Z budżetem?
Budżet będzie zależał od ostatecznej
koncepcji. Obecnie skłaniamy się ku temu, aby powołać miejsce składające się z
wielu różnych podmiotów, które będzie koordynowało wydatki na sztuczną
inteligencję. Z wyraźnym wskazaniem, że chcemy inwestować w polskie firmy.
Gdybyśmy prowadzili innowacyjną firmę działającą w obszarze AI, to na co i od kiedy moglibyśmy liczyć?
Po pierwsze, od stycznia 2025 r. przedsiębiorcy
będą mogli składać wnioski o dofinansowanie w ramach dwóch perspektyw, które
zagwarantowało Ministerstwo Cyfryzacji wraz z Bankiem Gospodarstwa Krajowego.
Pierwsza ścieżka obejmuje wnioski na kwoty do 20 mln zł, a druga – na
kwoty 20–120 mln zł.
Pełna pula środków, którą chcemy przeznaczyć
na dofinansowanie w ciągu dwóch lat, wynosi 2,8 mld zł. Na szczególne
zainteresowanie tymi funduszami namawiamy małe i średnie firmy, ale nie
odstraszamy również dużych przedsiębiorstw, ponieważ mogą się one ubiegać o
środki z większych pul.
Ubiegać na jaki cel?
Transformacja cyfrowa firm, rozwój sztucznej
inteligencji, chmura obliczeniowa oraz wykorzystanie danych do poszerzania
możliwości rozwoju przedsiębiorstw, na przykład poprzez algorytmy.
Marzy się panu polski ChatGPT.
Pracujemy nad takim modelem i go finansujemy.
Dla mnie sztuczna inteligencja to kluczowa technologia. To jest przyszłość
Polski. Szybciej zbudujemy część usługową, która da nam przewagę w Europie, niż
stworzymy dużą polską firmę, która stanie się liderem w Europie, a potem, daj
Boże, na świecie.
I jeszcze jednorożec się marzy.
Życzyłbym sobie tego. Zresztą jak patrzę na
prywatne biznesy, to wiem, że w Polsce mamy odważnych ludzi. Tylko że oni już
nie potrzebują finansowania, lecz stabilnego prawa i mniej regulacji. Dlatego
chcemy wdrażać AI Act, pokazując jednocześnie jego perspektywę. Aby nie zmieniać
go na bieżąco ani nie wprowadzać po drodze fragmentarycznych modyfikacji. Mam
też nadzieję, że w czasie naszej prezydencji w Unii Europejskiej przekonamy
innych do ograniczenia nadmiernych regulacji w zakresie cyfryzacji.
Europa może się nie chcieć dać przekonać.
Ale ja już to im mówiłem. Nadmierne regulacje
powodują, że firmy zaczynają się zastanawiać, czy warto inwestować w Unii
Europejskiej. Konieczne jest zapewnienie stabilności i komfortu, że istniejące
regulacje będą implementowane w spokojnym tempie, bez wprowadzania po drodze kolejnych
przepisów. To wszystko odstrasza przecież inwestorów.
Polska jest dziś najbardziej atakowanym krajem w Unii Europejskiej – odnotowujemy dziesiątki tysięcy cyberataków rocznie, a w tym roku może przekroczymy nawet 100 tys. incydentów, które wymagają reakcji
Chciałbym również, aby w trakcie naszej
prezydencji jednym z kluczowych tematów dla liderów państw europejskich stało
się cyberbezpieczeństwo. We wszystkich wymiarach: wspólnym unijnym
finansowaniu, zintegrowaniu stref cywilnej i wojskowej oraz wypracowaniu
wspólnej strategii, która wychodzi poza granice poszczególnych państw. Polska
jest dziś najbardziej atakowanym krajem w Unii Europejskiej – odnotowujemy
dziesiątki tysięcy cyberataków rocznie, a w tym roku może przekroczymy nawet
100 tys. incydentów, które wymagają reakcji.
Chciałbym, aby wszyscy w Europie dostrzegli
wagę tego problemu, bo dziś atakowana jest Polska, jutro mogą to być Niemcy, a
później Francja. Jeśli nie będziemy działać wspólnie, stanie się to problemem
dla całej Europy. Rosja i Chiny koordynują swoje działania z innymi państwami –
my również musimy podjąć podobne kroki w ramach Unii Europejskiej.
Polskie systemy zabezpieczeń cybernetycznych
są bardzo dobre i solidne, nie mamy się czego wstydzić. Znajdujemy się w
ścisłej czołówce, wśród pięciu najlepiej zorganizowanych państw na świecie w
zakresie ochrony cybernetycznej.
A my się tylko chronimy czy również atakujemy?
Obszary defensywne są dla nas priorytetem, jesteśmy
w nich bardzo skuteczni. Rozwijamy zdolności ofensywne, ale ich nie
wykorzystujemy.
Bronimy się przede wszystkim przed atakami ze Wschodu?
