Jakich dziedzin dotyczy projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa? Na jakie istotne zagrożenia z zakresu cyberbezpieczeństwa mogą narażać potencjalne cyberataki ze strony państw trzecich, na przykład Chin?
Projekt, który do kilku tygodni rozpala dyskusję w Polsce, wprowadza do naszego prawa kilka bardzo istotnych elementów, które mają z jednej strony wzmocnić cyberbezpieczeństwo naszego kraju. A z drugiej strony dać realne narzędzia państwu polskiemu do reagowania w przypadku zaistnienia ryzykownych sytuacji. W szczególności chyba najbardziej kontrowersyjny element tej ustawy, tj. pojęcie dostawców wysokiego ryzyka, które wprowadza ona do polskiego systemu prawnego. Obejmuje to sytuację, w której państwo polskie dochodzi do wniosku – po weryfikacji przez odpowiednie służby – że dany komponent, urządzenie, usługa, które funkcjonują na polskim rynku, czy to w firmie telekomunikacyjnej, energetycznej, czy w jakimkolwiek innym kluczowym obszarze dla naszego państwa, stwarzają realne zagrożenie dla naszego bezpieczeństwa. Wówczas minister cyfryzacji będzie mógł – na bazie poświadczeń ze strony właściwych służb – podjąć decyzję o wykluczeniu takiego urządzenia z polskiej sieci. Mówimy tu – co istotne – o urządzeniu, a nie o marce bądź kraju, które realnie stwarzają zagrożenie dla naszego bezpieczeństwa.
Jakie są konkretne konsekwencje takiej decyzji?
Wówczas producenci mają czas: od czterech do siedmiu lat – w zależności od tego, czy atak nastąpił wobec sieci krytycznej, czy zwykłej, na wycofanie takiego komponentu (urządzenia) i wymianę go na bezpieczny. Taki okres mniej więcej odpowiada naturalnemu cyklowi wymiany technologicznej tego typu urządzeń w sieciach, w których ciągłość funkcjonowania musi być zachowana. Stąd na bieżąco wymieniane są „stare” komponenty na nowsze, lepiej działające. Zatem nie ma mowy o jakimś nagłym, gwałtownym działaniu. Mówimy o przemyślanej, strategicznej – z punktu widzenia państwa polskiego – decyzji, co uważam za mocno łagodne działanie. Bowiem mówimy tu przecież o komponentach (urządzeniach), które stanowią realne zagrożenie dla naszego bezpieczeństwa jako państwa polskiego.
Jak to miałoby wyglądać w praktyce?
Możemy sobie wyobrazić, że przez cztery lata zgadzamy się, żeby w naszej sieci funkcjonowały urządzenia, które są dla nas niebezpieczne. Spróbujmy więc sobie uświadomić, o jakim poziomie liberalnego wręcz podejścia do tej kwestii mówimy. A tymczasem oponenci projektu ustawy o KSC uważają, że mowa jest w tym projekcie o jakimś zamachu na naszą wolność gospodarczą. Tymczasem chodzi tu w istocie o nasze bezpieczeństwo narodowe. I nie może być mowy o jakimkolwiek kompromisie czy też o szukaniu oszczędności, gdyż równie dobrze możemy kupować czołgi z cieńszym pancerzem – i będzie taniej. A przecież nie chodzi o to, by było taniej, ale o to, by było lepiej i bezpieczniej.
Jakie branże są szczególnie narażone na potencjalne cyberataki?
