czwartek, 05 listopad 2020 12:11

Cyberbezpieczeństwo w Polsce znalazło się w niebezpieczeństwie

Projekt nowelizacji ustawy o cyberbezpieczeństwie został skierowany do konsultacji społecznych i od razu wzbudził sprzeciw między innymi konstytucjonalistów. Weszliśmy do świata, w którym wirtualna praca, zakupy, edukacja czy służba zdrowia są już na porządku dziennym. Rządy europejskie lokują duże środki w cyfryzację, a prawnicy opracowują zabezpieczenia, które mogłyby ochronić ludzi przed falą internetowych przestępstw. Sprawa jest pilna, bo w rejestrze stron zakazanych mamy już ich tysiące, w tym 4 tysiące witryn wyłudzających pieniądze.

Cele nowelizacji i najważniejsze zmiany

Wdrożenie zaleceń unijnych w zakresie bezpieczeństwa sieci telekomunikacyjnych oraz usprawnienie funkcjonowania najważniejszych instytucji w systemie cyberbezpieczeństwa RP - to główne cele nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Ma ona także dopasować prawo do wprowadzenia nowej generacji łączności mobilnej, czyli 5G.

Oto najważniejsze, proponowane w nowelizacji, zmiany:

Kolegium ds. Cyberbezpieczeństwa otrzyma kompetencje do oceny ryzyka dostawców sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa podmiotów krajowego systemu cyberbezpieczeństwa. Prowadzenie przez państwa członkowskie UE tego typu ocen ryzyka zostało uzgodnione z Komisją Europejską i ENISA, jako jeden ze środków strategicznych w dokumencie 5G Toolbox;
Sektorowe CSIRT – mimo istnienia takiej możliwości, dotychczas powstał tylko jeden sektorowy zespół cyberbezpieczeństwa - Sektorowy Zespół Cyberbezpieczeństwa dla Sektora Bankowości i Infrastruktury Rynków Finansowych (CSIRT-KNF). Zmiany umożliwią powstanie sektorowych CSIRT we wszystkich kluczowych dla społeczno-ekonomicznego bezpieczeństwa państwa i obywateli sektorach gospodarki;
Wprowadzenie do krajowego systemu cyberbezpieczeństwa operacyjnych centrów bezpieczeństwa, czyli SOC. Ponadto, doprecyzowane zostaną zadania i rola SOC w systemie cyberbezpieczeństwa RP;
Tworzenie i funkcjonowanie ISAC - zmiany umożliwią tworzenie ISAC, czyli specjalistycznych organizacji, dzięki którym podmioty ksc będą miały możliwość bieżącej wymiany informacji o incydentach, zagrożeniach, podatnościach oraz dobrych praktykach. ISAC usprawnią także współpracę podmiotów z zespołami CSIRT poziomu krajowego.

Opinia prawna

Prawnicy alarmują, że nowelizacja nie będzie zgodna z Ustawą Zasadniczą. Jak czytamy na stronie Pracodawców RP „Listę zarzutów otwiera kwestia procedury oceniania, czy dana firma może w Polsce sprzedawać sprzęt operatorom telekomunikacyjnym oraz konsumentom. Oceny miałoby dokonywać specjalne Kolegium, ale kryteria są niejasne. W procedurze tej oceniany dostawca nie brałby w ogóle udziału, a jej przebieg nie byłby poddawany kontroli sądowej. Dostawca o wyniku dowiadywałby się dopiero z komunikatu w Monitorze Polskim. Zdaniem Pracodawców RP takie reguły podważają zasadę proporcjonalności, wywodzącą się z zasady demokratycznego państwa prawa.

W przypadku negatywnej opinii Kolegium na temat dostawcy jego produkty miałyby być usunięte z rynku, w tym również te już funkcjonujące. To rozwiązanie podważa z kolei zasadę niedziałania prawa wstecz”.

Na zlecenie pracodawców opinię co do projektu przygotowała kancelaria Chmaji i wspólnicy. Czytamy w niej, że: „na podstawie projektowanych zmian to organy państwowe de facto przejmują władzę nad rynkiem usług sieci telekomunikacyjnych, usług komunikacji elektronicznej oraz dostawy sprzętu i oprogramowania elektronicznego. Organy państwowe w oparciu o przepisy Projektu mają prawo do naruszenia renomy dostawcy poprzez publikację nieostetecznej oceny dotyczącej ryzyka w Monitorze Polskim. Ponadto, po przeprowadzeniu nieobiektywnego postępowania ocennego, działalność dostawcy w znacznej mierze może zostać ograniczona lub w całości zlikwidowana”.

Ale najbardziej niepokojący jest zapis, który otwiera furtkę do bardzo łatwego manipulowania zamówieniami publicznymi. Prawnicy ostrzegają: „Dostawcy sprzętu lub oprogramowania mogą zostać wykluczeni z zamówienia publicznego, jeżeli w stosunku do nich przeprowadzana ocena zakończyła się z wynikiem „wysokie ryzyko” (art. 2 ust 2 Projektu dotyczący zmiany do art. 109 p.z.p.). Uprawnienie do wykluczenia wykonawcy zamawiający uzyskują już w chwili publikacji komunikatu o wynikach postępowania ocennego w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”. W związku z powyższym dostawcy zostają pozbawieni prawa do udziału w postępowaniach przetargowych po przeprowadzeniu jednostronnego postępowania ocennego, w oparciu o nieprawomocną ocenę”.

Uwagi do projektu przedstawił też Rzecznik MŚP, który również podnosi wątek zamówień publicznych, apelując o to, aby małe firmy wyłączyć z niektórych obowiązków, np. z obowiązku sporządzenia i posiadania planu działań w sytuacjach szczególnego zagrożenia.

Nowe prawo wprowadza kategorię incydentu telekomunikacyjnego, co pozwoli wykluczać z rynku ryzykowne firmy. Pytanie tylko jak to ryzyko będzie oceniane i kto, w jakich okolicznościach, będzie decydował o odsuwaniu danej firmy od rynku.