Polska będzie miała własny system cyberbezpieczeńtwa. Ustawa o krok od uchwalenia

We wtorek w Sejmie Tadeusz Dziuba przedstawił sprawozdanie Komisji o rządowym projekcie ustawy o krajowym systemie cyberbezpieczeństwa. Taduesz Dziuba przypomniał o głównych założeniach ustawy. Miała ona przede wszystkim implementować do polskiego porządku prawnego dyrektywę NIS, która ma m.in. zapewnić bezpieczeństwo systemów informatycznych w kluczowych systemach takich jak ochrona zdrowia czy energetyka. Dyrektywa wymaga również przyjęcia krajowych strategii cyberbezpieczeństwa, powołania CSIRTów oraz wskazania organów właściwych do spraw cyberbezpieczeństwa. Termin implementacji dyrektywy minął w maju.

Poseł Dziuba dodał, że ustawa to pierwszy akt regulujący prawnie kwestie funkcjonowania  systemu cyberbezpieczeństwa w państwie. Sumiennie realizowany stworzy warunki do zapewnienia bezpieczeństwa w cyberprzestrzeni. Jego zdaniem jednym z problemów ustawy może być fakt, że nakłada obowiązki na dziesiątki podmiotów, co może stanowić problem w zapewnieniu szczelności krajowego systemu cyberbezpieczeństwa.

W dalszej części poseł przestawił istotne zmiany, które zostały wprowadzone do projektu rządowego. W słowniku ustawy wyszczególniono usługi cyfrowe i usługi kluczowe. Ponadto poszerzono katalog instytucji, którym na wniosek będzie można udostępnić dane, o nowych podmiot czyli Służbę Ochrony Państwa.

Przepisy dotyczące rekomendacji CSIRT w zakresie stosowania informatycznych urządzeń lub oprogramowania zmieniono w ten sposób, że osadzono je ściśle w pojęciach właściwych dla omawianego projektu. Uzupełniono projekt o niezbędne zmiany w ustawie o ABW i AW. W szczególności ABW nadano nowe uprawnienia polegającej na prowadzeniu i koordynowaniu wczesnego ostrzegania o zagrożeniach występujących w Internecie.  Uzupełniono też projekt o niezbędne zmiany w prawie zamówień publicznych. Uszczegółowiono przesłanki odrzucenia oferty ze względu na bezpieczeństwo publiczne, wskazując, że chodzi o bezpieczeństwo podmiotów objętych jednolitych wykazem obiektów i usług wchodzących w skład infrastruktury krytycznej.

Komisja nie zgodziła się na niektóre propozycje.  Przykładowo nie wyrażono zgody na przeprowadzenie audytów bezpieczeństwa co 4 lata. W rządowym projekcie takie audyty mają być przeprowadzone co 2 lata. Wskazano tutaj na dynamikę zmian technologii cyfrowych. Komisja nie zgodziła się wydłużenie terminów odpowiednio do 6 i 12 miesięcy, które projekt rządowy określał na 3 i 6 miesięcy o mianowicie realizacji określonych zadań operatorów kluczowych. Operatorzy usług kluczowych są zobowiązani chronić  swoje systemy i realizować obowiązki wynikające z ustawy w jak najkrótszym terminie i takie przedłużenie terminu było nieuzasadnione – dodał poseł.

W trakcie toczącej się po wystąpieniu dyskusji, poseł Rafał Weber z PISu zapewnił o poparciu klubu dla rządowego projektu. Jako jeden z najważniejszych elementów ustawy wskazał powołanie pełnomocnika ds. cyberbezpieczeństwa, który będzie koordynował realizację zadań z zakresu cyberbezpieczeństwa na poziomie krajowym. Będzie on w radze sekretarza stanu lub podsekretarza i zostanie powołany przez Prezesa Rady Ministrów. Poseł Weber wskazał również, duże znaczenie Kolegium ds. Cyberbezpieczeństwa jako organu doradczego w zakresie działania zespołów CSIRT. Ta potrzeba wynikała z konsultacji społecznych. Kolegium pozwoli na efektywniejsze i spójniejsze formułowanie strategii i polityk cyberbezpieczeństwa.

Arkadiusz Marchewka z PO zapewnił o poparciu klubu dla ustawy, ale jednocześnie wytknął błędy w dokumencie. Pytał dlaczego pomimo dwóch lat prac na ustawą nie implementowano jej przepisów na czas. Podkreślił też, że dokument powstał w klimacie konfliktu MON i MC nad czym ubolewał. Krytykował też rząd za brak pieniędzy nawet na podstawowe cele, pomimo komunikatów Ministerstwa Cyfryzacji o konieczności zabezpieczenia środków. Ministerstwo Cyfryzacji potrzebuje na swoje projekty 76 milionów złotych – kontynuował poseł. Wszystkie wydatki na cyberbezpieczeństwo mają być sfinansowane w ramach limitu budżetowego. Nie przewiduje się ubiegania o dodatkowe środki. Cyfrowe państwo musi być bezpieczne i to nie tylko na papierze, ale bez odpowiednich środków finansowych będzie to niemożliwe – zakończył poseł.

Piotr Cieśliński z Platformy Obywatelskiej podkreślił, że  zapewnienie krajowego cyberbezpieczeństwa to bez wątpienia kluczowe wyzwanie w dobie powszechnej cyfryzacji. To krwiobieg państwa. Jego zdaniem  brakowało jednak szerokich konsultacji społecznych. Skrytykował niektóre zapisy Ustawy, które mają pozwolić na ingerencje w życie gospodarcze podmiotów, co negatywnie wpłynie na konkurencyjność polskiej gospodarki.  Cieśliński wskazał na kilka zasadniczych błędów jak zbyt szerokie uprawnienia CISRtów w ramach dostępu do informacji operatorów telekomunikacyjnych, co może obniżyć ich efektywność, brak publikacji kluczowych aktów wykonawczych czy brak jednego punktu zgłoszeniowego na poziomie krajowym.

Paweł Suski z Platformy Obywatelskiej zwrócił uwagę na to, że ustawa nie chroni pieniędzy Polaków, ponieważ nic nie mówi o bezpieczeństwie bezgotówkowych transakcji płatniczych. W dokumencie nie wspomniano o podmiotach, która mają o  to dbać. Poseł przypomniał, że dzisiaj nie trzeba się włamywać do skarbca, a bezpieczeństwo cybernetycznego to bezpieczeństwo finansów.

Podsekretarz stanu Karol Okoński z Ministerstwa Cyfryzacji odpowiedział, że pieniądze na wprowadzenie ustawy o krajowym systemie cyberbezpieczeństwa są zabezpieczone, dodatkowo Ministerstwo Cyfryzacji na realizację strategicznych projektów uzyskało fundusze z Narodowego Centrum Badań i Rozwoju. Odnosząc się do bezpieczeństwa transakcji bezgotówkowych podsekretarz stanu wskazał, że na poziomie UE doszło do rozdzielnia tych dwóch kwestii i za cyberbezpieczeństwo i zarządzanie ryzykiem finansów odpowiada osobne prawo – dyrektywa psd2.