Nowelizacja ustawy o KSC. Rząd nie będzie przymuszał telekomów

Przyjęty przez rząd projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC) ostatecznie nie przewiduje tzw. polecenia zabezpieczającego, które budziło kontrowersje wśród firm telekomunikacyjnych.

Miała to być decyzja administracyjna wydawana w razie wystąpienia incydentu krytycznego, tj. niosącego znaczne szkody dla bezpieczeństwa lub porządku publicznego. Polecenie zabezpieczające figurowało jeszcze w majowej wersji projektu noweli KSC i miało nakazywać przedsiębiorcom świadczącym istotne usługi dla społeczeństwa informacyjnego pewne zachowania, np. zaprzestanie korzystania z określonego sprzętu lub oprogramowania, wprowadzenia szczególnej konfiguracji sprzętu czy poprawki bezpieczeństwa.

Te zapisy – budzące obawy o ewentualne nadużywanie – zniknęły w ostatecznej wersji projektu ustawy, przyjętej przez Radę Ministrów. Autorzy noweli KSC do zastosowania w przypadku ryzyka wystąpienia incydentu krytycznego pozostawili tylko ostrzeżenie – łagodniejszy środek, który zamiast obowiązku określonego zachowania będzie zawierał zalecenie.

Ostrzeżenie będzie dotyczyło podmiotów wchodzących w skład krajowego systemu cyberbezpieczeństwa, który po nowelizacji obejmie również telekomy i innych przedsiębiorców komunikacji elektronicznej. Pełnomocnik rządu ds. cyber bezpieczeństwa wyda je po przeprowadzeniu analizy obejmującej istotność cyber zagrożenia, prawdopodobieństwo wystąpienia incydentu krytycznego, rodzaje ryzyk i skuteczność określonego zachowania. Wyniki tej analizy znajdą się w uzasadnieniu wydanego ostrzeżenia.

Jak stwierdzają autorzy projektu nowelizacji KSC, obecnie „państwo nie dysponuje środkami prawnymi, które umożliwiałyby skuteczną reakcję na incydent krytyczny”. Za obsługę takich incydentów odpowiadają krajowe zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT), ale – jak podkreślono w uzasadnieniu nowelizacji – „cyber ataki mogą nie dotyczyć jednego podmiotu, a skutki takich ataków mogą się rozszerzać na inne podmioty w bardzo szybkim czasie”. Przykładem mogą być ataki na wiele podmiotów administracji rządowej w Ukrainie.

Mają temu zapobiec ostrzeżenia z odpowiednimi zaleceniami. W przeciwieństwie do wcześniej projektowanych poleceń zabezpieczających będą to jednak środki miękkie, tzn. adresaci ostrzeżenia sami zdecydują, czy je zastosować, czy nie.

Pełnomocnik rządu ds. cyberbezpieczeństwa odwoła ostrzeżenie po uzyskaniu informacji o ustaniu zagrożenia wystąpienia incydentu krytycznego oraz przeprowadzeniu przeglądu i ustaleniu, że nie jest zasadne jego utrzymanie. ©℗