Minister cyfryzacji będzie nadzorował krajowy system certyfikacji cyberbezpieczeństwa (KSCC) z pomocą państwowych instytutów badawczych (w szczególności NASK i Instytutu Łączności), które same też będą podlegać temu nadzorowi, a jednocześnie mogą konkurować z nadzorowanymi firmami. Na związane z tym ryzyko zwrócono uwagę w opiniach do projektu ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa (nr z wykazu: UC42).
Projekt opiera się na unijnym akcie o cyberbezpieczeństwie (rozporządzenie 2019/881), który przewiduje możliwość ubiegania się przedsiębiorców oferujących produkty, usługi i procesy ICT o europejski certyfikat cyberbezpieczeństwa – honorowany w każdym państwie UE. Certyfikaty wydają funkcjonujące w poszczególnych krajach jednostki oceniające zgodność. Z kolei otrzymanie statusu takiej jednostki wymaga akredytacji – w Polsce zgodnie z projektem będzie ją przyznawać Polskie Centrum Akredytacji. Nadzór nad całym systemem, w tym prawo kontrolowania uczestniczących w nim podmiotów, MC planuje powierzyć samemu sobie.
Nadzór nad samym sobą
To najbardziej krytykowane podczas konsultacji rozwiązanie projektu.
Rada Legislacyjna wskazuje, że budzi ono „poważne wątpliwości”. Jej zdaniem minister cyfryzacji – „z zupełnie obiektywnych względów prawnych, nie zaś z uwagi na jego subiektywne intencje czy prowadzoną politykę – nie daje gwarancji zachowania niezależności” wymaganej od tego organu. Z mocy prawa nadzoruje on bowiem państwowe instytuty badawcze, które mają zostać jednostkami oceniającymi zgodność.
Co więcej, w uzasadnieniu projektu resort zapowiada, że wykonując nowe zadania, będzie musiał korzystać z wiedzy ekspertów zewnętrznych – przede wszystkim państwowych instytutów badawczych, jak NASK oraz Instytut Łączności.
Minister ds. UE sygnalizuje tu ryzyko „korzystania ze wsparcia instytutu badawczego będącego jednocześnie jednostką oceniającą zgodność” np. podczas kontroli takiego instytutu czy rozpatrywania złożonych na niego skarg. Polska Wytwórnia Papierów Wartościowych wskazuje zaś wprost na ryzyko, „że jednostki uczestniczące w rynku będą faktycznie (bo formalnie mają wspierać ministra) kontrolowały i nadzorowały siebie lub swoich konkurentów”.
Inni tak robią
Marcin Serafin, partner w kancelarii Rymarz Zdort Maruta, podziela te wątpliwości.
– Po pierwsze, stanowisko ministra ma charakter polityczny. Po drugie, zajmująca je osoba nie zawsze jest ekspertem. Natomiast w krajowym systemie certyfikacji, i w ogóle w sferze cyberbezpieczeństwa, przydałby się organ gwarantujący pewną stabilizację i wiedzę merytoryczną. Umocowany podobnie jak w swoich dziedzinach prezesi UKE, UODO czy UOKiK – argumentuje. – Propozycja utworzenia kolejnego urzędu może być niepopularna, ale byłoby to lepsze rozwiązanie niż rozpraszanie cyberbezpieczeństwa, za które mają w swoich obszarach odpowiadać poszczególni ministrowie, a więc podmioty z definicji polityczne – dodaje.
Ministerstwo wskazuje jednak, że w większości państw UE, które wprowadziły już przepisy w tym zakresie, np. w Niemczech i we Francji, krajowy organ „jest równocześnie jednostką oceniającą zgodność” (bez pośrednictwa instytutów) i nie jest to podważane przez Komisję Europejską.
„Tym bardziej można udokumentować brak zależności w przypadku wystąpienia relacji nadzorczych między krajowym organem a jednostką oceniającą zgodność” – odpowiada resort Radzie Legislacyjnej, dodając, że kluczowe jest to, „aby inne osoby podejmowały rozstrzygnięcia związane z nadzorem nad instytutami badawczymi, a inne realizowały zadania krajowego organu ds. certyfikacji cyberbezpieczeństwa”. MC planuje to zapewnić.
Dobrowolnie, ale...
Certyfikacja będzie dla firm i konsumentów ułatwieniem czy utrudnieniem?
– To zależy od punktu widzenia. Dla nabywców produktów lub usług IT będzie to ułatwienie, bo pomoże im wybrać bezpieczne rozwiązania. Natomiast po stronie producentów i dostawców będzie to korzystniejsze dla większych podmiotów, którym łatwiej przyjdzie uzyskanie certyfikatu – odpowiada Agnieszka Wachowska, radca prawny, co-managing partner w kancelarii Traple Konarski Podrecki i Wspólnicy.
Zaznacza, że certyfikacja na gruncie projektowanej ustawy będzie dobrowolna.
– Natomiast niedługo zostanie opublikowane nowe rozporządzenie: akt o cyberodporności (Cyber Resilience Act), dotyczący produktów z elementami cyfrowymi. Ta regulacja wprowadzi obowiązkową certyfikację dla pewnych produktów, np. routerów – wskazuje Agnieszka Wachowska.
Akt o cyberodporności 10 października został przyjęty przez Radę UE. Wejdzie w życie 20 dni po publikacji i zacznie być stosowany 36 miesięcy później.
Na razie jednak firmy nie muszą się starać o certyfikaty.
– Pozornie tak. Ale we współczesnym świecie zapewnienie cyberbezpieczeństwa jest takie ważne, że bez systemu certyfikacji każdy podmiot musiałby mieć swojego doradcę, który wskazywałby mu bezpieczne rozwiązania – stwierdza Marcin Serafin. – Certyfikat cyberbezpieczeństwa będzie znakiem potwierdzającym jakość bezpieczeństwa, jak prawo jazdy potwierdza np. uprawnienia do kierowania pojazdami, a dyplom potwierdza poziom edukacji – podkreśla.
To ostatnie kryterium odgrywa kluczową rolę w innym projekcie MC – nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) – i w przewidzianej tam procedurze dotyczącej dostawców wysokiego ryzyka (HRV).
– Obawiam się, że system certyfikacji nie będzie miał przełożenia na KSC. Wobec dostawcy produktu, usługi czy procesu z certyfikatem nadal będzie więc można wszcząć procedurę o uznanie za dostawcę wysokiego ryzyka – jakkolwiek dziwnie będzie to wyglądać. Na tym zresztą polega absurdalność projektu nowelizacji KSC – uważa Marcin Serafin. ©℗
Podstawa prawna
Etap legislacyjny
Projekt po opiniowaniu, konsultacjach publicznych i uzgodnieniach