Cyberbezpieczeństwo. Prawniczka: nadregulacja uderzy w biznes

17 października mija termin implementacji dyrektywy NIS2, której celem jest zwiększenie bezpieczeństwa infrastruktury cyfrowej w kluczowych sektorach państwa i gospodarki. Tymczasem projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, który m.in. wdraża postanowienia tej dyrektywy, znajduje się obecnie na etapie prac w ramach Rady Ministrów.

Warto przypomnieć, że w początkowym okresie prac nad nowelizacją ustawy o KSC, a więc w 2020 r., założeniem Ministerstwa Cyfryzacji było wdrożenie unijnego pakietu przepisów 5G Toolbox. Prace przerwano z powodu pandemii Covid-19. Na niedawnej konferencji Cyber24Day Krzysztof Gawkowski, minister cyfryzacji, potwierdził, że w najbliższych dniach możemy spodziewać się ogłoszenia nowej ustawy o KSC, prawdopodobnie w zmodyfikowanej w stosunku do oryginalnego projektu wersji.

16 stycznia 2023 r. przyjęto dyrektywę NIS2. Od tego momentu rozpoczął się okres na transpozycję dyrektywy do porządków prawnych poszczególnych państw członkowskich. Termin ten upływa 17 października 2024 r. Rada Ministrów ogłosiła w kwietniu 2024 r. projekt nowelizacji ustawy o KSC, który w założeniach ma stanowić polską transpozycję dyrektywy NIS2. Projekt zawiera również pewne odesłania do założeń poprzednich projektów nowelizacji ustawy o KSC, które śledziliśmy przez ostatnie cztery lata. Szczególnie istotnym obszarem jest próba rozbudowania przepisów dotyczących dostawców wysokiego ryzyka (DWR). Procedura uznania dostawcy za DWR pozwala ministrowi cyfryzacji wykluczyć określonego dostawcę z rynku ze względu na kryteria techniczne i nietechniczne, takie jak np. bezpieczeństwo sprzętu, ale również państwo pochodzenia dostawcy.

Czytaj więcej

Prawo dla Ciebie

Te przepisy budzą kontrowersje. "Polska nadreguluje" - twierdzą jedni. Inni: to uzasadnione

Polska przyjmie jedno z bardziej rygorystycznych stanowisk przy implementacji dyrektywy NIS2 – wy...

Projekt rozszerza obowiązki związane z cyberbezpieczeństwem na nowe sektory, nieobjęte poprzednio obowiązującą dyrektywą NIS i krajowym prawodawstwem w zakresie cyberbezpieczeństwa.

Transpozycja NIS2 zastępuje dotychczasowe kategorie dostawców usług kluczowych i dostawców usług cyfrowych, kategoriami podmiotów kluczowych i ważnych. Znacznie rozszerzono również zakres sektorów objętych dyrektywą, wiele biznesów będzie musiało zmierzyć się zatem z nowymi obowiązkami w zakresie bezpieczeństwa informacji. Obejmują one zarówno wdrożenie środków w zakresie cyberbezpieczeństwa (takich jak konieczność ustanowienia polityki zarządzania ryzykiem czy zapewnienia bezpieczeństwa łańcucha dostaw), jak i ustanowienie odpowiednich procedur w zakresie szybkiego zgłaszania incydentów bezpieczeństwa do właściwych organów. Za naruszenie obowiązków przewidziano surowe kary finansowe oraz odpowiedzialność osobistą osób na stanowiskach kierowniczych. W maju zakończyły się konsultacje, w ramach których do Ministerstwa Cyfryzacji spłynęło wiele uwag krytycznych, również ze strony administracji publicznej.

EY w ostatnich miesiącach sporządził dwa raporty dotyczące NIS2. Jakie dostrzegają państwo najistotniejsze problemy?

Najważniejszym wyzwaniem jest bardzo szeroki zakres sektorów, które będą musiały dostosować się do nowych przepisów wynikających z dyrektywy NIS2. Projekt ustawy przewiduje rozległy wpływ na różne branże, rozszerzając katalog tzw. podmiotów kluczowych i ważnych. Oznacza to, że więcej firm z różnych sektorów, takich jak zarządzanie usługami ICT, przestrzeń kosmiczna, poczta czy produkcja chemikaliów, będzie zobowiązanych do spełniania wymagań w zakresie cyberbezpieczeństwa.

Dyrektywa NIS 2 klasyfikuje sektory jako kluczowe i ważne, nakładając na nie określone wymogi bezpieczeństwa. Klasyfikacja danego sektora jako kluczowego wiąże się z bardziej rygorystycznym nadzorem oraz surowszymi regulacjami, co może mieć istotny wpływ na funkcjonowanie firm w tych branżach. W polskim projekcie ustawy trzy sektory, które w dyrektywie NIS2 są uznawane za ważne, zostały sklasyfikowane jako kluczowe, co dodatkowo zwiększa wymogi wobec nich.

