Subskrybuj nas na Youtube
Zapisz się na newsletter
Wszystkie znaki na niebie i ziemi wskazują, iż po 6 latach uda się wreszcie uchwalić nową ustawę dotyczącą cyberbezpieczeństwa. We wtorek jej projekt pojawił się na posiedzeniu Rady Ministrów.
Rewolucja w cyberbezpieczeństwie dotknie tysięcy podmiotów
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) ma na celu wdrożenie do polskie prawa unijnej dyrektywy NIS 2, jednak w praktyce oznaczać będzie rewolucję dla tysięcy polskich firm i instytucji. Pojawią się nowe zapisy dotyczące procedur nadzoru, zasad zgłasza incydentów, a także znacznie rozszerzony zostanie katalog podmiotów, objętych nadzorem państwa.
- Musimy gonić przyszłość. Dzisiaj cyberbezpieczeństwo jest absolutnie kluczowe z punktu widzenia wszystkich działań na rzecz bezpieczeństwa wewnętrznego i zewnętrznego. To wymaga między innymi pełnej kontroli sprzętu, na jakim instytucje życia publicznego pracują – mówił przed rozpoczęciem posiedzenia Rady Ministrów premier Donald Tusk
Twórcy przepisów powołują się na dane odnośnie liczby incydentów, do jakich doszło w ostatnich latach w sieci. Kiedy w 2022 r. do CSIRT NASK zgłoszono 39 tys. incydentów cyberbezpieczeństwa, to już w roku 20223 było ich 75 tys. Stąd też państwo uznało, że kontrolą trzeba objąć znacznie większą liczbę podmiotów, których działalność jest kluczowa w procesie zapewnienia państwu bezpieczeństwa. Zmiany przewidują, że nowymi przepisami objęta będzie nie tylko infrastruktura o strategicznym znaczeniu, jak branża energetyczna, wodociągowa, lotnicza, morska, bankowa, czy ochrona zdrowia, ale też tzw. podmioty ważne.
Do ich grona zaliczyć będzie można średnie i duże firmy, które dotychczas formalnie nie podlegały nadzorowi. Dotyczyć będzie to jednak przedsiębiorstw, grających ważne role w gospodarce, jak między innymi: regionalne firmy telekomunikacyjne, operatorzy usług cyfrowych, producenci chemikaliów, a także centra logistyczne. Nowe przepisy obejmą nadzorem też instytucje administracji państwowej i samorządowej.
Chińczycy się skarżą. Donald Tusk nie zaprzecza
Zapowiedź zajęcia się przez rząd KSC w ogłoszonej wcześniej formie zaalarmowała jedną ze znanych na polskim rynku chińskich firm – Huawei. Jej przedstawiciele zwrócili uwagę na jeden zapis, jaki znalazł się w projekcie ustawy, umożliwiający wykluczanie z rynku „dostawców wysokiego ryzyka”.
„Kryteria identyfikacji dostawców wysokiego ryzyka wydają się nieproporcjonalne i mogą uderzać w podmioty spoza UE lub NATO, niezależnie od ich dotychczasowego dorobku czy zaangażowania w bezpieczeństwo” – pisze w liście do premiera chiński koncern. Przypomina on, iż od ponad 20 lat firma inwestuje w polski sektor cyfrowy i energetyczny, wspiera rozwój technologiczny Polski, a wprowadzenie zapowiadanych rozwiązań może doprowadzić do wyeliminowania Huawei z kluczowych sektorów gospodarki. Wśród próśb zakamuflowano też groźbę wobec Polski.
„Proponowana ustawa grozi naruszeniem praw Huawei jako inwestora w ramach postanowień chińsko-polskiej umowy bilateralnej oraz Traktatu Karty Energetycznej, powodując straty Huawei szacowane w miliardach złotych(…). W zakresie, w jakim obecne i przyszłe działania polskiego rządu naruszają zabezpieczenia gwarantowane przez TKE, Huawei Technologies jest zmuszona zastrzec przedłożenie sporu do arbitrażu na podstawie art. 26 TKE” – piszą Chińczycy.
We wtorek po południu rząd przyjął projekt ustawy o KSC, a jak dał do zrozumienia premier Donald Tusk, obawy obcych firm nie są do końca bezpodstawne. Kraj pochodzenia sprzętu może mieć znaczenie. Podkreślając wagę kontroli, jaką państwo powinno mieć nad sprzętem używanym do zapewnienia mu bezpieczeństwa, szef rządu zapowiedział daleko idące zmiany.
- To wymaga wprost konieczność systematycznej wymiany, i to pod ścisłą kontrolą państwa, wszędzie tam, gdzie zagrożenie cyberatakami wynika albo z charakterystyki sprzętu, albo ze stopnia zużycia, albo z kraju, który produkuje dany sprzęt – powiedział Donald Tusk.
