Cyberbezpieczeństwo: ustawa o KSC na kolejnym etapie, biznes protestuje

Sejmowa Komisja Cyfryzacji, Innowacyjności i Nowoczesnych Technologii zakończyła prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Udało się osiągnąć konsensus w kwestii terminów dostosowawczych, ale dyskusje zdominował ostry spór o przepisy dotyczące Dostawcy Wysokiego Ryzyka (DWR). Przedstawiciele rynku ostrzegali przed miliardowymi stratami gospodarki, a opozycja protestowała przeciw ograniczaniu merytorycznej dyskusji.

Czwartkowe posiedzenie Komisji, procedującej nad drukiem nr 1955, stało się areną starcia dwóch wizji bezpieczeństwa cyfrowego Polski. Z jednej strony rząd i część ekspertów wskazywała na konieczność posiadania twardych narzędzi do eliminowania zagrożeń ze strony państw nieprzyjaznych, z drugiej organizacje biznesowe, od telekomunikacji po handel detaliczny, alarmowały, że proponowane przepisy wykraczają daleko poza unijne standardy, grożąc polskim firmom niekontrolowanymi kosztami i chaosem prawnym.

Kluczowy artykuł 67b

Osią sporu stały się poprawki do artykułu 67b, regulującego procedurę uznawania dostawcy sprzętu lub oprogramowania za Dostawcę Wysokiego Ryzyka. W obecnym brzmieniu przepis ten pozwala ministrowi właściwemu do spraw informatyzacji na wszczęcie postępowania, które może zakończyć się nakazem wycofania konkretnego sprzętu lub oprogramowania z użytku w podmiotach kluczowych i ważnych.

Przewodniczący komisji, Bartłomiej Pejo z Konfederacji, zgłosił kluczową poprawkę, mającą na celu zawężenie stosowania tego mechanizmu. Propozycja zakładała ograniczenie możliwości uznania za DWR wyłącznie dostawców sprzętu wykorzystywanego w sieciach piątej generacji (5G) i tylko w zakresie funkcji krytycznych dla bezpieczeństwa tej sieci.

– Zgodnie z tym, co przewidziano na poziomie Unii Europejskiej w dokumencie 5G Toolbox, procedura ta powinna dotyczyć wyłącznie dostawców sieci 5G i to tylko komponentów pełniących funkcje krytyczne – mówiła Kinga Pawłowska-Nojszewska z Krajowej Izby Komunikacji Ethernetowej (KIKE). Ekspertka podkreślała, że żadne inne państwo UE nie idzie w swoich regulacjach tak szeroko jak Polska.

– Projekt ustawy zakłada, że wszystkie podmioty kluczowe i ważne mogą podlegać pod rygory dostawcy wysokiego ryzyka. Mamy tu 18 sektorów gospodarki. Jest niedopuszczalne, żeby polscy przedsiębiorcy mieli gorsze warunki prowadzenia działalności niż w innych krajach Unii – podkreśliła.

Co ma 5G do sprzedaży marchewek

Na absurdalność rozszerzenia rygorów 5G Toolbox na całą gospodarkę zwracali uwagę też inni eksperci. Mariusz Busiło z Polskiej Izby Handlu powiedział, że 5G Toolbox dotyczący technologii mobilnej ma się nijak do sprzedaży marchewek, wskazując, że branża retail również może paść ofiarą nadmiernie szerokich definicji ustawowych.

Wtórował mu Marcin Zemła, przewodniczący Rady Bezpieczeństwa Biznesowego, który zwrócił uwagę na techniczną specyfikę 5G i nierealność proponowanych kontroli w szerszym zakresie.

– Technologia 5G to środowisko, które kontrolujemy w mniejszym stopniu niż kable – tłumaczył jeden z ekspertów, który ostrzegał, że przepisy w obecnym kształcie odbierają podmiotom możliwość świadomego zarządzania ryzykiem. Zwrócił też uwagę na problem realnej dostępności sprzętu zamiennego, wskazując, że 75 proc. rynku mikroprocesorów to Chiny, Tajwan i Azja Południowo-Wschodnia. W związku z tym wejście przepisów zafunduje przedsiębiorcom telekomunikacyjnym bardzo poważną zmianę, która tak naprawdę nie niesie samego bezpieczeństwa.

Brak notyfikacji i ryzyko odszkodowań

Poza argumentami ekonomicznymi, na posiedzeniu wybrzmiały poważne zastrzeżenia prawne. Dr hab. Paweł Wajda z Uniwersytetu Warszawskiego, reprezentujący Pracodawców RP, wskazał na błąd proceduralny: brak notyfikacji przepisu technicznego do Komisji Europejskiej.

– Przepis art. 67b jest klasyczną normą techniczną. Niemcy czy Włochy notyfikowały swoje przepisy dotyczące DWR. Polska tego nie zrobiła – tłumaczył.

Ostrzegł on, że brak notyfikacji może doprowadzić do sytuacji, w której przepis będzie „martwy” – sądy administracyjne mogą uchylać decyzje wydane na jego podstawie, a przedsiębiorcy będą mieli otwartą drogę do roszczeń odszkodowawczych przeciwko Skarbowi Państwa. Zastosowanie przepisu, który nie mógł znaleźć zastosowania z uwagi na brak notyfikacji, będzie implikowało natomiast roszczenia odszkodowawcze. Dlatego ekspert sugerował „procedowanie na raty” i notyfikację przepisu przed jego wdrożeniem.