Relacje w cyberprzestrzeni, zwłaszcza w
kontekście cyberwojny, są zmienne. Największe nasilenie ataków było w okresie
przed wyborami do Parlamentu Europejskiego. Po wakacjach nastąpiło osłabienie,
potem we wrześniu znów doszło do wzmocnienia, aby teraz trochę się uspokoić.
Wszystkie służby raportują, że cyberataki w
Polsce znowu nasilą się przed wyborami prezydenckimi w przyszłym roku. Dlatego
już teraz skalujemy naszą ochronę w cyberprzestrzeni, przygotowując się na
największe problemy, które pojawią się w pierwszym kwartale 2025 r. Jesteśmy
dzisiaj, i to mówią wszystkie służby zaprzyjaźnione w Europie i na świecie,
celem numer jeden dla Rosji.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa jest jednym z elementów naszej ochrony?
Jest to dla nas fundamentalna ustawa, ponieważ
przez ostatnie pięć lat w Polsce nic nie zrobiono w tym zakresie. Dyrektywa NIS-2, która jest kompatybilna z
ustawą Krajowego Systemu Cyberbezpieczeństwa, musi w końcu zostać wprowadzona w
Polsce, aby stała się obowiązującym prawem. Dzięki temu będziemy mogli uczciwie
powiedzieć, że mamy kontrolę nad dostawcami sprzętu i unikniemy sytuacji, w
której nie mamy pewności, czy nie wysyłają oni danych za granicę i nas nie
szpiegują. To wszystko ma kluczowe znaczenie dla bezpieczeństwa państwa
oraz w kontekście zagrożeń ze strony atakujących, o których wspomnieliśmy.
I tu dochodzimy do sprawy, którą opisywaliśmy w „Rzeczpospolitej”. Ministerstwo Cyfryzacji, podległe Lewicy, zaakceptowało poprawkę zgłoszoną przez organizację biznesową, kierowaną przez byłego działacza SLD. Dzięki temu firmy w niej zrzeszone będą mogły sporo zarobić. Oto bowiem około jednej trzeciej z ponad 44,5 tys. stacji bazowych łączności bezprzewodowej w Polsce wyposażone jest w sprzęt chińskiej firmy Huawei. Przyjęcie poprawki może oznaczać, że trzeba będzie je wyposażyć na nowo.
Krajowy System Cyberbezpieczeństwa jest
najbardziej przejrzystą ustawą, jaka mogłaby być, jeśli chodzi o proces jej
tworzenia.
Po pierwsze, nie weszła ona w etap prac
rządowych, jak to się dzieje w przypadku innych projektów, gdzie pojawiają się
różne zgłoszenia od izb. Po drugie, zgłoszono nam ponad tysiąc stron uwag,
które zostały opublikowane. Proces ten odbył się w kwietniu, a przez trzy
miesiące prowadziliśmy szerokie konsultacje. W tej sprawie naprawdę nikt nie ma
sobie nic do zarzucenia, szczególnie jeśli chodzi o prace dotyczące segmentu
wpływającego na rynek.
W kontekście zapisów w ustawie chodzi o
kwestie związane z tzw. dostawcami wysokiego ryzyka. Wprowadzenie takiego
zapisu pozwoliłoby polskiemu państwu na podjęcie decyzji, że dany dostawca jest
nieuczciwy, bo na przykład nie wiemy, czy w produkowanym przez niego sprzęcie nie
ma ukrytych zagrożeń, które mogą prowadzić do wycieków danych.
Ta ustawa nie jest wymierzona przeciwko
żadnemu państwu ani żadnej firmie. W ustawie nie będą znajdować się żadne takie
zapisy. Z drugiej strony wprowadziliśmy bardzo ważny mechanizm – możliwość
odwołania się do sądu.
Od samego początku, kiedy objąłem stanowisko w
ministerstwie, moim priorytetem było wprowadzenie zapisu dotyczącego dostawców
wysokiego ryzyka. Nie zrezygnuję z tego zapisu, ponieważ uważam, że jest to
kluczowe dla bezpieczeństwa państwa. Zrezygnowanie z tego zapisu byłoby po
prostu błędne. Jeśli ktoś ma wątpliwości co do tego zapisu, zapraszam do
udziału w konsultacjach i rozmowach, które jeszcze się odbędą. Chciałbym
podkreślić, że przy żadnej poprawce, w tym także tej, nie było żadnego
lobbingu.
Ta zmiana, o której pisaliśmy, sprowadzała się do wykreślenia sformułowania „5G” w opisie sprzętu, który podlega wymianie, w przypadku uznania, że jego producent jest tzw. dostawcą wysokiego ryzyka. To 5G zostanie w końcu przywrócone?
Krytyczne funkcje w zakresie urządzeń sieci
lokalnej, radiowej oraz sieci dostępowej odnoszą się do sieci 5G. Niezależnie
od tego brak urządzenia na liście funkcji krytycznych nie oznacza, że nie może
ono podlegać decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka. Decyzja,
jeśli zostanie wydana, musi jasno określać konkretne typy produktów, rodzaje
usług lub konkretne procesy ICT, co stanowi zabezpieczenie, aby zapewnić, że
nikogo nie dotknie bezpodstawnie.
