i NATO. Chociaż przedstawiciele Ministerstwa Cyfryzacji wielokrotnie podkreślali, iż nie jest to zasada wymierzona w firmy chińskie, trudno oprzeć się wrażeniu, iż celem tego zapisu nie byli dostawcy z Korei Południowej, Japonii czy Tajwanu.
Innym elementem narracji rządowej jest konieczność bardzo szerokiego działania ustawy, tak, aby objąć nią naprawdę dużą liczbę podmiotów. Argumentacja jest, w tym przypadku, całkiem czytelna: im szerzej będą działać przepisy nowego KSC, tym bezpieczniej, a o bezpieczeństwo tutaj przecież chodzi.
Głos branży i ekspertów
Bardziej krytyczne spojrzenie na projekt mają liczni eksperci i przedstawiciele organizacji branżowych. Profesor Marek Chmaj, prawnik, konstytucjonalista, stwierdził kilka wad w aktualnym projekcie. Główna oś jego krytyki koncentruje się na zjawisku tzw. gold-platingu, czyli nadmiernym rozszerzeniu zakresu ustawy względem unijnej dyrektywy NIS2. Ekspert zauważył, iż polskie załączniki obejmują szerszy katalog sektorów i podmiotów niż wymagają tego przepisy wspólnotowe, co rodzi uzasadnione pytania o proporcjonalność regulacji i o to, czy wszystkie objęte nią firmy są rzeczywiście krytyczne dla bezpieczeństwa państwa. Szczególne zaniepokojenie konstytucjonalisty budzi brak ochrony dla sektora SMB. Chmaj podkreśla, iż małe i średnie przedsiębiorstwa, nieposiadające rozbudowanego zaplecza administracyjnego, mogą nie udźwignąć ciężaru nowych, skomplikowanych obowiązków.
– Katalog podmiotów, które są objęte zakresem projektowanej ustawy, jest szeroki. Załączniki numer 1 i 2 do projektu, które określają sektory najważniejsze i ważne, są szersze niż katalogi załączników numer 1 i 2 do dyrektywy NIS2. Warto w toku prac parlamentarnych pochylić się nad weryfikacją katalogów z sektorów kluczowych i ważnych pod kątem tego, czy obejmują one podmioty autentycznie niezbędne z punktu widzenia zdrowia i bezpieczeństwa. Po drugie, obowiązki podmiotów kluczowych oraz ważnych wydają się niedostatecznie zróżnicowane. Za niedopełnienie obowiązków ustawowych grożą surowe kary pieniężne o charakterze administracyjnym. Projekt zatem stwarza ryzyko, iż podmioty mające mniejszy aparat administracyjny, będą miały poważne problemy organizacyjne w zakresie dostosowania się do nowych regulacji – powiedział profesor Marek Chmaj
Równie krytycznie odniósł się on do przepisów dotyczących Dostawców Wysokiego Ryzyka (DWR). Wskazał na nieostrość i arbitralność kryteriów oceny dostawców, co stwarza niebezpieczeństwo podejmowania decyzji o charakterze politycznym, uderzając w stabilność inwestycyjną rynku. Co więcej, przewidziany w ustawie siedmioletni termin na przymusową wymianę infrastruktury uznał za nierealistycznie krótki. Najpoważniejszym zarzutem w tym obszarze pozostaje jednak brak przewidzianych rekompensat.
Podobne uwagi wyraził przedstawiciel Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców, Piotr Podgórski, dodając, iż duża część firm objętych działaniem nowego KSC nie jest dziś w ogóle świadoma obowiązków z tego wynikających. Zwrócił też uwagę na kwestię kosztów.