Chodzi o branże: chemiczną, żywnościową i medyczną.

Tak, ale to nie wszystko. Do katalogu podmiotów kluczowych zostały również włączone m.in. jednostki budżetowe oraz jednostki organizacyjne podległe ministrowi odpowiedzialnemu za energię czy gospodarkę. Widzimy zatem, że zakres sektorów uznanych za kluczowe został rozszerzony w porównaniu z wymogami Unii Europejskiej.

Jednak warto doprecyzować: niektóre sektory, na gruncie dyrektywy NIS2 uznane za „ważne”, w polskiej ustawie o KSC zostały sklasyfikowane jako „kluczowe”. To zaostrza wymagania wobec tych sektorów, nakładając na nie bardziej rygorystyczne regulacje.

Jednak przepisy unijne określają pewien minimalny standard, a jeśli państwo chce wdrożyć większe wymogi w stosunku do podmiotów z kręgu administracji publicznej, to chyba należałoby tylko przyklasnąć?

Unijne przepisy wyznaczają pewne minimalne standardy, a jeśli państwo członkowskie decyduje się wprowadzić surowsze wymogi dla podmiotów, zwłaszcza z sektora administracji publicznej, można to teoretycznie uznać za krok w stronę większego bezpieczeństwa. Jednak warto zapytać o uzasadnienie takich działań. Dlaczego wprowadzane są wyższe wymogi wobec określonych podmiotów? Zgodnie z zasadą proporcjonalności i modelu minimalnej harmonizacji państwa członkowskie powinny implementować przepisy w sposób adekwatny do zagrożeń, nie wykraczając poza to, co jest konieczne.

Dlatego chciałabym poznać stanowisko projektodawców – co uzasadnia wprowadzenie surowszych wymagań? Czy to podejście jest uzasadnione w kontekście porównania z innymi krajami Unii Europejskiej, które mogą wdrażać przepisy w sposób bardziej zgodny z minimalnymi wytycznymi?

Podniesienie wymogów powyżej unijnych standardów nie tylko wiąże się z wyższymi kosztami dla podmiotów, ale także z dodatkowymi ryzykami. Na przykład w przypadku dostawców wysokiego ryzyka (DWR) wprowadzenie bardziej rygorystycznych przepisów może oznaczać, że firmy współpracujące z takim dostawcą będą musiały ponieść znaczne koszty w razie konieczności wycofania go z rynku. Wyobraźmy sobie firmę, która korzysta ze sprzętu dostawcy uznanego za DWR przez ministra cyfryzacji – w takim przypadku konieczna będzie wymiana sprzętu, co może być bardzo kosztowne i stanowić duże wyzwanie dla przedsiębiorstwa.

To prawda. Zgodnie z projektem podmiot podlegający pod ustawę o KSC, który korzysta z produktów lub usług firmy uznanej za DWR, będzie musiał wycofać te produkty w ciągu siedmiu lat od wydania decyzji. Czy to nie jest okres, po którym i tak nastąpiłaby amortyzacja tego sprzętu?

To pytanie bardziej do ekspertów finansowych. Wydaje mi się jednak, że w procesie konsultacji zabrakło pełnej transparentności i możliwości wypowiedzenia się przez wszystkie zainteresowane strony. Ważne jest również, jak przebiega procedura wykluczenia DWR – czy opiera się wyłącznie na kryterium kraju pochodzenia, czy uwzględnia też aspekty techniczne, takie jak podatność na zagrożenia?

Warto zauważyć, że inne kraje, które wdrożyły Toolbox 5G, ograniczyły procedurę dotyczącą DWR jedynie do sieci 5G i związanych z nimi technologii. Tymczasem nowelizacja ustawy o KSC rozszerza tę procedurę na wszystkie sektory. Widzimy tu ryzyko nadregulacji. Czy naprawdę jest konieczne, aby wykluczenie DWR obejmowało kilkanaście sektorów objętych ustawą o Krajowym Systemie Cyberbezpieczeństwa, a nie tylko dotyczyło technologii 5G, jak to jest w przypadku Toolbox 5G? Mam wrażenie, że projektodawca nie dostrzega tej istotnej różnicy.

To kluczowa rozbieżność między nowelizacją ustawy o KSC a dyrektywą NIS 2 oraz procedurą wykluczenia DWR wynikającą z Toolbox 5G?

Tak. Proszę sobie wyobrazić, że w sektorze zdrowia często nie ma dostępnych zamienników dla określonych technologii. Jeśli dostawca zostanie uznany za DWR, to nagle może się okazać, że korzystanie z tych technologii nie będzie możliwe, co stwarza ogromne wyzwania.

