Gawkowski: procedura wskazywania dostawców wysokiego ryzyka niezbędna dla cyberbezpieczeństwa

"Krajowy System Cyberbepieczeństwa i jego legislacja została przygotowana tak, żeby wprowadzać polskie cyberbezpieczeństwo na wyższy poziom użyteczności" - powiedział PAP wicepremier i minister cyfryzacji Krzysztof Gawkowski. Szef resortu odniósł się do projektu ustawy o KSC przewidującego procedurę uznania dostawcy sprzętu, bądź oprogramowania jako tzw. dostawcy wysokiego ryzyka (DWR).

"Celem nowelizacji ustawy jest to, by żadne dane, żadna wiedza, która jest w polskich systemach, nie była udostępniana żadnym innym państwom, aby inne państwa nie mogły wpływać na to jak one (procesy związane z przetwarzaniem danych) są realizowane" - powiedział Gawkowski.

Szef resortu cyfryzacji wskazał przy tym, że KSC jest w Polsce opóźniony o 5 lat i wymaga nowelizacji m.in. zgodnie z dyrektywą NIS2, czyli europejskimi przepisami o cyberbezpieczeństwie. "Taki właśnie format przyjęło Ministerstwo Cyfryzacji" - podkreślił Gawkowski.

Jak wskazał minister, przewidziana w projekcie noweli instytucja DWR jest jednym z elementów implementacji dyrektywy NIS2. "Nie jest w Polsce wpisana przeciwko komuś, ani na jakieś zamówienie. Jest po to, abyśmy mogli w Polsce troszczyć się o cyberbezpieczeństwo. Wszyscy, którzy uważają, że powinniśmy z projektu nowelizacji wykreślić instytucję możliwości uznania kogoś za dostawcę wysokiego ryzyka, de facto nie troszczą się o to bezpieczeństwo. Wskazują, że możemy mieć w Polsce sprzęt, który może być zinfiltrowany przez niezaufanego dostawcę" - powiedział Gawkowski.

Minister zapewnił, że procedura DWR została zaprojektowana tak, by była w niej przewidziana droga odwoławcza łącznie z postępowaniem sądowym. "A jeżeli słyszę takie głosy, które wskazują, że ktoś już się czuje pokrzywdzony, bo jest z jakiegoś państwa, to sam się powinien zastanowić, czy chodzi tutaj o bezpieczeństwo czy tylko o zarabianie. Mnie jako ministrowi musi zawsze chodzić o bezpieczeństwo i tak przygotowywane jest prawo pod moim nadzorem" - podkreślił Gawkowski.

Wiceminister cyfryzacji Dariusz Standerski zapewnił z kolei w rozmowie z PAP, że każdy przypadek będzie rozpatrywany w procedurze DWR indywidualnie na podstawie przesłanek określonych w ustawie. "Żaden organ nie będzie podejmował decyzji w żadnej sprawie (samodzielnie - PAP) bez udziału innych organów" - wskazał. Dodał, że procedura będzie przeprowadzana pod pełną kontrolą sądową, zgodnie z kodeksem postępowania administracyjnego, brane zaś w niej będą pod uwagę "obiektywne kryteria techniczne niezależne od kraju pochodzenia (dostawcy - PAP)".

"Procedura zapewnia wieloetapowość, wieloinstancyjność oraz udział wielu podmiotów w podejmowaniu decyzji, które nie będą uzależnione od jakiegoś z góry przyjętego założenia. Tak wskazuje ustawa (projekt nowelizacji - PAP) - podkreślił Standerski.

Wiceszef resortu przypomniał, że Ministerstwo Cyfryzacji pracuje jednocześnie nad projektem ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa. "Te dwa projekty ustaw będą równolegle w Sejmie procedowane. Tworzymy cały ekosystem równocześnie" - dodał.

Wcześniej Karol Skupień, szef Krajowej Izby Komunikacji Ethernetowej (KIKE) zrzeszającej polskich małych i średnich operatorów telekomunikacyjnych, przede wszystkim dostawców internetu stacjonarnego wskazał w rozmowie z PAP, że projekt nowelizacji ustawy o KSC zawiera nieprzewidziane w implementowanej dyrektywie NIS2 regulacje dotyczące procedury wskazywania DWR. "Zawarty w projekcie mechanizm (...) nie jest oparty na kryteriach technicznych, według których określone urządzenia można uznać za niespełniające standardów bezpieczeństwa. Wskazane zostało natomiast kryterium państwa pochodzenia dostawcy - mowa jest o państwach spoza terytorium Unii Europejskiej lub NATO, co praktyce oznacza dostawców chińskich" - powiedział Skupień.