– Zaszycie w projekcie ustawy 5G Toolbox nie pochodzi jeden do jednego z dyrektywy unijnej – idzie dużo szerzej i dotyczy całego spektrum w ramach ICT. Tak daleko idąca regulacja jest według nas niezgodna z NIS2 i z 5G Toolbox. Paradoksem jest dla nas ustanowienie cenzusu majątkowego – to dla nas naruszenie równości wynikającej z Konstytucji – powiedział Piotr Podgórski
Eksperci branżowi podkreślali także bardzo szeroki zakres działania ustawy. Kinga Pawłowska-Nojszewska z Krajowej Izby Komunikacji Ethernetowej wskazała na to, iż polskie przepisy idą znacząco dalej niż dyrektywa NIS2, którą powinny wdrożyć:
– Objęcie regulacją aż 40 tys. podmiotów, podczas gdy 5G Toolbox mógłby dotyczyć tylko 4, to nadregulacja. Ustawa powinna skupiać się na eliminacji incydentów, a nie na usuwaniu urządzeń. Projekt przewiduje wyższy próg niż ten w NIS2 – apelujemy, żeby tak nie było, to także element nadregulacji. (…) Filarem bezpieczeństwa jest dywersyfikacja dostawców, a nie usuwanie sprzętu – powiedziała Kinga Pawłowska-Nojszewska.
Kwestię nadregulacji, którą mają cechować się proponowane przepisy, poruszył także w niedawnym wywiadzie dla Cyberdefence24 Karol Skupień, Prezes Zarządu Krajowej Izby Komunikacji Ethernetowej (KIKE):
– Rozszerzenie mechanizmu dostawcy wysokiego ryzyka na inne sieci jest pomysłem polskiego rządu. Trzeba powiedzieć wprost: nie mamy tu do czynienia z wdrażaniem unijnych przepisów, ale nadregulacją. Powtórzę raz jeszcze: obecny projekt nowelizacji ustawy o KSC jest szkodliwy dla Polski, ponieważ daje urzędnikowi prawo do manualnego sterowania i decydowania – podobnie jak za czasów komunizmu – o tym, na jakim sprzęcie mają pracować firmy. Równocześnie przepisy nie nakładają na niego odpowiedzialności, pozostawiając ją na barkach przedsiębiorstw – powiedział Karol Skupień, KIKE – Naszym zdaniem to przekroczenie uprawnień konstytucyjnych.
Głos zabrał także Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji. Zamiast krytyki projektu, prezes organizacji zrzeszającej firmy z obszaru IT i telekomunikacji, podkreślił wagę cyberbezpieczeństwa oraz możliwie szybkie wprowadzenie wzmacniających je przepisów:
– Cieszymy się, iż ta regulacja nadchodzi, bo jest ważna i potrzebna. Przychylam się do wniosku, aby w możliwie najkrótszym czasie ją przyjąć. Natomiast nadchodzi kolejny etap, który będzie bardzo istotny i znaczący, a mianowicie wdrożenie aktów wykonawczych. I tutaj oczekuję, iż branża będzie włączona w dyskusję o tym, jak to będzie praktycznie wprowadzane. Podstawowym celem, który wszyscy chcemy osiągnąć, jest bezpieczeństwo polskiej infrastruktury, polskiej sieci, polskiego przekazu informacji i funkcjonowania naszej gospodarki – powiedział Andrzej Dulka
Niekończąca się opowieść
Mam wrażenie, iż ten spektakl widziałem już wcześniej. Jest projekt nowelizacji ustawy, jest konsultowany, być może, w wyniku tychże konsultacji pojawią się jakieś modyfikacje. Fakt jednak pozostaje taki, iż gotowego, działającego i wdrożonego skutecznie prawa nie ma, pomimo lat pracy nad nowelizacją. To nie jest zresztą zarzut wobec obecnego Ministerstwa Cyfryzacji. Obecny rząd istnieje dwa lata, podczas gdy za poprzedników prace trwały wyraźnie dłużej. To natomiast rodzi pytanie: czy na pewno chodzi o to, by owe prawo wprowadzić w życie?
Prace nad KSC to bowiem balansowanie na linie pomiędzy niezadowoleniem jednego z globalnych mocarstw: USA lub Chin. Przyjęcie prawa w obecnym kształcie prawdopodobnie nie spodoba się w Pekinie. Z drugiej strony, przychylność USA wcale nie jest pewna, zwłaszcza, iż amerykańska polityka wobec Europy jest, jak się wydaje, w tej chwili raczej wroga niż sojusznicza. Czy w 2026 roku zobaczymy ustawę o KSC podpisaną przez Prezydenta? Szczerze wątpię.
