Prace nad Krajowym Systemem Cyberbezpieczeństwa, po latach prób, kilkunastu projektach i licznych zawirowaniach, wyraźnie zmierzają ku realizacji. W chwili ogłoszenia projektu w nowej formie, a zarazem rozpoczęcia konsultacji nad nim, przedstawiliśmy głos ustawodawcy. Dziś przyglądamy się perspektywie jednego ze szczególnie ważnych dostawców rozwiązań technologicznych.
Przedstawiony w kwietniu przez Ministerstwo Cyfryzacji projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa wzbudził różne reakcje na rynku. Z jednej strony, przedstawia dążenie ustawodawcy do ograniczenia ryzyka, z drugiej jednak, spotyka się z zarzutami o przeregulowanie. Czy rzeczywiście najnowszy projekt KSC jest “strzelaniem z armaty do komara”? Trudno dziś o jednoznaczną ocenę, ponieważ ustawa, która w teorii powinna być mocno techniczna, jest u swych podstaw, polityczna. I to właśnie od warstwy politycznej należy się jej przyjrzeć w pierwszej kolejności.
Polityka i technologia
W języku polskim istnieje słowo, które sprawia, iż wszystko w zdaniu wypowiedziane przed nim niejednokrotnie nie ma większego znaczenia. To, oczywiście, “ale”. Dlatego też celowość projektu ustawy o KSC można pokrótce opisać słowami: Krajowy System Cyberbezpieczeństwa nie jest wymierzony w chińskie firmy, ale…
Minister Cyfryzacji, Wicepremier, Krzysztof Gawkowski podczas spotkania z mediami mówił, iż wprawdzie nikogo nie chce wykluczać (red. z rynku) ale także “Trudno nie oceniać aspektów geopolitycznych, biorąc pod uwagę miejsce, w którym jesteśmy, i wojnę, która się toczy i to, co się dzieje na świecie”.
Ta narracja może być oceniana różnie, w zależności od tego, jak dziś oceniamy rywalizację mocarstw i naszą rolę w globalnej przepychance między USA, Chinami i, w mniejszym stopniu, Europą i Rosją. Problem, jaki pojawia się w tej narracji jest jeden: niekonsekwencja. Zachód, do którego przynajmniej od 20 lat przynależymy, a szczególnie Stany Zjednoczone, wśród czołowych wartości wymienia także wolny rynek, nieskrępowany obrót towarowy. Jednakże, wraz z narastaniem wrogości pomiędzy Chinami i USA, wolnorynkowe wartości Zachodu zyskały swoje własne “ale”, które dodaje jedno zastrzeżenie: nie dla wszystkich.
Emanacją tego zjawiska są zarówno amerykańskie sankcje na chińskie produkty, jak i sojusznicze restrykcje, które w EU objawiają się m.in. w postaci przyjętego w 2020 roku toolboxa 5G – zbioru zasad skupionego na sieciach 5G, w ramach których ocenia się dostawców sprzętu telekomunikacyjnego pod kątem oceny ryzyka. Zasady te są także jedną z podstaw projektu KSC w Polsce.
Krok dalej
Proponowane przez Ministerstwo Cyfryzacji przepisy są poniekąd pochodną dwóch praw UE: wspomnianego już toolboxa 5G oraz dyrektywy 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa, szerzej znanej jako NIS2. Rzecz w tym, iż polski ustawodawca poszedł o krok dalej w jednym aspekcie: zasięgu ustawy.
Jak wskazuje w swoich wypowiedziach prof. dr hab. Maciej Rogalski, rektor Uczelni Łazarskiego i partner w kancelarii prawnej Rogalski i Wspólnicy, w znacznie większych od naszej gospodarkach, liczba objętych analogicznymi przepisami podmiotów jest mniejsza niż będzie w Polsce, jeżeli ustawa o KSC wejdzie w życie w obecnej formie. W Niemczech implementacja NIS2 ma mieć zasięg około 35 tys. podmiotów. W drugiej gospodarce UE, Francji, 15 tys. A w Polsce?
Wymogi, które znajdziemy w proponowanych przepisach, chociaż w różnym stopniu, dotyczyć będą łącznie ponad 38,5 tys. podmiotów: od administracji publicznej, przez bankowość i ubezpieczenia, aż po produkcję żywności, energetykę i wytwórców chemicznych. Ta pokaźna liczba to wprawdzie w większości (prawie 28 tys.) administracja, ale także firmy, których nikt szczególnie z obszarem cyberbezpieczeństwa nie będzie wiązać. Mają jednak najważniejsze znaczenie dla funkcjonowania kraju. Szerokość oddziaływania proponowanych przepisów jest więc pokaźna, ale jest to argumentowane koniecznością geopolityczną. Jednocześnie to właśnie szerokość oddziaływania ustawy wzbudza kontrowersje:
– Nie ukrywam, iż jestem pod wrażeniem rozmachu niedawno ogłoszonej wersji projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, której wdrożenie będzie miało istotne konsekwencje nie tylko dla dostawców i odbiorców usług telekomunikacyjnych, ale w obecnym kształcie również dla wielu podmiotów reprezentujących szereg rozmaitych branż. Z perspektywy Huawei, temat jest znany już od dłuższego czasu, ale mówimy tutaj o ponad 38 000 firm i podmiotów z 20 branż, które zostały wymienione w ustawie, począwszy od sektora bankowego, transportu, energetyki, produkcji, przetwarzania i dystrybucji żywności, produkcji wyrobów medycznych, w tym choćby diagnostyki in vitro, a skończywszy na jednostkach samorządu terytorialnego oraz jednostkach naukowych – stwierdził Ryszard Hordyński, Dyrektor ds. strategii i komunikacji, Huawei Polska – Co więcej, blisko 35 000 spośród podmiotów wymienionych w ustawie zostanie objętych procedurą dostawcy wysokiego ryzyka. o ile jakiś podmiot zostanie uznany za takiego właśnie dostawcę wysokiego ryzyka, to nabywanie i korzystanie z kupionych od niego produktów i usług zostanie zakazane. Taki zakaz może zostać nałożony w każdym z tych 20 sektorów gospodarki, co naturalnie będzie wiązało się z gigantycznymi kosztami, które poniosą polscy przedsiębiorcy, ale także podmioty administracji publicznej i jednostki samorządu terytorialnego .
