Ogrom nowych obowiązków dla przedsiębiorców, wielka władza w rękach ministra cyfryzacji oraz bałagan w procedurach. Tak na dziś zapowiada się ustawa o krajowym systemie cyberbezpieczeństwa, którą Sejm ma uchwalić na najbliższym posiedzeniu, a wejdzie w życie jeszcze w wakacje

Wysokie koszty i nowe obowiązki nie tylko dla firm

O unijnym rozporządzeniu o ochronie danych osobowych (czyli RODO), które weszło w życie 25 maja br. – słyszeli niemal wszyscy przedsiębiorcy. O dyrektywie NIS (czyli dyrektywie Parlamentu Europejskiego i Rady nr 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii) – niewielu. A unijni decydenci chcieli, aby w praktyce oba unijne akty prawne wzajemnie się uzupełniały. I by skuteczność rozwiązań z jednego aktu prawnego opierała się na efektywnym funkcjonowaniu drugiego. Bo oba akt prawne są powiązane. Pierwszy dotyczy ochrony danych osobowych. Drugi zaś obejmuje kwestie technicznej ochrony przed atakami hakerów i innymi incydentami zagrażającymi bezpieczeństwu sieci (patrz ramka 1).

Ramka 1

Dyrektywa NIS, czyli co?
W największym uproszczeniu: dyrektywa NIS zobowiązuje wszystkie państwa członkowskie UE do zagwarantowania na szczeblu krajowym minimalnego poziomu cyberbezpieczeństwa, m.in. przez ustanowienie organów właściwych do spraw cyberbezpieczeństwa, powołanie zespołów reagowania na incydenty komputerowe (tzw. CSIRT, ang. Computer Security Incident Response Team) oraz przyjęcie krajowych strategii w zakresie cyberbezpieczeństwa.
Prace nad dyrektywą rozpoczęły się pięć lat temu. Komisja Europejska 14 lutego 2013 r. przedstawiła wraz z wysokim przedstawicielem unii do spraw zagranicznych i polityki bezpieczeństwa komunikat w sprawie europejskiej strategii bezpieczeństwa cybernetycznego: „Otwarta, bezpieczna i chroniona cyberprzestrzeń”. Do strategii dołączono wniosek legislacyjny w sprawie dyrektywy dotyczącej cyberbezpieczeństwa. Ostatecznie dyrektywa Parlamentu Europejskiego i Rady (UE) nr 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii została przyjęta 6 lipca 2016 r. (Dz.Urz. UE z 2016 r. L 194, s. 1). Jest powszechnie nazywana dyrektywą NIS (ang. Network and Information Systems Directive).