Rozumiem wagę kwestii cyberbezpieczeństwa. Jednak chciałabym, aby polski ustawodawca, wprowadzając bardziej rygorystyczne regulacje niż te przewidziane jako minimalne, jasno wyjaśnił ich celowość. Przedsiębiorstwa powinny wiedzieć, dlaczego mają przestrzegać bardziej surowych wymogów niż te, które obowiązują w pozostałych 26 krajach UE. Warto się zastanowić, czy istnieją uzasadnione powody, by stosować aż tak szerokie podejście.

Pamiętajmy, że trwa wojna w Ukrainie, nasza infrastruktura jest przedmiotem zainteresowania wschodnich służb, mamy dużą liczbę incydentów cyberbezpieczeństwa etc.

Z jednej strony, rzeczywiście mamy do czynienia z trudną sytuacją geopolityczną – wojna w Ukrainie, zwiększona aktywność wschodnich służb wywiadowczych, a także rosnąca liczba incydentów związanych z cyberbezpieczeństwem. To argumenty, które mogą uzasadniać bardziej rygorystyczne podejście do ochrony naszej infrastruktury krytycznej.

Natomiast mam wątpliwości co do kryterium uznawania podmiotów za dostawców wysokiego ryzyka (DWR). Zgodnie z projektem ma nim być dostawca technologii, usług ICT, sprzętu lub oprogramowania, którego działalność, źródło kapitału czy powiązania są związane z państwami spoza UE i NATO. Zastanawia mnie, dlaczego wprowadzono kryterium NATO. NATO jest sojuszem obronnym, a wielu jego członków ma już standardy cyberbezpieczeństwa, które mogą być bardziej rygorystyczne niż unijne. Dlaczego zatem kapitał pochodzący z państw spoza NATO ma automatycznie być uznawany za ryzykowny?

To kryterium wydaje się być nieco zbyt szerokie. Można zrozumieć obawy związane z kapitałem z krajów, które mogą stanowić zagrożenie, ale NATO jako całość obejmuje różnorodne państwa, niekoniecznie związane z polityką gospodarczą czy technologiczną. Wydaje się więc, że to kryterium wymaga bardziej precyzyjnego uzasadnienia.

Nie wiem, może by nie wykluczać dostawców np. z Turcji? Ale tak spekulując na gorąco.

Zgodnie z projektem artykuł 67b ustęp 11 pkt 2 wymaga, aby przy wydawaniu decyzji o uznaniu dostawcy za DWR brano pod uwagę m.in. prawdopodobieństwo, że dostawca znajduje się pod kontrolą państwa spoza Unii Europejskiej lub NATO. W tym kontekście dostawca jest weryfikowany pod kątem przepisów dotyczących ochrony danych osobowych w jego kraju, a także pod względem możliwości ingerencji państwa w jego działalność gospodarczą. Oznacza to, że dostawca może być wykluczony ze względu na kraj pochodzenia, nawet jeśli nie ma bezpośrednich dowodów na podatność na incydenty w obszarze cyberbezpieczeństwa.

To właśnie ten aspekt budzi moje największe wątpliwości. Jeżeli rozmawiamy o cyberbezpieczeństwie, powinniśmy koncentrować się na faktycznej podatności danej technologii na zagrożenia, a nie na kraju pochodzenia. Czy powinniśmy zakazać sprzedaży wszystkich samochodów produkowanych w Chinach tylko dlatego, że pochodzą z tego kraju, mimo że są niezawodne na naszych drogach? Dlatego uważam, że powinniśmy zastanowić się, w jakim stopniu kryteria nietechniczne, takie jak kraj pochodzenia, powinny być brane pod uwagę. Co więcej, istnieje ryzyko naruszenia traktatów UE dotyczących swobody gospodarczej. Powinniśmy przenieść punkt ciężkości na to, co faktycznie definiuje cyberbezpieczeństwo, czyli na kwestie techniczne i certyfikację technologii.

Co jeszcze w procedurze uznawania danego podmiotu za DWR budzi zastrzeżenia?

Jednym z głównych problemów jest fakt, że od decyzji ministra ds. informatyzacji przysługuje co prawda skarga do sądu administracyjnego, ale sprawy te są rozpatrywane na posiedzeniach niejawnych. Oznacza to, że skarżący otrzymuje wyrok bez dostępu do informacji niejawnych, podczas gdy pełne uzasadnienie trafia wyłącznie do ministra.

To rodzi istotny problem – w jaki sposób taki podmiot może skutecznie wnieść środek zaskarżenia, skoro nie zna pełnej argumentacji, na której opiera się decyzja? Zasadne jest przypuszczenie, że w większości przypadków taki podmiot będzie musiał domniemywać, iż przyczyną uznania go za DWR jest pochodzenie kapitału lub związek z krajem spoza UE i NATO – na co sam nie ma wpływu.