Ustawa o Krajowym Systemie Bezpieczeństwa (ustawa o KSC) ma już sześć lat. Przez ponad pół dekady w sferze technologii i cyberbezpieczeństwa zmieniło się bardzo wiele. Przepisy muszą dotrzymać kroku tym przemianom. Poza aktualizacją krajowych przepisów, nowelizacja ustawy pozwoli zaimplementować postanowienia unijnej dyrektywy NIS 2. Tym samym zakres nowej ustawy jest bardzo szeroki. Możliwie najszybsze procedowanie nowelizacji i zagwarantowanie szczelnych przepisów są konieczne nie tylko ze względu na zmiany, jakie nastąpiły w krajobrazie e-usług publicznych i funkcjonowaniu coraz bardziej ucyfrowionej gospodarki, ale również przez wzgląd na nadzwyczajną skalę zagrożeń cyfrowych, z jaką się obecnie mierzymy. Proponowany obecnie kształt i zakres przepisów są bardzo obiecujące.

Zobacz również: Wdrażanie systemu cyberbezpieczeństwa i obowiązki firm

Nie ma czasu do stracenia

Liczba ataków cyfrowych i incydentów cyberbezpieczeństwa w Polsce jest bezprecedensowa i stale rośnie. W 2023 r. odnotowano w kraju 80 tys. incydentów, a jeszcze w 2022 r. było ich o 50 tys. mniej. Wszystko wskazuje na to, że w bieżącym roku liczba ta będzie dalej rosła.

Według kierownictwa Ministerstwa Obrony Narodowej Polska jest jednym z trzech najczęściej tak atakowanych państw w Europie, a głównym celem wrogich działań jest zaburzenie działania infrastruktury krytycznej naszego państwa czy wywiad cybernetyczny, ale również oszustwa i wymuszenia natury przestępczej.

Sieci polskiego wojska były atakowane w ubiegłym roku ponad 5 tys. razy, m.in. przez podmioty bezpośrednio związane z Federacją Rosyjską i Białorusią. Nie dziwi zatem, że w ostatnich latach cyberbezpieczeństwo stało się jednym z priorytetów władz. Nie tylko w Polsce. Cyberbezpieczeństwo zajęło równie wysoką pozycję na liście priorytetów nie tylko administracji publicznej, ale także wśród przedsiębiorców. Według firmy badawczej IDC popyt na rozwiązania z zakresu cyberbezpieczeństwa rośnie szybciej niż zapotrzebowanie na jakiekolwiek inne technologie cyfrowe. Oczywiste jest zatem, jak pilna jest potrzeba dostosowania przepisów do dzisiejszych realiów cyberprzestrzeni i utrzymanie statusu bezpieczeństwa cyfrowego jako priorytetu sektora publicznego i prywatnego.

Czytaj w LEX: Cyberzagrożenia w cyberprzestrzeni. Cyberprzestępczość, cyberterroryzm i incydenty sieciowe >

Wysokie ryzyko wymaga wysokiego tempa reakcji

Cyberprzestrzeń bez cienia wątpliwości stanowi dziś istotny obszar wrogich działań, co potwierdzają dane przytaczane m.in. przez kierownictwo MON. Dlatego tak istotne jest między innymi, że w projekcie nowelizacji ustawy o KSC znalazły się odwołania do europejskiego zestawu środków dla cyberbezpieczeństwa sieci 5G (5G toolbox), szczególnie w odniesieniu do Dostawców Wysokiego Ryzyka.

Mowa o podmiotach, które mogą w sposób nieuprawniony posługiwać się danymi lub oddziaływać na bezpieczeństwo i stabilność naszych sieci. Projektowane przepisy określają zasady dotyczące czasu na wycofanie sprzętu i usług od takich podmiotów, zwłaszcza w tak wrażliwych miejscach jak bazy wojskowe, instalacje militarne, czy w budynkach administracji publicznej. Wpisuje się to w wyraźny trend na arenie unijnej. 24 państwa członkowskie przyjęły lub pracują nad regulacjami dotyczącymi oceny dostawców i nakładania stosownych ograniczeń. Komisja Europejska podziela obawy o zagrożenie, jakie część dostawców rozwiązań łączności stwarza dla bezpieczeństwa Unii.

Krajowy projekt przewiduje jednak obecnie, że na wymianę sprzętu przysługiwać będzie aż siedem lat. To więcej niż obowiązuje obecna ustawa o KSC. Ze względu na potencjalne konsekwencje, czas ten powinien być adekwatny do ryzyka płynącego ze stosowania niebezpiecznych rozwiązań ICT. Trudno wyobrazić sobie, by z wymianą sprzętu niosącego wysokie ryzyko dla infrastruktury krytycznej, np. w bazach wojskowych mielibyśmy czekać dłużej niż rok.

Konieczne jest zaprojektowanie w przepisach stopniowego, proporcjonalnego do ryzyka harmonogramu czasowego na wycofywanie sprzętu od Dostawców Wysokiego Ryzyka. Istotne w tym względzie jest również, by dostęp do ścieżki wskazywania i identyfikacji takich podmiotów nie był sztucznie, proceduralnie ograniczony lub wręcz zamknięty, a w efekcie nieskuteczny. Co więcej, katalog elementów objętych kryterium oceny ryzyka musi być wystarczająco szeroki i precyzyjnie określony. W tak delikatnej kwestii niedopuszczalna jest nie tylko zwłoka, ale i niejednoznaczność przepisów. Projektowane przepisy wytyczają właściwy kierunek zmian. Możemy podjąć bardziej zdecydowane kroki, by w nim zmierzać.

Czytaj w LEX: Kompetencje Prezesa UODO w zakresie cyberbezpieczeństwa w świetle polskich i unijnych regulacji prawnych >

Nie ma miejsca na wątpliwości

Czas gra kluczową rolę w odpowiedzi na cyberataki. Ustawodawca staje przed niemałym wyzwaniem. Potrzebujemy pilnej, zdecydowanej i precyzyjnej reakcji, która odpowie na rosnące zagrożenia. Warto, by w tym celu wykorzystano wiedzę i doświadczenie między innymi sektora prywatnego, głęboko zaangażowanego w cyberbezpieczeństwo polskiej cyberprzestrzeni.

Michał Kanownik, prezes Związku Cyfrowa Polska