Businessman using digital padlock to secure his datas 3D rendering

Zakończyły się konsultacje publiczne długo wyczekiwanego projektu ustawy o krajowym systemie cyberbezpieczeństwa. Ustawa ma wdrażać do polskiego porządku prawnego Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywę NIS). Przepisy implementujące Dyrektywę NIS muszą wejść w życie 10 maja 2018 r. Zatem na przeprowadzenie pełnego procesu legislacyjnego pozostało pół roku. Ministerstwo Cyfryzacji dało całemu rynkowi 14 dni na konsultacje. To zdecydowanie za krótko jak na tak skomplikowaną i ważną materię ustawową.

Celem projektowanej  ustawy jest ustanowienie krajowego systemu cyberbezpieczeństwa, którego zadaniem ma być zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług.

Projektodawcom przyszło zmierzyć się ze skomplikowaną materią prawną. Z jednej bowiem strony projektowana ustawa musi uwzględniać dotychczasowy dorobek legislacyjny regulujący szeroko pojęty świat teleinformatyki, bezpieczeństwa i ochrony infrastruktury krytycznej. Z drugiej strony projektodawcy wkroczyli na tereny legislacyjnie dotąd niezagospodarowane. Nie ma bowiem w polskim porządku prawnym ustawy, która w sposób kompleksowy regulowałaby kwestie cyberbezpieczeństwa. Szczątkowe regulacje znajdziemy m.in. w ustawie o informatyzacji oraz w rozporządzeniu do tej ustawy tj. w Krajowych Ramach Interoperacyjności, w prawie telekomunikacyjnym, Kodeksie karnym, ustawie o ochronie danych osobowych, ustawie o systemie informacji i ochronie zdrowia, ustawie o świadczeniu usług drogą elektroniczną i w kilku innych.

Punktem wyjścia oceny ustawy jest zaproponowana definicja cyberbezpieczeństwa. Zgodnie z nią cyberbezpieczeństwem jest „stan systemów informacyjnych oznaczający odporność tych systemów, przy danym poziomie zaufania, na wszelkie działania naruszające dostępność, autentyczność, integralność lub poufność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy informacyjne”. Przede wszystkim nie bardzo wiadomo jak interpretować to, że „stan (systemów informacyjnych) oznacza ich odporność”. Odporność jakiegokolwiek systemu, w tym systemu informacyjnego, na działanie czynników zewnętrznych może być wysoka, średnia, niska, jednym słowem jest stopniowalna. Dotyczy to również pojęcia „odporności”, jakim posłużyli się projektodawcy. Kolejny błąd popełniony w przedstawionej definicji to klasyczny błąd ignotum per ignotum. Jednym z elementów definicji jest „dany poziom zaufania”. Trudno stwierdzić kto lub co jest przedmiotem i podmiotem tego zaufania. Nie wiadomo również z jakimi poziomami zaufania możemy mieć do czynienia. Aby dać przykład pułapek do jakich będzie prowadzić zachowanie przytoczonej definicji cyberbezpieczeństwa wystarczy odwołać się do jednego przykładu użycia tego pojęcia w ustawie. W ustawie pojawiają się „podmioty świadczące usługi za zakresu cyberbezpieczeństwa. Zatem, zgodnie z omawianą definicją cyberbezpieczeństwa przez wspomniane podmioty należy rozumieć podmioty świadczące usługi za zakresu stanu systemów informacyjnych oznaczającego odporność tych systemów…… W świetle powyższych argumentów nie można przedstawionej definicji cyberbezpieczeństwa uznać za udaną. Proponuję zatem dwa rozwiązania. Jednym jest przeprowadzenie prawdziwej konsultacji (a nie formalnej 14-to dniowej) z rynkiem, mającej na celu uzgodnienie lepszej, bardziej jednoznacznej definicji cyberbezpieczeństwa. Drugim rozwiązaniem jest rezygnacja z tej definicji, zgodnie z rzymską zasadą, że wszelkie definicje są niebezpieczne (omnis definitio in iure civili periculosa est). Oczywiście wymagałoby to przejrzenia projektu ustawy pod kątek dokonania ewentualnych korekt w jej brzmieniu.

Pozytywnie oceniam przyjęcie rozproszonego systemu cyberbezpieczństwa w postaci funkcjonowania CSIRTów (tj. Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego działających na poziomie krajowym. CSIRT MON ma być prowadzony przez Ministra Obrony Narodowej, CSIRT NASK przez Naukową i Akademicką Sieć Komputerową oraz CSIRT GOV przez Szefa Agencji Bezpieczeństwa Wewnętrznego.