Dwugłos na temat bezpieczeństwa

Strona rządowa przyjęła postawę bezkompromisową, zaznaczając, że debata na ten temat odbyła się już wielokrotnie a intencją jest zapewnienie bezpieczeństwa Polski. Dlatego nie przewiduje się zmian dotyczących dostawcy wysokiego ryzyka. Strona rządowa zarzuciła też części dyskutantów świadome przedłużanie prac nad ustawą i chęć „narażenia Polski na niebezpieczeństwo”.

Karol Skupień, prezes zarządu KIKE apelował o wysłuchanie głosu małych i średnich operatorów telekomunikacyjnych. Przypomniał, że sieci stacjonarne obejmują około 1/3 rynku.

– Świadczymy usługę dostępu do internetu i przepisy, które miały dotyczyć korporacji międzynarodowych, nagle rozszerzono na nas. Jest to niezwykle groźne z naszego punktu widzenia. Wpłynie na zmniejszenie bezpieczeństwa państwa – powiedział i zapytał, co w sytuacji, gdy minister cyfryzacji nakaże usunięcie bezpiecznego sprzętu, tylko dlatego, że wykryto podatności? Firmy wydadzą 10 mld zł na jego wymianę na inny, i jeśli ten też okaże się niebezpieczny, to kto za to odpowie? Prezes KIKE podkreślił przy tym brak proporcjonalności i sprzeczność z dyrektywą NIS2, którą ma wdrożyć nowelizacja.

Ostatecznie poprawka ograniczająca DWR do sieci 5G została odrzucona. Identyczny los spotkał bliźniaczą poprawkę Prawa i Sprawiedliwości.

Spór o KPA: prawo do obrony czy fikcja

Kolejną osią sporu była kwestia procedury administracyjnej, a dokładniej poprawka, która zakładała pełne stosowanie Kodeksu Postępowania Administracyjnego (KPA) w postępowaniach o uznanie za DWR. Obecny projekt wyłącza kluczowe artykuły KPA, co zdaniem prawników pozbawia firmy prawa do obrony. Jeden z ekspertów zauważył, że wyłącza się artykuł 28, mówiący o tym, kto jest stroną. Wyłącza się też udział organizacji społecznych, wgląd w akta, prawo do uzasadnienia. Tymczasem zdaniem ekspertów nawet względy bezpieczeństwa nie mogą uzasadniać całkowitego pozbawienia konstytucyjnego prawa do sądu i sprawiedliwej procedury.

Rząd argumentował, że przy sprawach dotyczących bezpieczeństwa narodowego ograniczenia proceduralne są konieczne i dopuszczalne. Sylwester Szczepaniak z Unii Metropolii Polskich zauważył, że ograniczenia KPA zdarzają się w polskim prawie (np. budowlanym), choć przyznał, że kluczowe są granice tych ograniczeń. Poprawka przywracająca pełne stosowanie KPA została odrzucona.

Posiedzenie przyniosło jeden istotny sukces przedsiębiorcom. Komisja jednogłośnie przyjęła poprawkę do artykułu 1 (zmiana 24), dotyczącą artykułu 16 ustawy. Zgodnie z propozycją wydłużono termin realizacji obowiązków przez podmioty kluczowe i ważne z 6 do 12 miesięcy. Poparła to strona rządowa.

Odrzucono natomiast poprawkę PiS do art. 67a (zmiana 76), która zakładała, że rekomendacje dotyczące cyberbezpieczeństwa muszą uwzględniać wyniki skoordynowanej oceny bezpieczeństwa przeprowadzonej przez europejską Grupę Współpracy (zgodnie z dyrektywą NIS2). Rząd zaopiniował ją negatywnie, a komisja odrzuciła.

Czas na II czytanie, zmiany nadal możliwe

Podczas drugiej części posiedzenia komisji, 9 stycznia, członkowie komisji procedując kolejne poprawki zakończyli prace nad nowelizacją ustawy o KSC. Teraz kolej na II czytanie. Jak podkreślano, nadal jest możliwość zgłaszania poprawek przez stronę społeczną, do ewentualnego uwzględnienia w Sejmie i Senacie. Dramatycznie wybrzmiał na koniec posiedzenia apel Karola Skupienia, aby pozostawić przedsiębiorcom możliwość wyboru. W jego ocenie, regulacje w obecnym kształcie uderzają w polskie firmy z sektora telekomunikacji, w ich swobodę podejmowania decyzji oraz prywatne środki i w konsekwencji zamiast wzmocnić, mogą osłabić cyberbezpieczeństwo w Polsce.

Odrzucenie poprawek dotyczących DWR oznacza, że ustawa trafi do II czytania w kształcie dającym administracji rządowej szerokie pole manewru. Z polskiego rynku będzie można wykluczyć sprzęt dowolnego dostawcy, nie tylko w sieciach 5G, ale w całej gospodarce objętej regulacjami, od energetyki po ochronę zdrowia i handel.

Eksperci podkreślają, że firmy mogą zostać zmuszone do wymiany działającego sprzętu na własny koszt, bez gwarancji odszkodowania, co dla mniejszych podmiotów może oznaczać bankructwo. Z kolei dla rządu jest to domknięcie systemu bezpieczeństwa w obliczu zagrożeń ze Wschodu. Pytanie o cenę i o to, kto ją zapłaci, pozostaje otwarte.