Transparentny proces prac nad cyberbezpieczeństwem Państwa

To ważne, że media uważnie monitorują proces prac nad Krajowym Systemem Cyberbezpieczeństwa. Ważne w kontekście ogromnego znaczenia dobrego uregulowania możliwości zapewnienia przez Państwo bezpieczeństwa Polakom, co jest priorytetem dla Ministerstwa Cyfryzacji i dla całego Rządu.

Proces prac nad ustawą o Krajowym Systemie Cyberbezpieczeństwa prowadzony w Ministerstwie Cyfryzacji jest w pełni transparentny i otwarty. Wszystkie etapy prac są podawane do publicznej wiadomości.

Projekt został zaprezentowany i skierowany do konsultacji społecznych w kwietniu br.:

Ministerstwo Cyfryzacji zaprezentowało projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa - Ministerstwo Cyfryzacji - Portal Gov.pl (www.gov.pl)

W toku konsultacji zgłoszono ponad 1 500 uwag – wszystkie zostały przeanalizowane i rozpatrzone, co zostało skrupulatnie udokumentowane i podsumowane na początku października:

Kluczowe zmiany dla ochrony polskiej infrastruktury przed cyberatakami - Ministerstwo Cyfryzacji - Portal Gov.pl (www.gov.pl)

Projekt (rcl.gov.pl)

Odnosząc się do treści publikacji „Rzeczpospolitej”:

1. Przygotowywana ustawa o Krajowym Systemie Cyberbezpieczeństwa tworzy procedurę uznania dostawcy za dostawcę wysokiego ryzyka (high risk vendor – HVR) w przypadku konieczności ochrony bezpieczeństwa państwa. 
2. Ustawa sama w sobie nie przesądza o jakiejkolwiek konieczności wymiany sprzętu. 
3. Samo przyjęcie ustawy nie przesądza też o tym, czy i kiedy ta procedura zostanie zastosowana.
4. Projekt nie odwołuje się też w żadnym miejscu do anten konkretnego producenta ani do żadnego konkretnego kraju.
5. Projekt ustawy nie wymienia rodzajów sprzętu, jaki może być przedmiotem decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka. Przedmiotem tej decyzji może być każdy sprzęt, który może stanowić istotne zagrożenie. W związku z tym nieprawdziwe jest twierdzenie, że zmiana załącznika wprowadza nowy stan prawny, w którym anteny mogłyby podlegać wymianie. 
6. Przepisy projektu od początku zakładały, że każdy produkt ICT, usługa ICT lub proces ICT mogłyby podlegać tej procedurze.
7. Zmiana treści załącznika nr 3 w pkt 3 ma charakter wyłącznie doprecyzowujący. Zmiana ta precyzuje, że pod pojęciem „5G Radio Base Station Baseband Unit oraz inne funkcje” użytej na gruncie poprzedniej wersji projektu, rozumie się oczywiście również anteny stacji bazowych. 
8. Branża i podmioty prywatne nie miały wątpliwości, że pod tym wyrażeniem znajdowały się elementy stacji bazowej, natomiast ze względów merytorycznych, jak najbardziej zasadnym jest wpisanie tego wprost i dlatego ta uwaga została uwzględniona.
9. Tzw. funkcje krytyczne w zakresie urządzeń lokalnej radiowej sieci dostępowej odnoszą się do sieci 5G.
10. Nieznalezienie się w wykazie funkcji krytycznych, nie oznacza, że urządzenie, nie może zostać objęte decyzją o uznaniu dostawcy za dostawcę wysokiego ryzyka, jeżeli dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia. Przedmiotem takiej decyzji zgodnie z projektem mogą być urządzenia mobilnej sieci telekomunikacyjnej, niezależnie od generacji.
11. Decyzja, jeżeli zostałaby wydana, musi określać konkretne wskazanie typów produktów ICT, rodzajów usług ICT lub konkretnych procesów ICT pochodzących od dostawcy sprzętu, lub oprogramowania uwzględnionych w postępowaniu w sprawie uznania za dostawcę wysokiego ryzyka.
12. Procedura wycofania sprzętu lub oprogramowania zagrażającego bezpieczeństwu państwa i obywateli będzie miała zastosowanie jedynie w nadzwyczajnych przypadkach: decyzję o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi poprzedzi rzetelne postępowanie administracyjne, angażujące wiele organów władzy publicznej, posiadającej informacje niezbędne do podjęcia właściwego rozstrzygnięcia oraz sąd.
13. Co istotne, w projekcie ustawy nie ma mechanizmu nakazującego natychmiastowe wycofanie sprzętu lub oprogramowania wskazanego w decyzji. 
14. Podmioty kluczowe i podmioty ważne zostaną zobowiązane do wycofania danego sprzętu lub oprogramowania w określonym czasie. W przekazanym projekcie jest mowa o 4 albo 7 latach – termin ten jest często uznawany za średni okres użytkowania sprzętu lub oprogramowania, czyli tzw. cykl życia urządzenia.