Krajowy System Cyberbezpieczeństwa, czy raczej prace nad nowelizacją ustawy regulującej ów system, to ciągnąca się już przez wiele sezonów telenowela. Są dramatyczne zwroty akcji, zmieniał się showrunner, ale jedno pozostaje niezmienne – kontrowersje. Jest bowiem faktem, iż ten serial będzie wymagał pewnego, niemałego budżetu. pozostało jedno wyzwanie, o którym mówi się mniej.
Rząd pracuje nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, która wprowadza surowe konsekwencje dla kluczowych podmiotów gospodarczych niewywiązujących się z cyfrowych obowiązków. Nowe przepisy mogą oznaczać, iż firmy, które nie dostosują się do wytycznych organów nadzoru, stracą możliwość prowadzenia działalności poprzez zawieszenie koncesji lub odmowę ich przyznania. To rewolucyjna zmiana, która budzi zarówno uznanie za zdecydowane podejście, jak i obawy o jej skutki. Także skutki, które można wyrazić wprost, w jednostce doskonale zrozumiałej: Złotym Polskim. Ale po kolei…
Krytyczne wobec nowelizacji artykuły pojawiają się w mediach dość często. Jest to dość zrozumiałe, zważywszy na szerokość zasięgu jej działania i, w praktyce, potencjalną liczbę firm, które obejmie. Nowelizacja ma objąć sektory kluczowe, takie jak energetyka, górnictwo, przemysł farmaceutyczny, transport czy telekomunikacja, ale rozszerza to działania także na wiele innych branż. Oczywiście, wprowadzenie nowych regulacji ma na celu podniesienie standardów ochrony przed cyberatakami, które mogą zagrażać funkcjonowaniu państwa oraz bezpieczeństwu obywateli. Nikt w ustawie nie pisze tego wprost, ale dość oczywistym jest jakiego scenariusza uniknąć chce ustawodawca.
Czarny scenariusz
Wyobraźmy sobie konsekwencję braku jakiejkolwiek odgórnej regulacji i wymuszenia odpowiednich działań w firmach. Za sprawą działań hakerów, na co dzień posługujących się podobnym do naszego językiem, ale innym alfabetem, stają, jednego dnia zakłady produkcyjne wytwarzające produkty pierwszej potrzeby, a także kolej, co sprawia, iż dystrybucja produktów staje się trudna. Gdzieniegdzie przestają też działać sieci telefonii komórkowej. Chaos. Naturalne środowisko do pojawienia się protestów. Na ich czele staje nikomu dotąd nieznany, charyzmatyczny lider…
Dalsze konsekwencje obejmowałyby chaos polityczny, zmiany w, zdawałoby się, zabetonowanej, będącej zakładniczką dwóch starszych panów, polskiej polityce. Być może ów lider protestów wyrósłby z czasem na figurę numer jeden? A następnie zmienił kurs polskiej polityki zagranicznej na taki, który obierają ostatnio niektóre kraje nam bliskie od południa.
KSC to panaceum?
Powyższe to tylko political fiction. Zupełnie mało prawdopodobne, ale nie niemożliwe. Dlatego doskonale rozumiem motywację Ministerstwa Cyfryzacji za regulacjami i wzmocnieniem bezpieczeństwa cyfrowego istotnych dla funkcjonowania kraju podmiotów. Jednakże, jak to zwykle w naszym kraju bywa, wobec przedsiębiorstw stosuje się raczej metodę kija niż marchewki. Nowe przepisy przewidują, iż jeżeli firma nie wywiąże się z obowiązków, takich jak przeprowadzenie audytów bezpieczeństwa czy wdrożenie odpowiednich procedur ochronnych, może zostać pozbawiona prawa do prowadzenia działalności aż do momentu usunięcia uchybień. Takie rozwiązanie ma na celu zdyscyplinowanie podmiotów odpowiedzialnych za najważniejsze usługi.
I, chociaż na papierze, wydaje się to być niezłym pomysłem, to może mieć czasami efekt… podobny do cyberataku. Dlaczego? W artykule „Koncesje na ołtarzu bezpieczeństwa” autorstwa Elżbiety Rutkowskiej, opublikowanym w Dziennik Gazeta Prawna cytowany jest radca prawny, dr Mariusz Rypina z kancelarii „Prof. Marek Wierzbowski i Partnerzy”. Zwracają on uwagę, iż automatyzm w decyzjach administracyjnych, takich jak zawieszanie koncesji, może prowadzić do nieprzejrzystości i utrudnienia obrony przedsiębiorstw przed zarzutami. To natomiast oznacza ryzyko zablokowania działalności istotnych podmiotów w sektorach, które mają najważniejsze znaczenie dla gospodarki i bezpieczeństwa narodowego. Podobnie jak cyberatak.