Trudna kwestia Dostawcy Wysokiego Ryzyka
Jedną z proponowanych zasad, które najsilniej odbiją się na rynku, będzie wprowadzenie terminu Dostawcy Wysokiego Ryzyka (DWR). Podmioty objęte działaniem ustawy będą zobowiązane do wymiany sprzętu pochodzącego od DWR w ciągu 7 lat. Jednak te podmioty, które zostaną określone mianem krytycznych, będą na to miały 4 lata. Czy to dużo? Tylko pozornie. Mówimy bowiem o wielkich ilościach urządzeń. W praktyce więc, biznesy oparte na technologii np. związane z segmentem data center czy telekomunikacji, będą musiały wymienić znaczną część swoich urządzeń w ledwie 4 lata. To będzie znaczący koszt, który z pewnością zostanie przeniesiony na użytkownika końcowego. W skrócie: usługi telekomunikacyjne lub hostingowe prawdopodobnie w wyniku wprowadzenia ustawy o KSC w obecnym jej kształcie zdrożeją. Można by było temu zjawisku zapobiec np. poprzez rekompensaty, ale takiego rozwiązania ustawodawca nie planuje wprowadzać.
Samo określenie kto jest, a kto nie jest DWR jest dość skomplikowane. Chociaż finalną decyzję podejmuje Minister Cyfryzacji, to postępowanie jest uruchamiane na wniosek Kolegium ds. Cyberbezpieczeństwa. Proces ten może mieć, niestety, efekt mrożący. Wystarczy, iż wobec konkretnej firmy zostanie wszczęte postępowanie mające na celu określenie czy jest ona DWR. Nie trzeba choćby wydawać ostatecznej decyzji – samo postępowanie sprawi, iż rynek zrezygnuje z zakupu produktów i usług tego dostawcy, w obawie przed koniecznością wymiany tychże, do tego na własny koszt, który nie zostanie w żaden sposób zrefundowany.
Kto może zostać poddany postępowaniu? Tutaj panuje pewna dowolność, ale jednym z kryteriów jest, jak określa to projekt ustawy, prawdopodobieństwo znajdowania się ich „pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego”. Biorąc pod uwagę stopień rozwoju różnych gospodarek w obszarze IT, nietrudno wskazać ledwie trzy kraje, które spełniają to kryterium. Są to Japonia, Korea Południowa oraz Chiny. Dziś chyba nikt nie ma wątpliwości, iż to ostatnia z wymienionych azjatyckich gospodarek jest pod szczególną uwagą organów państwa. Dlaczego? Powód jest polityczny: Japonia i Korea Południowa to, chociaż pośrednio, państwa sojusznicze. Chiny natomiast balansują pomiędzy zachowaniem dobrych relacji z Europą, a z drugiej strony z putinowską dyktaturą na Kremlu. Niestety, ofiarą tej polityki mogą paść chińskie firmy, które nieraz znajdują się w absolutnej czołówce w swoich branżach.
W odróżnieniu do rozwiązania proponowanego w polskim projekcie ustawy, żaden kraj w Europie spośród 11 państw, które zaprezentowały dyrektywę NIS2 (Szwecja, Dania, Irlandia, Luksemburg, Niemcy, Rumunia, Francja, Portugalia, Litwa, Belgia, Estonia) nie zamieścił kryteriów politycznych dla dostawców wysokiego ryzyka. Żaden z nich nie wprowadził też procedury definiowania dostawców wysokiego ryzyka dla wszystkich 20 obszarów gospodarki. Proponowane w ustawie zapisy są wyjątkowo restrykcyjne i z całą pewnością wyróżniają Polskę na tle innych państw UE. Pytanie brzmi jak w praktyce wpłyną na rodzimy biznes i jakie koszty poniosą polscy przedsiębiorcy – zwraca uwagę Ryszard Hordyński, Dyrektor ds. strategii i komunikacji, Huawei Polska.
Miesiąc konsultacji i co dalej?
Okres konsultacji projektu kończy się 24 maja. Po tej dacie publiczny wpływ na kształt ustawy będzie adekwatnie żaden. Zapowiadane vacatio legis to 6 miesięcy, co oznacza, iż firmy i instytucje, uznane w świetle ustawy za krytyczne, będą miały od chwili podpisania ustawy przez prezydenta 4 i pół roku by zastosować się do wymogu wymiany sprzętu. Wcześniej, bo od dnia obowiązywania ustawy, na wiele firm i instytucji spadną dodatkowe obowiązki związane m.in. z raportowaniem incydentów, budowaniem strategii cyberbezpieczeństwa czy odbywaniem audytów. W praktyce może to oznaczać konieczność zatrudnienia osób, których zadania skupią się na tych aspektach.
- Czy zatem wprowadzenie KSC w proponowanej formie będzie wiązało się z kosztami? Z pewnością.
- Czy jest zasadne? – Każdy powinien ocenić to samodzielnie.
…