Wyspecjalizowane centra analiz oraz szybka i kompleksowa wymiana informacji – to filary tworzonego systemu cyberbezpieczeństwa. Dynamiczny rozwój usług cyfrowych czy skala dezinformacji w przestrzeni cyfrowej wymagają nowego podejścia umożliwiającego błyskawiczną i profesjonalną reakcję na cyberzagrożenia.
Okres pandemii COVID-19 oraz obecna sytuacja geopolityczna potęgują wzrost cyberprzestępstw, fake-news-ów i działań propagandowych w sieci internetowej. Jeszcze kilka miesięcy temu cyberataki i dezinformacja podsycały niepokój wywołany przez globalną pandemię stając się obecnie ważnym elementem działań wojennych. Wobec tych zagrożeń państwo przyfrontowe, z jedną ze strategicznych granic Unii Europejskiej, nie może pozostawać bierne. Narzędziem, które ma służyć wzmocnieniu instytucji państwowych oraz obywateli wobec tych zagrożeń jest nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC).
Na nowe regulacje czeka branża telekomunikacyjna. To – obok instytucji państwowych – ważne ogniwo w całej architekturze bezpieczeństwa narodowego. Dokument nakłada szereg nowych obowiązków na przedsiębiorców, co oznacza także większy poziom współodpowiedzialności. Firmy będą zobowiązane m.in. do szacowania u siebie ryzyka wystąpienia sytuacji szczególnego zagrożenia i podejmowania działań minimalizujących, w tym szybkiej reakcji i obsługi takiego incydentu. Nowe wymogi po stronie przedsiębiorców komunikacji elektronicznej to: skrócenie terminu raportowania incydentów z 24 do 8 godzin, konieczność posiadania wszystkich zasobów SOC (Security Operations Center) w Polsce, posiadanie przez cały personel SOC poświadczeń bezpieczeństwa.
Bezpieczeństwo przede wszystkim. Firmy będą musiały udowodnić, że posiadają odpowiedniej jakości sprzęt oraz oprogramowanie. W procesie oceny pod uwagę brane będą kryteria techniczne, takie jak np. podatność na incydenty czy posiadane certyfikaty, a także pozatechniczne, w tym „prawdopodobieństwo z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub NATO”. I to właśnie ten czynnik, przez wielu określany jako uznaniowy, budzi najwięcej wątpliwości.
Zgodnie z projektem ustawy, jeśli producent urządzeń sieciowych i oprogramowania zostanie uznany za dostawcę wysokiego ryzyka, operatorzy telekomunikacyjni – w tym przypadku przede wszystkim małe i średnie rodzime firmy – będą zmuszone do wycofania konkurencyjnych finansowo i technologicznie, głównie azjatyckich, komponentów (sprzętu i oprogramowania) i rezygnacji z dalszej współpracy. Na wymianę sprzętu przewidziano 7 lat, w niektórych przypadkach skrócono go do 5 lat. Działające lokalnie firmy obawiają się, że zostaną wyparte z rynku przez koncerny o większym kapitale. Wyeliminowanie jednego z trzech wiodących dostawców sprzętu do budowy sieci 5G może doprowadzić do istotnego zmniejszenia konkurencji na rynku i wzrostu cen sprzętu oraz usług telekomunikacyjnych.
Branża telekomunikacyjna apeluje, by procedurę weryfikacji bezpieczeństwa dostawcy sprzętu i oprogramowania opierać na przejrzystych i weryfikowalnych procedurach oceny. Aktualnie przepisy są nieprecyzyjne i pozostawiają duży wachlarz uznaniowości.
„Idea ochrony jest zrozumiała, ale sposób jej implementacji powinien być jeszcze przeanalizowany, bo jest mało przejrzysty. Sama procedura opiera się na wykluczeniu dostawcy według kryterium kraju pochodzenia, a nie kraju produkcji jego urządzeń. Możliwa jest zatem sytuacja wykluczenia produktów dostawcy z kraju A, na rzecz produktów dostawcy z kraju B, pomimo tego, że produkty dostawcy z kraju B mogą powstawać w kraju A. Niejednoznaczność regulacji da możliwość uznaniowego wykluczania firm z państw oferujących nowoczesne i sprawdzone rozwiązania, ale pochodzących spoza kontynentu europejskiego czy amerykańskiego” – mówi Krzysztof Dyki, ekspert od cyberbezpieczeństwa i rynku telekomunikacyjnego, prezes ComCERT.
Pacta sunt servanda to jedna z fundamentalnych zasad prawa cywilnego, wywodząca się z czasów prawa rzymskiego. Reguła ta oznacza, że umów należy dotrzymywać – umowa, która została prawidłowo zawarta, nie może być rozwiązana na podstawie arbitralnych decyzji jednej ze stron.
Prawnicy zwracają uwagę, że ustawa o KSC może ingerować w tę zasadę. Okazuje się, że regulacje dotyczące postępowania w sprawie dostawcy wysokiego ryzyka, mogą także naruszać przepisy unijne oraz prawo międzynarodowe, w szczególności umowę o Wolnym Handlu GATT, jak również bilateralne umowy handlowe.
Konsekwencje wprowadzenia w życie przepisów podważających kluczowe zasady prawa unijnego, mogą być dla Polski dotkliwe. Łamanie postanowień prawa międzynarodowego, w tym równości wobec prawa, czy równego dostępu do prowadzenia działalności gospodarczej (niedyskryminacyjny przepływ towarów), naraża Skarb Państwa na przyszłe pozwy odszkodowawcze. Ich szacowaną wielkość, trudno w tym momencie wskazać.
Niezależnie od tych wątpliwości, wdrożenie nowych regulacji wzmacniających krajowy system cyberbezpieczeństwa jest potrzebne. W miarę rozwoju nowych technologii i postępu usług cyfrowych, zagrożeń w cyberprzestrzeni będzie tylko przybywać. Konsultacje z ekspertami od cyberbezpieczeństwa oraz przedstawicielami firm z branży telekomunikacyjnej pozwolą wypracować najlepsze rozwiązania. Najbliższa debata na temat konkretnych rozwiązań ujętych w KSC została zaplanowana po przerwie wakacyjnej. 11 września w Sejmie odbędzie się dyskusja w formule wysłuchania publicznego.
Rządowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw dotyczy realizacji celów Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024, jakimi są podniesienie poziomu odporności na cyberzagrożenia oraz poziomu ochrony informacji w sektorach: publicznym, militarnym i prywatnym. Dotyczy także realizacji celu szczegółowego Strategii odnoszącego się do rozwoju krajowego systemu cyberbezpieczeństwa poprzez ewaluację przepisów prawa dot. cyberbezpieczeństwa, realizacji celów Strategii w odniesieniu do zapewnienia bezpieczeństwa łańcucha dostaw i utworzenia krajowego systemu certyfikacji cyberbezpieczeństwa.
