W projektowanych przez Ministerstwo Cyfryzacji przepisach znalazły się rozwiązania, które nasuwają skojarzenie z myślą nieuczesaną Stanisława Jerzego Leca: „«Pogrożę mu tylko palcem» – rzekł, kładąc go na cynglu”.

Konsekwencją naruszeń w zakresie cyberbezpieczeństwa może być nawet wstrzymanie działalności gospodarczej firmy. Takie rozwiązania przewiduje najnowsza wersja projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC).

Ryzyko obejmuje nie tylko przedsiębiorstwa teleinformatyczne, ale i takie sektory, jak górnictwo węgla, gazu, ropy naftowej, rud metali; wytwarzanie i przesyłanie energii elektrycznej i cieplnej; gospodarowanie odpadami; apteki i hurtownie farmaceutyczne oraz przewozy lotnicze. Jeśli firma z jednej z tych branż nie zastosuje się do nakazu lub decyzji organu właściwego ds. cyberbezpieczeństwa, to organ ten będzie mógł wstrzymać lub ograniczyć jej koncesję, zezwolenie na prowadzenie działalności gospodarczej, wstrzymać w całości albo w części jej działalność oraz zakazać kierownikowi firmy pełnienia w niej funkcji zarządczych.

Bo nie wdrożyli zaleceń cyberbezpieczeństwa

W praktyce serię niefortunnych zdarzeń może zapoczątkować np. opóźnienie wdrożenia zaleceń wydanych po audycie systemu informatycznego. Ostrzegaliśmy już przed tymi pomysłami pod koniec roku. Projekt od tego czasu się zmienił, tyle że na niekorzyść przedsiębiorców.

Dotychczas można było liczyć na merytoryczne rozpoznanie sprawy przez organy koncesyjne. Procedura przewidywała, że organ cyberbezpieczeństwa – będą to różne organy zależnie od sektora: np. minister energii, minister cyfryzacji – wystąpi z wnioskiem o cofnięcie koncesji lub inną sankcję do organu właściwego w sprawie koncesji lub zezwolenia albo do sądu. Szansa na uniknięcie sankcji nie była duża, bo organ koncesyjny nie musiał specjalnie roztrząsać takiego wniosku. Ale miał taką możliwość, jeśli powziął wątpliwości.

Teraz jej już nie ma, bo w najnowszym projekcie KSC wyeliminowano pośredników. Widać stanowili zbędne ogniwo. A może autorzy noweli zniechęcili się tym, że przewidywana przez nich poprzednio możliwość występowania do sądu o zawieszenie działalności podmiotu kluczowego wpisanego do Krajowego Rejestru Sądowego trafiła w próżnię – bo nie ma takiego mechanizmu jak zawieszenie działalności przedsiębiorcy przez sąd.

Nie to nie. Organ cyberbezpieczeństwa sam wstrzyma działalność firmy, bez zbędnych ceregieli. Zanim zastosuje sankcję, zważy okoliczności: m.in. czas trwania naruszenia i spowodowane szkody. Przy czym – jak nas jeszcze w grudniu zapewniało MC – będzie to „środek ostateczny”, gdyby inne zawiodły.

Ministerstwo Cyfryzacji wstawia mizerne bezpieczniki

Nasuwa się tu jednak skojarzenie z myślą nieuczesaną Stanisława Jerzego Leca: „«Pogrożę mu tylko palcem» – rzekł, kładąc go na cynglu”. Bo uprawnienie do odbierania koncesji to niebezpieczne narzędzie. Dla przedsiębiorstwa taka decyzja może być równoznaczna z wyrokiem śmierci. Dlatego potrzebne są nie deklaracje projektodawcy, lecz realne bezpieczniki. A te prezentują się mizernie.

Pierwszym jest czasowe ograniczenie sankcji do 14 dni. Tylko że po ich upływie niekoniecznie będzie można podejmować próby reanimacji przedsiębiorstwa – organ koncesyjny może przedłużyć sankcję na kolejny okres. I kolejny – teoretycznie ad infinitum, bo projekt nie przewiduje żadnych limitów. A firma może przedstawić stanowisko w swojej obronie tylko za pierwszym razem.

W tej sytuacji jedynym dającym nadzieję skuteczności zabezpieczeniem jest możliwość wniesienia skargi do sądu administracyjnego. W takim wypadku sankcji nie stosuje się do czasu rozstrzygnięcia sprawy – które to rozstrzygnięcie według projektu ma nastąpić w terminie miesiąca.

Kłopoty z nowelizacją KSC

To już piąta nowela KSC w tej kadencji. Poprzedni rząd wyprodukował ich dwucyfrową liczbę, a jedną z wersji skierował nawet do Sejmu – jednak tylko po to, aby go stamtąd wycofać na godzinę przed planowanym wysłuchaniem publicznym. Dlaczego? Bo w projektowanych przepisach o cyberbezpieczeństwie nie brakowało rozwiązań, które wzbudzały kontrowersje. Dość wskazać procedurę dotyczącą dostawców wysokiego ryzyka, która może prowadzić do wykluczania z polskiego rynku określonych firm produkujących sprzęt telekomunikacyjny.

Wydawałoby się, że autorzy aktu prawnego z tak długą i bolesną historią wykażą się szczególną rozwagą i powstrzymają przed wprowadzaniem rozwiązań mających potencjał do sparaliżowania kluczowych sektorów gospodarki. Jak widać jednak, nic z tego.

Oczywiście, zawsze można wysunąć nieśmiertelny kontrargument, że kto przestrzega zasad cyberbezpieczeństwa, nie ma się czego bać. Przecież żadnego biznesu w Polsce nie zrujnowano serią decyzji, które po latach okazały się błędne, prawda? Przecież władza zawsze gra fair i nigdy się nie myli, więc dajmy jej do ręki ten rewolwer i śpijmy spokojnie. ©℗