I to właśnie ten wątek budzi najwięcej
problemów, ponieważ wiele firm obawia się, że w przypadku wskazania dostawców,
którzy mogliby zostać uznani za nieuczciwych, będą musiały ponieść znaczące
koszty.
Do ustawy będzie załączona lista takich dostawców?
Nie będzie takiej listy.
Kto będzie w takim razie uznawał ich za dostawców wysokiego ryzyka?
Decyzję podejmie minister cyfryzacji we
współpracy z Kolegium do spraw Cyberbezpieczeństwa, a jej weryfikacja będzie
możliwa przez sądy.
Czyli pan będzie podejmował decyzje.
Decyzje będą podejmowane przez sądy, natomiast minister cyfryzacji wraz z Kolegium do spraw Cyberbezpieczeństwa będzie
wskazywał ryzykownych dostawców. Kolegium to gremium ekspertów z różnych służb,
takich jak Agencja Bezpieczeństwa Wewnętrznego, Ministerstwo Spraw
Wewnętrznych, SKW, SWW, wojsko oraz inne instytucje dbające o bezpieczeństwo
Polski. To nie są decyzje jednoosobowe, ale uzgodnienia wielu specjalistów
odpowiedzialnych za ochronę kraju.
Pan ma już swoją prywatną listę tego typu firm i krajów?
Nie chodzi o tworzenie list krajów ani firm.
Uważam, że w Polsce należy zapewnić bezpieczeństwo, ale takie decyzje muszą
dotyczyć rzeczywistych podmiotów, a nie hipotetycznych przypadków.
Ile będzie kosztowało w takim razie zapewnienie nam tego bezpieczeństwa, czyli wyrugowanie z polskiej przestrzeni sprzętu i rozwiązań dostawców określonych mianem wysokiego ryzyka?
To mogą być miliardy złotych, ale wszystko
zależy od tego, czy rzeczywiście jakieś firmy zostaną objęte procedurą i czy
niezależne sądy orzekną, że stanowią one zagrożenie dla bezpieczeństwa Polski.
Koszty będą zależeć od udziału takiej firmy
czy urządzenia w rynku. Przecież przez lata nikt nie sprawdzał, czy sprzęt
rzeczywiście spełniał wymogi bezpieczeństwa. Teraz nadchodzi czas, by to
zmienić. Ustawa najprawdopodobniej wejdzie w życie dopiero w 2026 r., po
vacatio legis. Po tym okresie przewidzieliśmy siedem lat na wymianę sprzętu w
przypadku podjęcia decyzji o wskazaniu danego dostawcy za dostawcę wysokiego
ryzyka, co przesuwa nas poza rok 2030. Wiem również, że już teraz wielkie
korporacje rozpoczynają wymianę technologii, ponieważ sprzęt jest
systematycznie odnawiany. Więc jak ktoś chce mieć świadomość, że kupuje coś
dobrego, to niech sprawdza jego certyfikację.
Wysyła pan teraz też sygnał do biznesu, że lepiej sprawdźcie, co będziecie kupować, żebyście nie mieli problemów za te siedem lat?
Jasny i czytelny. Raz jeszcze, ustawa
przewiduje siedmioletni okres przejściowy, aby nikt nie musiał się obawiać, że już
wkrótce będzie zobowiązany do wymiany swoich urządzeń. Co więcej, ustawa nie
obejmie małych firm o przychodach do 10 mln zł, ponieważ uznajemy, że
trzeba je chronić przed dodatkowymi obciążeniami.
Ale z drugiej strony, jak się nam zbierze cała masa takich małych firm, w których będą urządzenia od dostawców uznanych za krytycznych, to będziemy mieć duży problem.
Znamy rynek i jesteśmy świadomi problemów,
wiemy, kto i kiedy dokonywał zakupów, jak wygląda jego sytuacja rynkowa. W
Polsce cyberbezpieczeństwo musi się stać priorytetem. Ataki ze strony Rosji,
współpraca Rosji z innymi państwami, wciągnięcie Białorusi w tę cyberwojnę
przeciwko Polsce – nie można przymykać na to oczu.
Gdybym dziś zamknął na to oczy, miałbym
poczucie zdrady stanu. Albo polski minister cyfryzacji bierze odpowiedzialność,
wychodzi i mówi: „Biorę to na siebie, podejmuję walkę o ten zapis”, albo
niszczy Polskę. W mojej opinii lepiej byłoby ustąpić z tego stanowiska, niż nie
wprowadzić tak ważnego przepisu.
Jeśli się to panu nie uda, odejdzie pan z rządu?
Jeżeli ktokolwiek zdecydowałby się, żeby
wykreślić z ustawy dostawców wysokiego ryzyka, to myślę, że czas Krzysztofa Gawkowskiego
w Ministerstwie Cyfryzacji się skończy.