Stanisław Dąbek-partner w kancelarii BLSK Legal, kierujący praktyką Digital. Specjalizuje się w prawie nowych technologii, telekomunikacji i cyberbezpieczeństwie. W przeszłości Dyrektor Departamentu Telekomunikacji w Ministerstwie Cyfryzacji, odpowiedzialny m.in.. za wdrożenie naziemnej telewizji cyfrowej oraz funduszy unijnych. Doradzał przy strategicznych projektach infrastrukturalnych i transakcjach w sektorze technologicznym.
ikona lupy />
Stanisław Dąbek-partner w kancelarii BLSK Legal, kierujący praktyką Digital. Specjalizuje się w prawie nowych technologii, telekomunikacji i cyberbezpieczeństwie. W przeszłości Dyrektor Departamentu Telekomunikacji w Ministerstwie Cyfryzacji, odpowiedzial / Materiały prasowe

Dokument ten, mający na celu harmonizację bezpieczeństwa łańcucha dostaw ICT i certyfikacji na poziomie całej Wspólnoty, stawia pod dużym znakiem zapytania sens wielu rozwiązań, które polski projektodawca wciąż próbuje przeforsować. Nowe propozycje sprawiają, że duża część procedowanej w bólach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) staje się nie tylko anachroniczna, ale wręcz sprzeczna z nadchodzącym nowym ładem prawnym UE.

Bruksela mówi: „sprawdzam”

Projekt nowelizacji KSC od początku przypominał „rozpędzoną kulę śniegową”. Do technicznej i koniecznej implementacji dyrektywy NIS2 doklejano przez lata polityczne przepisy o dostawcach wysokiego ryzyka (HRV – High Risk Vendors). Dziś ta strategia mści się na projektodawcach.

Gdy polski parlament debatuje nad tym, jak dać ministrowi niemal absolutną władzę usuwania sprzętu przez podmioty w 18 sektorach gospodarki, Komisja Europejska (KE) w projekcie CSA2 przedstawiła wizję radykalnie odmienną. Bruksela dostrzegła bowiem to, co eksperci powtarzają od dawna: fragmentacja rynku, w którym router jest „bezpieczny” w Niemczech, ale „zakazany” w Polsce, niszczy ideę jednolitego rynku cyfrowego. Tymczasem CSA 2 zakłada większą precyzję i centralizację bezpieczeństwa łańcucha dostaw.

Aby zrozumieć skalę problemu, należy przyjrzeć się trzem fundamentalnym różnicom między polskim projektem KSC a unijnym CSA2.

Po pierwsze: Procedura, nie „polowanie na czarownice”

Polski projekt KSC w zakresie dostawców wysokiego ryzyka to w istocie rozwiązanie typu „dywanowego”. Ocena ryzyka dostawcy jest w nim niebezpiecznie upolityczniona – kluczową decyzję podejmuje jednoosobowo Minister Cyfryzacji, a kryteria są na tyle nieostre, że pozwalają na dużą uznaniowość. Rola Kolegium ds. Cyberbezpieczeństwa sprowadza się do opiniowania, co w praktyce nie stanowi wystarczającego bezpiecznika.

Tymczasem CSA2 proponuje mechanizm wieloetapowy i skoordynowany na poziomie całej Wspólnoty:

1. Krok 1: Skoordynowana ocena ryzyka.

Proces zaczyna się od analizy na poziomie całej UE dotyczących kluczowych komponentów elektronicznych w łańcuchach dostaw.

2. Krok 2: Decyzja na szczeblu Komisji.

To Komisja Europejska, a nie jednoosobowo minister z danego państwa, identyfikuje kategorie ryzyka i kraje budzące obawy.

3. Krok 3: Akty wykonawcze.

Dopiero na tej podstawie, w drodze aktów wykonawczych, identyfikowani są konkretni dostawcy lub kategorie produktów.

To mechanizm, który zmniejsza ryzyko „polowania na czarownice”, zastępując je ujednoliconą, europejską oceną ryzyka.

