Branża cyfrowa reprezentowana przez Związek Cyfrowa Polska pozytywnie ocenia ogólny cel zmian i większość zaproponowanych rozwiązań w projekcie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. W stanowisku przesłanym do resortu cyfryzacji apeluje o jak najszybsze procedowanie ustawy. Wnosi również o doprecyzowanie niektórych przepisów tak, aby uniknąć niepotrzebnych nadregulacji.
Opinia Cyfrowej Polski z uwagami oraz propozycjami zmian trafiła do wiceministra cyfryzacji Dariusza Standerskiego w ramach konsultacji nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa. Projekt między innymi implementuje unijną dyrektywę NIS2 do polskiego systemu prawnego. W przesłanym stanowisku czytamy, że branża cyfrowa pozytywnie odnosi się do większości zaproponowanych rozwiązań i wnosi o ich jak najszybsze procedowanie. „Uważamy, że niezwłoczne przyjęcie proponowanych przepisów jest niezbędne ze względu na skalę cyberzagrożeń, zwłaszcza w kontekście geopolitycznej sytuacji Polski” – piszą autorzy stanowiska.
Kluczowe zmiany dla cyberbezpieczeństwa
Niektóre przepisy wymagają jednak doprecyzowania. Eksperci Cyfrowej Polski zwracają uwagę, że brzemiennie niektórych zapisów jest niejasne i obawiają się, że mogą być one intepretowane w różny sposób, co może doprowadzić do nadregulacji. Chodzi między innymi o zakres uprawnień egzekucyjnych, nadawanych urzędom. Organizacja ocenia, że zbyt szeroki ich zakres może prowadzić do nadmiernej ingerencji w działalność kluczowych podmiotów na scenie cyfrowej, a przez to do destabilizacji ich funkcjonowania.
Problem może stanowić także czas reakcji przedsiębiorców na zagrożenia. Zgodnie z obecnym zapisem, podmioty kluczowe będą miały 24 godziny na zgłoszenie zagrożenia, a przedsiębiorcy komunikacji elektronicznej – tylko 12 godzin od momentu jego wykrycia. „Termin 12 godzin jest ekstremalnie krótki, przy uwzględnieniu warunków pracy przedsiębiorcy” – oceniają eksperci, i apelują o wydłużenie czasu reakcji do 24 godzin.
Eksperci w swojej opinii odnoszą się także do kwestii dotyczących tzw. dostawców wysokiego ryzyka (DWR), czyli podmiotów, które mogłyby w sposób nieuprawniony administrować danymi lub inaczej oddziaływać na bezpieczeństwo i stabilność sieci. To szczególnie istotne w momencie wojny za wschodnią granicą i pojawiających się licznych zagrożeń o charakterze hybrydowym.
Związek Cyfrowa Polska uważa to za wysoki priorytet i proponuje skrócenie terminu wycofania sprzętu od dostawców wysokiego ryzyka, zwłaszcza w tak wrażliwych miejscach jak bazy wojskowe, instalacje militarne oraz budynki administracji publicznej.
Branża oczekuje jasnych przepisów
– Zmiana ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz, szerzej, implementacja unijnej dyrektywy NIS2, to bardzo ważny, kluczowy projekt, wyczekiwany przez rynek cyfrowy i nowoczesnych technologii. Cyberbezpieczeństwo musi stać się najważniejszym elementem cyfrowej gospodarki, zwłaszcza w obliczu zagrożeń, z którymi się mierzymy. Oczekujemy, że projekt będzie przyjęty sprawnie, a ostateczne przepisy w tym zakresie będą jasne i dobrze sprecyzowane. – komentuje
Z pełną treścią stanowiska można zapoznać się tutaj.