Gdzie kucharek sześć…

Termin implementacji dyrektywy NIS do krajowych porządków prawnych minął 9 maja 2018 r. Polska go nie dotrzymała. Projekt rodzimej ustawy o krajowym systemie cyberbezpieczeństwa od samego początku powstawał bowiem w bólach i atmosferze konfliktu – o czym donosiły media branżowe. Oficjalnie odpowiadało za nią Ministerstwo Cyfryzacji, ale resort obrony narodowej nie ukrywał, że tematykę cyberbezpieczeństwa chciałby mieć u siebie. A i inne resorty też chciały dorzucić swoje trzy grosze. „Ustawa o krajowym systemie cyberbezpieczeństwa powstawała w mękach i w bólach jeszcze zanim zdymisjonowano Annę Streżyńską. Teraz Ministerstwo Cyfryzacji istnieje raczej w formie przetrwalnikowej i praktycznie nie ma polityka, którego można uznać za silnego przywódcę polskiej informatyzacji. Ustawa o cyberbezpieczeństwie jest raczej ważna, ale od początku powstawała w klimacie konfliktu na linii MC‒MON, a teraz dodatkowe problemy chce dorzucić Ministerstwo Finansów” – informował niedawno branżowy portal Niebezpiecznik.pl. Pojawiły się nawet zarzuty, że nasze państwo mało poważnie, a nawet lekceważąco w porównaniu do innych państw, traktuje kwestie cyberbezpieczeństwa. Wspomniany portal branżowy powoływał się na swych informatorów, którzy wyjaśniali, że urzędnicy w ogóle nie zdają sobie sprawę z wagi ustawy, nad którą pracują. I że ich rozwiązaniem na wszelkie bolączki będzie po prostu obłożenie nowymi obowiązkami przedsiębiorców, bez dawania wiele od państwa.
!Termin implementacji unijnej dyrektywy NIS, dotyczącej minimalnego poziomu cyberbezpieczeństwa, do krajowych porządków prawnych państw członkowskich UE minął 9 maja 2018 r. Polska go nie dotrzymała.
„Pieniędzy w budżecie nie ma nawet na podstawowe rzeczy, które wpisano w ustawę. Choć od dwóch lat nie jest tajemnicą, że termin jej wprowadzenia upływa w maju br. (jest to wymuszone terminem implementacji tzw. dyrektywy NIS) i MC jasno komunikowało konieczność zabezpieczenia środków na ten cel. Ulubioną mantrą MF jest najwyraźniej «zadania nie powinny stanowić podstawy do ubiegania się o dodatkowe środki». Postawmy sprawę jasno – dotyczy to finansowania instytucji, które mają zadbać m.in. o analizę zagrożeń, reagowanie na poważne incydenty i ocenę ryzyka dla systemów wykorzystywanych do świadczenia kluczowych usług” – alarmowano na łamach Niebezpiecznik.pl.
Projekt ustawy ostatecznie powstał i ministrowi cyfryzacji udało się obronić jego zwierzchnictwo nad projektem polskiego cyberbezpieczeństwa. Tyle że nie udało mu się przekonać do niego biznesu. Krytycznie wypowiedziała się na jej temat m.in. Konfederacja przedsiębiorców Lewiatan. Przedsiębiorcy krytykują ją z wielu powodów, m.in. uważają, że przedsiębiorcy będą zobowiązani ponieść zbyt duże koszty związane z wdrożeniem nowych obowiązków. Wytykają też mało precyzyjne obowiązki oraz brak wyznaczonego jednego punktu zgłoszeń incydentów na poziomie krajowym (patrz opinia Konfederacji Lewiatan).

Czekając na resort

Zgodnie z uzasadnieniem projektu ustawy nowymi obowiązkami objętych ma zostać kilkaset dużych i średnich firm. Chodzi tutaj o operatorów usług kluczowych: firmy z sektora energetycznego (w tym m.in. dostawców energii elektrycznej i ciepła, firmy wydobywcze), transportowego, bankowości, ochrony zdrowia, zaopatrzenia w wodę pitną oraz dostawców usług cyfrowych (patrz infografika).
TGP okładka 22 czerwca / Dziennik Gazeta Prawna
Jednak nowy system obejmie również podmioty publiczne, takie jak jednostki sektora finansów publicznych (czyli m.in. gminy), instytuty badawcze, a także wiele instytucji, wśród nich Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Polskie Centrum Akredytacji, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej i inne (łącznie kilka tysięcy).
Sęk w tym, że przedsiębiorcy aż do dnia objęcia ich regulacjami mogą nie wiedzieć, iż będą ich dotyczyć nowe obowiązki. Nie ma bowiem sztywnych kryteriów, kiedy ktoś będzie podlegał obowiązkom, a kiedy nie. Decydować o tym będzie minister cyfryzacji w wydawanym przez siebie rozporządzeniu (patrz pytania do dr. Marka Porzeżyńskiego).
W efekcie przedsiębiorcy obawiają się, że choć w projekcie ustawy mówi się o kilkuset firmach, minister zobowiąże do realizacji nowych obowiązków nawet kilka tysięcy podmiotów.
– Wątpliwości budzi to, że do konsultacji z opóźnieniem skierowane zostały projekty obligatoryjnych rozporządzeń, których postanowienia będą bardzo istotne dla całego systemu ochrony cyberprzestrzeni, a tym samym mają kluczowy wpływ na ocenę całości proponowanych rozwiązań. Ustawa powinna być konsultowana i procedowana w pakiecie wraz ze wszystkimi (przynajmniej obligatoryjnymi) aktami wykonawczymi – zaznacza dr Aleksandra Musielak, ekspertka Konfederacji Lewiatan.