Zgodnie z wymogami Dyrektywy NIS w projekcie ustawy wskazano tzw. organy właściwe do spraw cyberbezpieczeństwa. Organy te maja szereg bardzo istotnych kompetencji z zakresu cyberbezpieczeństwa w tym wskazują, którzy z przedsiębiorców otrzymają status tzw. operatorów usług kluczowych. To na operatorów usług kluczowych ustawa nakłada szczególne obowiązki. Ministerstwo Cyfryzacji zaproponowało, aby organami właściwymi byli ministrowie odpowiadający za poszczególne sektory i podsektory gospodarki objęte Dyrektywą NIS – łącznie siedmiu ministrów. W mojej ocenie takie silosowe podejście nie jest prawidłowe. Ministrowie odpowiedzialni za poszczególne sektory powinni oczywiście być włączeni w procesy budowy i zapewniania cyberbezpieczeństwa jednak podejście do tego problemu powinno być bardziej kompleksowe. Bardziej racjonalne byłoby zatem wyznaczenie jednego organu właściwego – tj. Prezesa Rady Ministrów. W ostateczności  można by wskazać trzy organy właściwe, koordynowane przez  Prezesa Rady Ministrów – ministra obrony narodowej, ministra cyfryzacji i ministra spraw wewnętrznych i administracji.

Prawidłowo uregulowano kwestie kryteriów wyznaczania operatorów usług kluczowych oraz zakresu obowiązków, jakie będą na nie nakładane. Dziwi jednak fakt, że lista operatorów usług kluczowych nie będzie jawna. Trudno znaleźć uzasadnienie dla takiego podejścia. Orientacyjną listę takich podmiotów bardzo łatwo określić. Projektodawcy sami ją podają w OSR. Dlaczego zatem nie uczynić jej po prostu lista jawną?

Obszar cyberbezpieczeństwa, jak żaden inny, wymaga współpracy sektora publicznego i prywatnego opartej na rzeczywistym partnerstwie. Zdecydowana większość infrastruktury krytycznej znajduje się w rękach przedsiębiorców (w dużej mierze prywatnych). To przedsiębiorcy, w tym prywatni będą wskazani jako operatorzy usług kluczowych oraz dostawcy usług cyfrowych. To po ich stronie znajdują się kompetencje zarządcze i informatyczne. Dlatego ścisła współpraca między administracją a biznesem jest konieczna. Zabrakło tej współpracy na etapie tworzenia projektu ustawy. Również 14-to dniowy czas na konsultacje nie służy budowie zaufania i partnerstwa.  W proponowanych przepisach też wiele w tym zakresie nie znajdziemy. Mamy szereg nakazów i zakazów ale o partnerskiej współpracy projekt ustawy milczy, poza drobnym fragmentem wskazującym, że minister cyfryzacji jest odpowiedzialny za „rekomendowanie obszarów współpracy sektora publicznego z sektorem prywatnym w celu zwiększenia cyberbezpieczeństwa Rzeczypospolitej Polskiej poprzez upowszechnianie partnerstwa publiczno-prywatnego”.

Żadne przepisy nie są skuteczne, jeżeli ich nieprzestrzeganie nie wiąże się z poważnymi sankcjami. Najlepszym przykładem są przepisy ustawy o ochronie danych osobowych. Dopóki kary grożące za naruszanie przepisów były niskie niewielu przedsiębiorców przejmowało się tymi przepisami. Jednak odkąd wiadomo, że nowe przepisy unijnego rozporządzenia o ochronie danych osobowych wejdą w życie, i że za ich nieprzestrzeganie grozić będą potężne kary finansowe, odtąd przedsiębiorcy poważnie zaczęli traktować ochronę danych osobowych.

Z punktu widzenia interesów państwa oraz interesów jego obywateli i przedsiębiorców, bezpieczeństwo w podstawowym wymiarze (a takim we współczesnym świecie jest cyberbezpieczeństwo) jest wartością zasługującą na najwyższą ochronę. Tymczasem kary finansowe grożące za nieprzestrzeganie przepisów ustawy określone zostały na bardzo niskim poziomie, szczególnie jeżeli weźmiemy pod uwagę kary grożące za nieprzestrzeganie przepisów o ochronie danych osobowych, przepisów ustawy prawo telekomunikacyjne czy o ochronie konsumenta i konkurencji. Najwyższa kara przewidziana ustawą to kara do 200 tyś. zł. Grozi ona za uporczywe naruszanie przepisów ustawy powodujące bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi lub zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kluczowych. Kara ta jest wręcz śmiesznie niska, jeżeli uświadomimy sobie dwa fakty. Po pierwsze kara ta może być nałożona na największych w kraju przedsiębiorców o miliardowych obrotach. Poi drugie – nieprzestrzeganie przepisów ustawy przez tych przedsiębiorców może prowadzić do całkowitego i długotrwałego paraliżu systemów energetycznych, transportowych, finansowych czy zdrowotnych.

Przedstawiony projekt ustawy o krajowym systemie cyberbezpieczeństwa zawiera bardzo wiele ciekawych i dobrych rozwiązań prawnych. Stworzenie tego projektu wymagało sporych umiejętności  ogromnej pracy. Wymaga on jednak wielu zmian. Refleksji wymaga przede wszystkim zaproponowania siatka pojęciowa, struktura administracyjna cyberbezpieczeństwa, „wszycie” w ustawę mechanizmów partnerskiej współpracy administracji z przedsiębiorcami oraz kwestia wysokości kar finansowych.

Wojciech Dziomdziora

Wojciech Dziomdziora
Radca Prawny, Counsel

wojciech.dziomdziora@dzp.pl

Komentarze

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *