Ministerstwo Cyfryzacji przedstawiło w środę projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Jednym z głównych jej obszarów jest procedura badania dostawców produktów, usług i procesów ICT (tj. opartych na technologiach informacyjno-telekomunikacyjnych) pod względem bezpieczeństwa.
Tę ustawę usiłowano znowelizować od 2020 r., ale projekt poprzedniego rządu wzbudził tak wiele kontrowersji, że wycofano go z Sejmu. Jak mówi obecny wicepremier, minister cyfryzacji Krzysztof Gawkowski, teraz 70 proc. rozwiązań to nowe propozycje. – To dla nas priorytetowy projekt na ten rok – podkreśla.
Jednym z głównych obszarów u.k.s.c. jest procedura badania dostawców produktów, usług i procesów ICT (tj. opartych na technologiach informacyjno-telekomunikacyjnych) pod względem bezpieczeństwa. Jeżeli firma – producent, importer lub dystrybutor – zostanie uznana za dostawcę wysokiego ryzyka (HRV), to nie będzie wolno od niej kupować sprzętu ani oprogramowania, a już posiadany trzeba będzie w określonym terminie wymienić. Będą do tego zobowiązani przedsiębiorcy telekomunikacyjni, a także podmioty uznane na mocy ustawy za kluczowe lub ważne.
Na wycofanie sprzętu od dostawcy wysokiego ryzyka będzie standardowo siedem lat (to się nie zmieniło w porównaniu z planami PiS). Natomiast najwięksi przedsiębiorcy telekomunikacyjni na wymianę sprzętu lub oprogramowania wykorzystywanych do realizowania funkcji krytycznych dla bezpieczeństwa sieci i usług dostaną tylko cztery lata – a więc o rok mniej, niż planowano w poprzedniej kadencji.
Skrócenie tego okresu uzasadniono szczególnym znaczeniem usług telekomunikacyjnych dla bezpieczeństwa państwa. Projektowane rozwiązania mają chronić przede wszystkim komórkowe sieci piątej generacji (5G) – ze względu na potencjalne szkody, jakie może przynieść zakłócenie ich funkcjonowania. Ale postępowaniu HRV będzie mógł zostać poddany także dostawca produktów, usług i procesów ICT dla innych systemów informacyjnych – jeżeli będzie spełniona przesłanka zapewnienia ochrony bezpieczeństwa państwa.
Jednym z kryteriów analizy, czy firma jest dostawcą wysokiego ryzyka, będzie prawdopodobieństwo, „z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego”. Podobne plany miał rząd Prawa i Sprawiedliwości.
– Jeśli chcemy zapewnić bezpieczeństwo, musimy brać pod uwagę czynniki geopolityczne – uzasadnia Paweł Olszewski, sekretarz stanu w MC.
Czy wobec tego postępowania o uznanie za dostawcę wysokiego ryzyka będą na mocy znowelizowanej u.k.s.c. wszczynane wobec firm z Chin i innych państw spoza UE i NATO?
– Najpierw odbędą się konsultacje, m.in. z Kolegium ds. Cyberbezpieczeństwa – informuje minister Gawkowski.
W porównaniu z planami poprzedniego rządu nie zmienia się – krytykowana przez branżę telekomunikacyjną – zasada, że za wymianę sprzętu stwarzającego ryzyko dla cyberbezpieczeństwa firmy nie otrzymają rekompensaty.
Ponieważ projekt stanowi m.in. implementację dyrektywy 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (NIS2), to przewidziano wiele rozwiązań dotyczących krajowego systemu cyberbezpieczeństwa – w tym rozszerzenie uczestniczących w nim podmiotów o nowe sektory gospodarki, jak produkcja, przetwarzanie i dystrybucja żywności, usługi pocztowe czy gospodarka odpadami i ściekami.
Dyrektywa NIS2 musi zostać wdrożona do 17 października br. Minister Gawkowski przewiduje, że nowe przepisy u.k.s.c. zaczną obowiązywać w połowie przyszłego roku. ©℗
