Marcin Wysocki: Czy celem jest zatopienie okrętu, który zapewnia ochronę nam wszystkim?

Sformułowane przez prof. Tomasza Siemiątkowskiego w wywiadzie dla „Rzeczpospolitej” postulaty dotyczące wdrażania tzw. dyrektywy NIS2 („Projektodawca nie odpuszcza podmiotom prywatnym”, 21 lutego 2025 r.) wymagają weryfikacji i dokonania oceny skutków ich realizacji.

Każda kolejna wersja projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (dalej: ustawa o KSC) zawiera stosunkowo niewiele zmian. Te, które są wprowadzane, mają na celu uzgodnienie projektu, czyli dokonanie tego, co nie udało się niestety od dawna w obszarze nowelizacji ustawy o KSC. Projekt już na tym etapie jest kompleksowy, w pełnym zakresie wdraża tzw. dyrektywę NIS2, ale na pewno będzie dalej podlegał zmianom, ponieważ nie został jeszcze finalnie uzgodniony i zatwierdzony przez Radę Ministrów.

Dyrektywa NIS2 to istotna zmiana w stosunku do poprzedniej dyrektywy unijnej o cyberbezpieczeństwie, a więc i zmian w ustawie o krajowym systemie cyberbezpieczeństwa projektowanych jest wiele, ale czy oznacza to konieczność przygotowania nowej ustawy?

Od zapewnienia większej czytelności aktów prawnych jest ich ujednolicenie, czyli przygotowanie treści aktu prawnego nanoszącego zmiany z nowelizacji na obecnie obowiązujący tekst. Jeżeli jest to wykonywane w sposób sformalizowany, ogłaszane przez marszałka Sejmu, to takie działanie nazywa się ujednoliceniem i jest dokonywane nie rzadziej niż raz na 12 miesięcy.

Podstawowym narzędziem nie jest wcale każdorazowe pisanie nowej ustawy w przypadku wprowadzenia zmian. Są ustawy, które są zmieniane wielokrotnie w danym roku, ale ustawa o KSC do niej nie należy.

Ocena skutków regulacji dla wystrzelonych postulatów

Skutek takiego postulatu „prac od nowa” jest następujący: oddalamy się od wdrożenia dyrektywy NIS2, do czego Polska była zobowiązana do 18 października 2024 r. Wiele z krajów Unii nie dokonało tej transpozycji, natomiast „reset”, oznaczający kolejnych wielu miesięcy prac ściągnąłby na nas widmo płacenia wielomilionowych kar nakładanych przez Trybunał Sprawiedliwości Unii Europejskiej. Ale może są konkretne argumenty przemawiające za tym, że jest to niezbędny koszt do poniesienia?

Najnowsza wersja projektu nowelizacja ma, cyt. „nie odpuszczać podmiotom prywatnym”. O ile wiele jednostek samorządu terytorialnego nie musiałoby być obligatoryjnie częścią krajowego systemu cyberbezpieczeństwa z punktu widzenia dyrektywy, o tyle kwalifikacja podmiotów określonych przez dyrektywę NIS2 poprzez sektory oraz kryteria wielkościowe (najczęściej chodzi o bycie co najmniej „średnim” oznacza bycie podmiotem KSC, a więc i istotne obowiązki regulacyjne) jest bardziej skomplikowana. W szczególnych bowiem sytuacjach w skład systemu może na podstawie decyzji administracyjnej wejść mniejszy podmiot jako jedyny świadczący usługę, której przerwanie świadczenia stanowiłoby zagrożenie dla funkcjonowania państwa.

W przestrzeni publicznej po raz kolejny pojawia się zarzut „nadregulacji”, który również warto rozłożyć na czynniki pierwsze. Nadregulacją jest to, co wykracza poza tzw. zasadę minimalnej harmonizacji, czyli wszystko ponad to, co jest zawarte w projekcie aktu prawnego, ale nie wynika z przepisów dyrektywy. Nie da się zapewnić rzetelnej informacji, czy jakieś rozwiązanie jest faktycznie nadregulacją, pomijając odniesienie do prawa unijnego. Szereg obowiązków dla podmiotów prywatnych i publicznych ma charakter administracyjny, dokumentacyjny, wymagają zasobów czasowych, kadrowych i finansowych, ale absolutnie nie jest to nadregulacja.

