Związek Cyfrowa Polska zareagował na zaprezentowaną przez ministra w KPRM ds. cyfryzacji Janusza Cieszyńskiego nową wersję ustawy o Krajowym Systemie Cyberbezpieczeństwa. Prezes organizacji Michał Kanownik przypomina, że polski sektor cyfrowy, który reprezentuje, długo oczekiwał uporządkowania zagadnień bezpieczeństwa cyfrowego Polski, szczególnie w kontekście rozwoju sieci 5G.
Jego zdaniem prace w tym zakresie nie powinny być dłużej przedłużane. Wskazuje ponadto na rosnące znaczenie cyberbezpieczeństwa i konieczność szybkiego działania w przypadku identyfikacji niegodnych zaufania źródeł infrastruktury 5G.
Nowa wersja projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa przedstawiona w połowie października opisuje m.in. mechanizm postepowania w sprawie uznania dostawcy sprzętu i oprogramowania dla podmiotów krajowego systemu cyberbezpieczeństwa za dostawcę wysokiego ryzyka. Ustawa określa również czas na wycofanie infrastruktury takiego dostawcy. Na ostateczny projekt ustawy długo czekała polska branża cyfrowa. – Obszar cyberbezpieczeństwa jest nadzwyczaj istotny, a jego znaczenie stale wzrasta wraz z postępującą cyfryzacją gospodarki i społeczeństwa. Ustawa nadająca bezpieczeństwu cyfrowemu techniczno-formalne ramy i porządkująca procedury związane m.in. z budową sieci 5G jest zatem konieczna. Jako branża zaangażowana w rozwój łączności i bezpiecznych usług cyfrowych pozytywnie oceniamy prace nad KSC – ocenia Michał Kanownik, prezes Związku Cyfrowa Polska.
Jasne ramy formalno-techniczne dla kluczowych zagadnień
Michał Kanownik pochwala przewidziane w projekcie ustawy o KSC postępowanie w sprawie uznania dostawcy sprzętu lub oprogramowania dla podmiotów krajowego systemu cyberbezpieczeństwa za dostawcę wysokiego ryzyka. – Już na poprzednich etapach przygotowań regulacji pozytywnie odnieśliśmy się do inicjatywy ustawodawcy, by wdrożyć jasne ramy prawne w tym zakresie. Rosnąca liczba ataków i skala zagrożeń sprawiają, że potrzebujemy przepisów, które w jasny sposób opisują ścieżkę postępowania wobec niegodnych zaufania podmiotów – wyjaśnia.
Zdaniem prezesa Związku Cyfrowa Polska warto bliżej przyjrzeć się ramom czasowym przewidzianym na wycofanie sprzętu lub oprogramowania przez dostawców uznanych za źródło wysokiego ryzyka. Nowy projekt ustawy mówi o 7 latach na wykonanie decyzji administracyjnej lub 5 latach w przypadku dostarczania infrastruktury dla funkcji krytycznych. – Choć wymiana i modernizacja infrastruktury sieciowej to zjawisko regularne ze względu na postęp technologii i cykl życia produktów, to wycofanie sprzętu w dużej skali jest bardzo złożonym procesem. Rozumiemy zatem, skąd wzięły się zaproponowane w projekcie ramy czasowe. Pamiętać należy jednak, że mówiąc o kwestiach bezpieczeństwa narodowego i gospodarczego kraju i sieciach 5G, które staną się podstawą cyfrowej gospodarki, w przypadku uznania, że dostawca infrastruktury nie jest godny zaufania, podjąć należy możliwie najszybsze działania na rzecz wymiany dostarczanych przez niego elementów i produktów. Cyberbezpieczeństwo nie może czekać, szczególnie, gdy na szali są procesy o znaczeniu krytycznym – wyjaśnia Michał Kanownik.
Jednolite podejście dla całej sieci
Komentując zagadnienie cyberbezpieczeństwa sieci mobilnych piątej generacji poruszane w projekcie ustawy, prezes Cyfrowej Polski zwraca uwagę, że w skali całej sieci, krytyczne znaczenie mieć może każdy jej element, który wykazuje podatność na atak. – Uważamy, że podejście do dostawców wysokiego ryzyka powinno być ujednolicone zarówno dla warstwy CORE, jak i RAN sieci 5G. Kryteria uznania dostawcy jako obarczonego wysokim ryzykiem powinny być jednakowe niezależnie od elementu sieci, jaki on dostarcza. Wszystkie komponenty sieci powinny podlegać rozważaniu nt. ryzyka i być traktowane jako potencjalnie krytyczne – wskazuje Michał Kanownik.
Prezes Cyfrowej Polski apeluje również o jak najszybsze sfinalizowanie prac nad projektem. – Przyjęcie ustawy jest ważne z uwagi nie tylko na bezpieczeństwo narodowe, ale i rozwój gospodarczy. Polski biznes wiąże duże nadzieje z siecią nowej generacji, która pozwoli usprawnić np. funkcjonowanie przemysłu oraz tworzyć nowe usługi i produkty w różnych sektorach, takich jak choćby energetyka, służba zdrowia, edukacja czy komunikacja. Nie stać nas na dalsze zwlekanie z implementacją 5G w naszym kraju. By ruszyć z miejsca, musimy tylko mieć odpowiednie wiążące regulacje – zaznacza.
Opracowany przez rząd projekt ustawy o KSC i przedstawiony w ubiegłym tygodniu opisuje również m.in. podstawy dla Funduszu Cyberbezpieczeństwa i wprowadzenie jednolitej siatki płac dla ekspertów pracujących w jednostkach odpowiedzialnych za cyberbezpieczeństwo oraz operatora strategicznej sieci bezpieczeństwa.