W opinii Skupnia wyeliminowanie z polskiego rynku chińskich dostawców może spowodować, że małe i średnie firmy telekomunikacyjne zostaną całkowicie pozbawione dostępu do niezbędnego sprzętu. "Przede wszystkim kupienie urządzeń od dostawcy spoza Chin jest bardzo trudne, bo amerykańskie korporacje nie dostrzegają małych i średnich firm ze względu na małą skalę zamówień. W praktyce więc, jeśli mała polska firma będzie chciała kupić od takiego potentata np. tysiąc sztuk jakiegoś urządzenia, to nawet nie otrzyma odpowiedzi na zapytanie ofertowe" - zauważył prezes izby. "Jeśli zatem będziemy zmuszeni do wymiany sprzętu chińskiego na inny, może się okazać, że w ogóle nie mamy do niego dostępu" - podkreślił.

Do projektu nowelizacji odniosła się wcześniej również Ogólnopolska Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl. Jak wskazał w rozmowie z PAP radca prawny i członek zarządu federacji Piotr Podgórski, w projekcie ustawy ustanowiono "nieostre, nietechniczne i niemerytoryczne" kryteria, na podstawie których minister właściwy do spraw informatyzacji będzie mógł uznać danego dostawcę za DWR. Decyzja taka będzie mogła zostać podjęta na podstawie opinii Kolegium ds. Cyberbezpieczeństwa, którego przewodniczącym jest Prezes Rady Ministrów, a członkami są m.in. odpowiedni ministrowie.

W opinii Podgórskiego przewidziana w projekcie nowelizacji procedura jest "uznaniowa" i umożliwia wyeliminowanie danego dostawcy w oparciu o przesłankę państwa pochodzenia. "Kryterium to, w porównaniu do innych państw UE, zostało wprowadzona tylko w polskim projekcie ustawy" - zauważył.

W ocenie Podgórskiego zawarty w projekcie noweli ustawy o KSC mechanizm DWR może skutkować nakazem wyeliminowania sprzętu, który de facto jest sprawny i bezpieczny oraz ma certyfikaty. "Postawi to podmioty uznane w nowelizacji za +kluczowe+ lub +ważne+ (łącznie ponad 38 tys. podmiotów - PAP) przed koniecznością wyboru nowego sprzętu lub oprogramowania od innego dostawcy, a często może to być sprzęt znacznie droższy. Może również dojść do sytuacji, że dotychczasowy dostawca, który został uznany za dostawcę wysokiego ryzyka, jako jedyny oferował dany produkt i na rynku nie ma dostępnych zamienników" - zauważył Podgórski. Według niego projekt ustawy o krajowym systemie cyberbezpieczeństwa "nie koresponduje z projektem ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa".

Projekt nowelizacji ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, zwanej "ustawą o KSC", stanowi implementację europejskiej dyrektywy NIS2, która nałożyła nowe obowiązki na państwa członkowskie. Jak wskazano w uzasadnieniu, "rozszerzyła zakres podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa oraz zredefiniowała zadania organów Unii Europejskiej w tym obszarze". Do sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej, dodano kolejne sektory: ścieki, zarządzanie ICT (technologiami informacyjnymi i komunikacyjnymi - PAP), przestrzeń kosmiczną, pocztę, produkcję i dystrybucję chemikaliów, produkcję i dystrybucję żywności.

Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych określony w dyrektywie NIS1 na podmioty "kluczowe" i podmioty "ważne". Jak poinformowano w uzasadnieniu, przepisy NIS2 nałożyły na te podmioty obowiązek "stosowania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu".

Kilka dni temu "Rzeczpospolita" napisała, że projekty nowelizacji ustawy o KSC z kwietnia i października różnią się m.in. tym, że wykreślono określenie "5G". Cytowany przez "Rz" Piotr Kuriata, prezes Stowarzyszenia Inżynierów Telekomunikacji oraz były członek zarządu P4, operatora sieci telekomunikacyjnej Play zaznaczył, że w efekcie zmiany w załączniku wymianie mógłby podlegać sprzęt obsługujący nie tylko sieć 5G, ale też 4G i 3G w przypadku stwierdzenia, że jego producent zostałby uznany za dostawcę wysokiego ryzyka. Według "Rz" specjaliści spodziewają się, że za takiego dostawcę zostanie uznany chiński Huawei.