Jeżeli tezą byłoby, że projektodawca zadecydował o nałożeniu obowiązków na przedsiębiorców zajmujących się produkcją żywności czy gospodarowaniem odpadów, pragnę wyjaśnić, że są to wymogi ogólnoeuropejskie i przedstawienie tego w inny sposób przez komentujących zakrawa na populizm.

Krytyka czy hejt, czy coś nie działa we współpracy międzynarodowej w obszarze cyberbezpieczeństwa?

Co do kwestii sprawności współpracy międzynarodowej i zagrożeń – jest działający na bieżąco tzw. Pojedynczy Punkt Kontaktowy, oficerowie łącznikowi CyCLONe zajmują się incydentami transgranicznymi, działa CSIRT Network do współpracy na szczeblu eksperckim, technicznym. Pierwsza dwie z wymienionych funkcji są realizowane w Ministerstwie Cyfryzacji. Zapewniam, że te rozwiązania działają. Mamy też naszych cyber attaché w Brukseli, pełniących bardzo ważną rolę podczas aktualnie trwającej Polskiej Prezydencji w Radzie UE.

W projekcie są już wynikające z dyrektywy NIS2 ramy prawne do krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Kolejna wersja projektu uzyska również potwierdzenie ważnej roli ministra spraw zagranicznych, m.in. jego udziału w Zespole Incydentów Krytycznych.

Czy straż pożarna jest faktycznie nieistotna dla cyberbezpieczeństwa państwa?

Straż pożarna jest gestorem szeregu systemów krytycznych z perspektywy działalności państwa odpowiadającej za ostrzeganie i alarmowania ludności czy ewidencjonowanie obiektów ochrony zbiorowej.

Z perspektywy cyberbezpieczeństwa szalenie ważne jest również m.in. bieżące utrzymanie i rozwój własnych, istotnych systemów informacyjnych. Świadczenie teleinformatyczne pomoże utrzymać i pozyskać wysoko wykwalifikowanych, niezbędnych w tym obszarze ekspertów.

Dostawca wysokiego ryzyka – kto komu domalowuje rogi?

Jesteśmy jednym z ostatnich krajów, które nie wdrożyły unijnego narzędzia ochrony krytycznych zasobów, tzw. Toolbox’a 5G. Raport Draghiego wskazuje jasno, że takie zaniechanie pozbawia ochrony danych obywateli, sieci unijnych, a także przedsiębiorców europejskich przed niezgodnymi z prawem praktykami rynkowymi podmiotów spoza Unii.

Najbardziej kontrowersyjne w tym zakresie jest to, że celowo pomijane są fakty dotyczące tego, co wynika z dokumentów unijnych, np. konieczność przyjrzenia się prawu dot. ochrony i dostępu do danych państwa trzecich. Jak również uporczywie pomijane jest to, co już od dawna wynika z treści projektu, jak to, że ewentualna decyzja dotycząca dostawcy wysokiego ryzyka odnosiłaby się m.in. do konkretnego typu sprzętu.

Samoidentyfikacja i prawo unijne czy kosztowny system z tektury?

Na wpis do wykazu przysługuje skarga do sądu administracyjnego, co wynika wprost z treści projektu. To jeden z wielu przykładów skrajnej nierzetelności w wypowiedziach na temat nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.

Postulowana forma decyzji administracyjnej dla wpisu do wykazu oznaczałaby obowiązek przeprowadzenia wielu tysięcy indywidualnych postępowań, a w nich: indywidualne zawiadomienia, wezwania, ponowne wezwania, ponowne zawiadomienia, żeby potwierdzić, że konkretny podmiot faktycznie jest podmiotem krajowego systemu cyberbezpieczeństwa, choć kryteria identyfikacji są transparentne. Żeby przeprowadzić taki proces w ciągu kilku miesięcy, trzeba byłoby zatrudnić dodatkowo co najmniej 200 urzędników i obciążyć budżet państwa ich wynagrodzeniem. To jest prawdziwie kosztowny i jednocześnie nadregulacyjny postulat, ponieważ mechanizm samorejestracji wynika z przepisów dyrektywy NIS2… kurtyna.