Przepisy projektowane w nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa nie wykraczają poza unijne regulacje i są standardem w państwach członkowskich. Nie spowodują one także nadmiernego obciążenia dla przedsiębiorców, rząd zaplanował mechanizmy wspierające samorządy i firmy z sektora MŚP w inwestowaniu w cyberbezpieczeństwo – podkreślali eksperci uczestniczący w spotkaniu poświęconemu faktom i mitom na temat nowelizacji ustawy o KSC. Ich zdaniem w przestrzeni publicznej pojawiło się zbyt dużo dezinformacji na ten temat, które należy wyjaśniać oraz prostować.
O najczęściej powielanych w przestrzeni publicznej mitach i błędnych przekonaniach dotyczących projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa rozmawiali goście spotkania z cyklu #DigitalTalks, które zostało zorganizowane przez Związek Cyfrowa Polska.
Poza granicami przepisów UE?
Pierwszym mitem dotyczącym nowelizacji KSC, z jakim zmierzyli się uczestnicy rozmowy dotyczył wykraczania projektowanych przepisów krajowych poza ramy regulacji unijnych. – Trzeba rozprawić się z mitem “nadregulacji”, szczególnie w kwestii Dostawców Wysokiego Ryzyka. Przepisy dotyczące DWR obowiązują w wielu państwach UE, a także krajów spoza Wspólnoty. Często nie są tam aż tak transparentne, co te projektowane w Polsce – komentował Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa Ministerstwa Cyfryzacji.
Eksperci podkreślali, że niedługo minie już pięć lat odkąd unijny zestaw narzędzi na rzecz bezpieczeństwa sieci 5G, tzw. 5G Toolbox, został zdefiniowany przez UE. Polska jest jednym z ostatnich krajów pod względem implementacji jego założeń. – Warto w tym miejscu odnieść się do przekłamania, że o statusie DWR decydują “decyzje polityczne”. Tzw. “przesłanki nietechniczne” z zakresu uznania podmiotu za DWR wynikają wprost z ogólnoeuropejskiej oceny ryzyka bezpieczeństwa sieci 5G i zostały uzgodnione przez wszystkie państwa członkowskie UE. Projektowane przepisy to zatem także harmonizacja z istniejącym w pozostałych państwach członkowskich prawem – wyjaśniał ekspert resortu cyfryzacji.
Kto decyduje o statusie DWR?
Uczestnicy rozmowy odnieśli się także do obecnych w debacie publicznej wątpliwości dotyczących procedury uznania podmiotu za dostawcę wysokiego ryzyka. Eksperci wyjaśniali, że procedura ta jest szczegółowo i transparentnie opisana w projekcie ustawy. Postępowanie takie nie ma nic wspólnego z arbitralną decyzją Ministra Cyfryzacji, a decyzja podejmowana jest w oparciu o opinię całego kolegium podmiotów, w skład którego wchodzą m.in. służby i UOKIK, a o pracach którego informowany jest prokurator generalny. Eksperci przypominali, że od decyzji tego ciała przysługuje skarga do sądu administracyjnego. Tymczasem w debacie publicznej stosuje się manipulację, mówiąc, że projekt nie przewiduje “odwołania” od werdyktu.
Nie tylko obowiązki
Uczestnicy debaty podkreślali również, że nowelizacja UKSC to odpowiedź na nowe realia technologiczne i geopolityczne, ale przede wszystkim na lawinowo rosnącą liczbę cyberataków. Zaznaczano, że nowe przepisy stanowią oczywiście wyzwanie dla przedsiębiorstw i podmiotów publicznych, które mają zostać objęte zapisami nowej ustawy. – Projekt to nie tylko obowiązki, wymogi i ograniczenia, ale też mechanizmy pomocy i wsparcia dla samorządów i MŚP na rzecz zapewnienia naszego wspólnego bezpieczeństwa cyfrowego – podkreślali eksperci.
– Nie dziwi nas, że projekt budzi wiele emocji, ale te trzeba studzić. Pamiętajmy, że dotyczy on przede wszystkim naszego bezpieczeństwa narodowego i dalszego rozwoju. Nie da się dziś budować silnej gospodarki bez solidnej podstawy cyberbezpieczeństwa, a taką ma zapewnić nowelizacja UKSC. W debacie publicznej potrzeba nam edukacji i objaśniania nadchodzących zmian, a nie podsycania obaw i wątpliwości – komentował Michał Kanownik, prezes Związku Cyfrowa Polska, organizatora spotkania. – Szczególnie zadbać trzeba o świadomość i rzetelną wiedzę wśród podmiotów, które mają KSC zostać objęte po raz pierwszy – dodawał Michał Kanownik.