CSA2 a KSC, czyli skalpel zamiast młota

Polska nowelizacja KSC rozciąga ryzyko przymusowej wymiany infrastruktury na dziesiątki tysięcy podmiotów. Definicja „podmiotu kluczowego” i „ważnego” w połączeniu z przepisami o HRV oznacza, że teoretycznie każda firma wodociągowa, szpital czy zakład produkcyjny może zostać zmuszona do usunięcia sprzętu, jeśli ten pochodzi od dostawcy uznanego za ryzykownego.

CSA2 podchodzi do tematu chirurgicznie. Regulacje mają dotyczyć wyłącznie „kluczowych aktywów ICT” w ramach krytycznych łańcuchów dostaw. Bruksela mówi wprost: nie każdy przełącznik sieciowy w każdej firmie jest zagrożeniem dla bezpieczeństwa Unii. Ograniczenia mają dotyczyć tylko tego, co faktycznie newralgiczne dla infrastruktury krytycznej o znaczeniu transgranicznym.

Co więcej, CSA2 wprost nakazuje, by wszelkie środki były „odpowiednie i proporcjonalne”. Oznacza to obowiązek przeprowadzenia analizy skutków ekonomicznych oraz dostępności alternatyw na rynku przed wydaniem jakiegokolwiek zakazu. Unijna propozycja skupia się na zmniejszaniu ryzyka, a nie na eliminacji podmiotów z rynku za wszelką cenę.

„Wentyl bezpieczeństwa”, którego Polska nie ma

To największa przepaść między obydwoma dokumentami, o której w debacie mówi się zdecydowanie za mało. Polski projekt to bilet w jedną stronę – raz nadana łatka dostawcy wysokiego ryzyka jest w praktyce wyrokiem dla firmy. Odium spada na cały sprzęt danego producenta, bez względu na to, czy faktycznie stwarza on zagrożenie, czy nie.

Tymczasem CSA2 wprowadza mechanizm „wniosku o zwolnienie”. To rewolucyjna zmiana w podejściu. Nawet dostawca pochodzący z kraju spoza UE uznanego za ryzykowny ma prawo ubiegać się o dopuszczenie do unijnego rynku, jeśli udowodni, że jego konkretna sytuacja jest inna.

To większa gwarancja rzetelnego procesu i zachowania konkurencyjności rynku, której polski projektodawca nie przewidział. Polska ustawa w obecnym kształcie mówi: „nie ufamy ci, bo pochodzisz z kraju X”. Unijne rozporządzenie mówi: „sprawdźmy, czy twoje zabezpieczenia są wystarczające, mimo że pochodzisz z kraju X”.

Kolizja nieuchronna

Wniosek jest prosty: jeśli CSA2 wejdzie w życie jako rozporządzenie (a więc akt stosowany wprost, bez konieczności implementacji), przepisy o dostawcach wysokiego ryzyka staną się martwe i bezprzedmiotowe w momencie ich uchwalenia, a w wielu miejscach po prostu sprzeczne z prawem nadrzędnym.

Zwłaszcza, że nad nowelizacją wisi „miecz Damoklesa”. Chodzi tu o kwestię notyfikacji technicznej. Wymogi KSC dotyczące sprzętu to klasyczne przepisy techniczne. Zgodnie z orzecznictwem, przepisy takie, jeśli nie zostały zgłoszone i uzasadnione Komisji Europejskiej, są nieegzekwowalne przez sądy krajowe. Otwiera to drogę do masowych pozwów odszkodowawczych przeciwko Skarbowi Państwa ze strony firm zmuszonych do wymiany sprzętu na podstawie wadliwego prawa.

Czas na „rozdzielenie”

Jako praktyk rynku widzę tylko jedno racjonalne wyjście: powrót do podstaw. Należy uchwalić „czystą” nowelizację wdrażającą dyrektywę NIS2 – to pozwoli zatrzymać licznik kar i dać firmom ramy prawne do budowania cyberodporności. Kontrowersyjne przepisy o HRV i łańcuchu dostaw należy wyrzucić z tego projektu i napisać od nowa, już w zgodzie z nadchodzącym rozporządzeniem. Mamy szansę zatrzymać tę kulę śniegową. Wymaga to jednak krytycznego spojrzenia, że świat od momentu napisania pierwszych założeń do ustawy KSC poszedł do przodu, a Bruksela właśnie wytyczyła nową drogę.