Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) spotkał się z pozytywnym przyjęciem ze strony branży cyfrowej. W opinii Związku Cyfrowa Polska zaprezentowane przepisy stanowią krok we właściwym kierunku i pozwolą odpowiedzieć na rosnące zagrożenia cyfrowe, z którymi mierzy się Polska. Eksperci podkreślają zasadnicze znaczenie projektu dla bezpieczeństwa narodowego i apelują o możliwie szybkie dalsze procedowanie projektu.
Krajowa branża cyfrowa reprezentowana przez Związek Cyfrowa Polska pozytywnie ocenia projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa zaprezentowany przez Ministerstwo Cyfryzacji i uważa go za krok we właściwym kierunku. Eksperci podkreślają, że dalsze prace nad nowelizacją ustawy o KSC powinny przebiegać możliwie szybko w związku z niespotykaną dotychczas skalą zagrożeń cyfrowych.
Na bezpieczeństwie się nie oszczędza
– Projekt ustawy jest kluczowy dla naszego bezpieczeństwa narodowego. Dotyczy on odporności Polski i należy o nim mówić właśnie w takim kontekście, a nie w odniesieniu do interesu jakiegokolwiek pojedynczego podmiotu, czy marki – wskazuje Michał Kanownik, Prezes Związku Cyfrowa Polska. – Projekt nowelizacji UKSC był konsultowany najdłużej w historii polskiego parlamentaryzmu i obecnie nie ma więcej czasu do stracenia. Prace nad nim powinny postępować teraz tak szybko, jak to możliwe – dodaje Michał Kanownik. Podkreśla również, że w związku z fundamentalnym znaczeniem KSC nie należy patrzeć na projekt przez pryzmat kosztów. – Argumenty dotyczące potencjalnych kosztów podnoszone w związku ze zmianami w Krajowym Systemie Cyberbezpieczeństwa są nie na miejscu. Nie możemy oszczędzać na bezpieczeństwie Polski, obywateli i krajowych przedsiębiorstw – komentuje prezes Cyfrowej Polski.
Zdaniem ekspertów organizacji, zaktualizowana ustawa o KSC powinna ustanawiać możliwie najwyższe standardy bezpieczeństwa. Jak wskazują w swojej opinii, Polska jest dziś jednym z najczęściej atakowanych cyfrowo państw na świecie. Dlatego – w ich przekonaniu – w obliczu niespotykanej dotychczas skali zagrożeń cyfrowych, nie ma miejsca na kompromisy i łagodzenie standardów. – Powinniśmy stawiać wysokie wymagania wobec bezpieczeństwa komponentów naszej infrastruktury telekomunikacyjnej i krytycznej – podkreślają eksperci Związku Cyfrowa Polska. W ich opinii, wobec realnego zagrożenia, Krajowy System Cyberbezpieczeństwa ma ogromne znaczenie nie tylko dla infrastruktury krytycznej państwa, ale stanowi także o bezpieczeństwie obywateli oraz przedsiębiorstw w kraju.
To nie koniec pracy
Zdaniem organizacji branżowej, konieczna jest teraz intensywna praca nad budowaniem świadomości wśród przedsiębiorców, którzy będą musieli dostosować się do regulacji. – Przepisy o KSC dotkną wielu podmiotów w całym kraju. Część z nich o tym nie wie, lub nie rozumie, co w praktyce oznaczać będą dla nich te zmiany. Musimy pilnie budować świadomość na ten temat. Jako branża, włączymy się w działania na rzecz uświadamiania i edukowania podmiotów, które objęte będą nowymi przepisami, aby mogły się na zmiany odpowiednio przygotować – komentuje Michał Kanownik.
W opinii ekspertów, nowelizacja ustawy o KSC stanowi również kluczowy element szerszego bloku regulacyjnego z zakresu bezpieczeństwa cyfrowego. – Przepisy te stanowić będzie fundament, na którym możemy opierać kolejne działania legislacyjne. Przed nami m.in. implementacja rozporządzenia w sprawie operacyjnej odporności cyfrowej (DORA) oraz prace nad ustawą o krajowym systemie certyfikacji cyberbezpieczeństwa. Ten ekosystem rozwiązań prawnych zdeterminuje kształt polskiej cyberprzestrzeni i jej bezpieczeństwo. Już dziś dostrzegamy, np. potrzebę uwzględnienia cyberbezpieczeństwa jako jednego z kryteriów w zamówieniach publicznych. Przepisy dotyczące certyfikacji mogą stanowić również dużą szansę dla krajowych przedsiębiorstw z branży cybersecurity. Liczymy, że odpowiednio zaprojektowane regulacje umożliwią polskim firmom z tej branży dynamiczny rozwój i wkład w umacnianie bezpieczeństwa cyfrowego w Polsce – podkreśla przedstawiciel Cyfrowej Polski.
Wątpliwości ekspertów budzą natomiast zapisy projektu dotyczące tzw. dostawców wysokiego ryzyka (DWR), a konkretnie czasu przewidzianego na wycofanie sprzętu od DWR z użytku, zwłaszcza w tak wrażliwych miejscach jak bazy wojskowe, instalacje militarne oraz budynki administracji publicznej. Zdaniem Cyfrowej Polski, okres przewidziany w projekcie ustawy (do 4 lat dla infrastruktury krytycznej i do 7 lat – pozostałe) jest zbyt długi. – W czasie konsultacji projektu zgłaszaliśmy projektodawcy, że konieczne jest skrócenie czasu przewidzianego na wycofanie sprzętu od dostawców wysokiego ryzyka z infrastruktury krytycznej w Polsce. W obecnym projekcie ustawy nie uwzględniono tych uwag. Wciąż uważamy, że w najlepszym interesie bezpieczeństwa krajowego jest, aby przepisy nie pozwalały na zwłokę w wycofywaniu elementów sieci od DWR – mówi Michał Kanownik.