Rzecz w tym, iż organ pierwotnie nadający niezbędne koncesje nie będzie miał w tej procedurze za wiele do powiedzenia. Samo złożenie wniosku przez państwowy organ ds. cyberbezpieczeństwa może prowadzić do zawieszenia koncesji. I chociaż Ministerstwo Cyfryzacji podaje wprost, iż taka blokada to środek ostateczny, to polska historia ostatnich kilku dekad zna całą masę przykładów urzędniczej nadgorliwości w dociskaniu przedsiębiorstw.
Mądry Polak po szkodzie?
Chciałbym móc powiedzieć, iż polskie przedsiębiorstwa są gotowe do tego, by wdrożyć gwałtownie i sprawnie wytyczne z ustawy o KSC. Rzecz w tym, iż o ile w bańce IT rozumiemy potrzebę tych działań, o tyle zarządy np. firm produkcji spożywczej czy firm logistycznych, mogą tego zrozumienia nie podzielać. Poniesienie kosztów na ulepszenia bezpieczeństwa mogą w tabeli przychodów i kosztów przegrać z bieżącymi działaniami, inwestycjami w rozwój lub, zgodnie z nieco folwarcznym stylem zarządzania wciąż obecnym w wielu firmach, premiami dla zarządu. Po prostu, nie można zapomnieć, iż w większości firm, działy IT nie znajdują się na szczycie piramidy decyzyjnej.
Gdy już dojdzie do urzędniczego zakazu z powodu uchybień, zacznie się najpierw szukanie winnych, a dopiero potem naprawa. Konsekwencja? Zastój, spadające przychody – mówiąc wprost: pokaźne koszty utrzymania i zero przychodu. choćby jeżeli zatrzymanie będzie trwało kilka dni (optymistyczne założenie, iż choćby po natychmiastowym dostosowaniu się do regulacji, na urzędniczą decyzję nie będzie trzeba czekać tygodniami), to realne straty będą potężne.
Nie mam wątpliwości, iż liczba firm gotowych na wprowadzenie wytycznych ze znowelizowanego KSC, w chwili gdy ustawa będzie wchodziła w życie, nie będzie równa liczbie firm tą ustawą objętych. Ba, jestem pewien, iż proces dochodzenia do stanu 100% adaptacji będzie długi i mozolny. A w konsekwencji; potencjalnie kosztowny.
Jak nie wylać dziecka z kąpielą?
Planowane zmiany w ustawie o cyberbezpieczeństwie to krok w stronę podniesienia standardów ochrony infrastruktury krytycznej, ale jednocześnie, przy odrobinie pecha i urzędniczej nadgorliwości, mogą wywołać chaos w kluczowych sektorach gospodarki. Wdrożenie restrykcyjnych przepisów wymaga znalezienia równowagi między bezpieczeństwem narodowym, a stabilnością funkcjonowania przedsiębiorstw. Nie jestem prawnikiem, ale rozumiem, iż jedną z furtek powinna być prawdopodobnie jakaś forma szybkiej, wręcz błyskawicznej procedury odwoławczej od decyzji o odebraniu koncesji. Ewentualnie owo odebranie powinno zawierać ustawowo określony czas od podjęcia decyzji, do wejścia w życie, co przedsiębiorstwom umożliwołoby dostosowanie się do wytycznych.
Sądzę, iż byłoby także dobrym ruchem, aby Ministerstwo Cyfryzacji przygotowało jakąś formę wsparcia we wdrażaniu wytycznych ustawy, jeżeli te miałyby być wprowadzane szybko. Nie chodzi przy tym o wsparcie finansowe, ale merytoryczne. W wielu firmach trudno o ekspertów IT w zakresie cyberbezpieczeństwa, a taka pomoc mogłaby okazać się zbawienna.
Zmiany w KSC są konieczne i z tym trudno dyskutować. Jednak powinny być wprowadzane także w sposób możliwie bezbolesny dla gospodarki. Czy rządowi uda się osiągnąć ten cel? Czas pokaże, ale jedno jest pewne – dyskusja wokół nowelizacji jeszcze długo nie ucichnie.