Dzisiaj Polska jest pod tym względem najbardziej atakowanym krajem w Europie. Nasi wrogowie ze strony Rosji i krajów jej sprzyjających czyhają na nasze bezpieczeństwo. I regularnie tego typu ataki niemal codziennie mają miejsce. Atakowane są przeróżne sfery naszego życia: od krytycznej infrastruktury energetycznej – jak grudniowa próba ataku na naszą sieć energetyczną, wodociągi, szkoły, po szpitale (pamiętamy choćby przypadek szpitala w Krakowie) czy urzędy gminne w naszych lokalnych społecznościach – takich przypadków było bardzo wiele. Mogę tu skończyć na mniej oczywistych przykładach, jak próba zakłócenia transmisji TV meczu Polaków na ostatnich mistrzostwach świata w piłce nożnej. To wydaje się może mało istotne z punktu widzenia bezpieczeństwa państwa, ale pamiętajmy, że dziś celem działań naszych wrogów jest przede wszystkim podkopanie zaufania naszych obywateli do naszego państwa. A więc stworzenie wrażenia, że państwo nie działa, że nie zabezpiecza naszego bezpieczeństwa. Stąd pojawiająca się często dezinformacja, fake newsy, próby pokazywania, że państwo nie działa. Stąd tak istotne jest, żeby państwo polskie posiadało narzędzia w swoim ręku, które umożliwiają reagowanie na podobne sytuacje, kiedy państwo stwierdza, że coś jest niebezpieczne.
Według części posłów projekt nowelizacji ustawy o KSC stanowi przykład tzw. gold platingu, co oznacza, że zawiera szereg przepisów wykraczających poza unijne prawo, które ma wprowadzać. Czy faktycznie ten zarzut ma realne podstawy?
Nie. Uważam, że projekt, o którym mówimy, implementuje do polskiego prawa unijną dyrektywę NIS2 oraz instrukcję unijną 5G Turbox (Cybersecurity toolbox factsheet 5GTurbox). Przy czym wykorzystuje maksimum możliwości, jakie daje dyrektywa, w odniesieniu do objęcia wielu sektorów naszej gospodarki. Ale to też wynika z sytuacji przyfrontowej, w jakiej się znaleźliśmy. U nas nie ma przestrzeni na to, by wyłączyć z obowiązywania tejże ustawy pewne sektory, pozornie mniej istotne z punktu widzenia bezpieczeństwa państwa. Bo źródło ataku czy też ogniwo, przez które nasi wrogowie mogą nas atakować, może nastąpić w dowolnym sektorze naszej gospodarki. Stąd jest tak istotne, żeby ta ochrona przed cyberatakami była maksymalnie kompleksowa.
Czy zgodzili się z tym posłowie?
Zwróćmy uwagę na fakt, że wokół tej ustawy nastąpiło coś absolutnie wyjątkowego, wręcz unikatowego w skali polskiej polityki, że przeszła ona przez głosowania w Sejmie i Senacie przytłaczającą większością głosów. W Sejmie za było 407 posłów, w tym 169 posłów PiS. Nie pamiętam, by w obecnej kadencji parlamentu jakaś ustawa przeszła taką większością głosów. To bardzo dobrze świadczy o odpowiedzialności polityków w parlamencie, że dostrzegli, iż nie ma tu miejsca na polityczne potyczki. Świadczy to o ich bardzo odpowiedzialnym podejściu do sprawy bezpieczeństwa państwa. Chylę za to czoła przed parlamentarzystami ze wszystkich opcji politycznych. Bo dyskusja na temat tego projektu była dynamiczna, wręcz ostra. Ale finalnie posłowie i senatorowie stanęli na wysokości zadania i ponad podziałami. Przyjęcie ustawy przytłaczającą większością głosów świadczy o tym, jak jest ona potrzebna. Przypomnę, że jest ona od sześciu lat konsultowana – jest tym samym najdłużej konsultowaną ustawą w naszej najnowszej historii. Mierzyły się z nią poszczególne rządy. I – co ważne – nie odbiega ona radykalnie w swym znowelizowanym kształcie od wersji, którą jeszcze forsował w okresie rządów PiS minister Janusz Cieszyński. Dostrzegam więc w jej uchwalonej ostatnio znowelizowanej wersji kontynuację tego sposobu myślenia. Bo w cyberbezpieczeństwie nie ma miejsca na politykę. Mówimy tu wyłącznie o naszym bezpieczeństwie narodowym. Obecny rząd kontynuuje w tym przypadku proces dbałości o nasze bezpieczeństwo, wobec którego pewne standardy i kierunki wyznaczał poprzedni rząd.
Obecnie pan prezydent ma czas na przemyślenie, czy podpisać tę ustawę. Mam nadzieję, że to uczyni, a tym samym wygra interes Polski, interes naszego bezpieczeństwa narodowego.
