Związek Cyfrowa Polska uważa, że projektowane przez rząd specjalne przepisy inwestycyjne niezbędne do budowy Krajowego Centrum Przetwarzania Danych wymagają poprawy w obszarze cyberbezpieczeństwa w ujęciu lokalizacji i dywersyfikacji serwerów, a także w zakresie przechowywania informacji oraz stosowania prawa zamówień publicznych.
Projektowane przez polski rząd prawo ma umożliwić sprawną realizację inwestycji, które wzmocnią bezpieczeństwo cyfrowe administracji rządowej. W ramach Krajowego Centrum Przetwarzania Danych (KPCD) planowana jest budowa specjalnych ustandaryzowanych obiektów. Powstanie pierwszych trzech ośrodków zaplanowano na lata 2024 – 2026. Inwestycja traktowana jest jako strategiczna, dlatego konieczna jest – w opinii państwa – specjalna ustawa inwestycyjna. W innym wypadku – budowa w oparciu o standardowe przepisy regulujące inwestycje – znacznie wydłużyłoby ten proces – uważają projektodawcy.
Kosztem inwestycji nie może być transparentność
Związek Cyfrowa Polska skierował w ramach konsultacji społecznych do Janusza Cieszyńskiego, Sekretarza Stanu w KRPM ds. Cyfryzacji swoje stanowisko wobec projektowanych przepisów. – To będą ważne inwestycje, jeśli chodzi o bezpieczeństwo naszego państwa w obszarze danych. Niemniej, musimy zadbać o to, aby regulacje powstały w zgodzie z obowiązującymi już przepisami i standardami – mówi Michał Kanownik, prezes Cyfrowa Polska. Jak bowiem zaznacza w Polsce były już prowadzone w normalnym trybie przez prywatne firmy inwestycje związane z budową centrów przetwarzania danych i to o rozmiarach większych niż te, które planuje polski rząd. Ich budowa przebiegła bardzo sprawnie. Np. Google swój projekt osiągnął w dwa lata – w tym czasie przygotował lokalizację, powstały budynki i udostępnił swoje usługi klientom.
Związek Cyfrowa Polska nie zgadza się bowiem, aby inwestycja powstała kosztem transparentności. Projektodawcy proponują bowiem wyłączenie w szerokim zakresie stosowania przepisów Prawa zamówień publicznych, które umożliwią wyłonienie wykonawców inwestycji bez przeprowadzenia przetargów. W opinii Cyfrowej Polski w ten sposób narażona jest bezstronności i niezależność procesu doboru wykonawcy. By tego uniknąć i jednocześnie nie opóźniać procesu inwestycji, organizacja proponuje, by zamówienie na wykonanie obiektów przeprowadzano w jednym z trybów przetargu ograniczonego – w trybie negocjacji z ogłoszeniem lub dialogu konkurencyjnego.
Wzmocnienie cyberbezpieczeństwa planowanych inwestycji
Związek zwraca również uwagę na to, że w projektowanych przepisach nie sprecyzowano zakresu danych, które mają być przechowywane w planowanych centrach danych ani nie określa grup podmiotów, które tam te informacje będą gromadziły. – W obliczu zagrożeń, które dziś mamy, konieczna jest klasyfikacja danych. Rząd powinien również zachęcać swoje instytucje, nad którymi ma nadzór i samorządy do dywersyfikowania dostępnych metod przechowywania i przetwarzania danych. To istotne, by zwiększyć bezpieczeństwo tego typu procesów oraz podnieść przy tym dostępność i innowację w administracji – przekonuje Michał Kanownik. W jego opinii korzystanie z usług oferowanych przez przedsiębiorstwa globalne, np. w zakresie usług chmurowych, potencjalnie podwyższa, a nie obniża, poziom cyberbezpieczeństwa administracji państwowej.
„W celu przeciwdziałania zagrożeniom kinetycznym, fizycznym albo szerzej militarnym dla krytycznej infrastruktury informatycznej państwa, należy rozważyć budowę rozwiązań typu e-Ambasada i/lub mobilnych Centrów Przetwarzania Danych, dla których być może konieczna byłaby regulacja ustawowa związana z transferem danych do miejsc bezpiecznych, nawet poza terytorium UE” – proponuje również Cyfrowa Polska w piśmie przesłanym do ministra Janusza Cieszyńskiego.