Przedstawiciele Kancelarii uczestniczyli w dniu 6 września 2019 r. w zorganizowanej w Ministerstwie Cyfryzacji konferencji uzgodnieniowej dotyczącej projektu uchwały Rady Ministrów w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019–2024. Celem konferencji było omówienie uwag do dokumentu zgłoszonych w ramach uzgodnień resortowych i konsultacji publicznych.

Proces konsultacji i przebieg spotkania

Przedstawiciele Ministerstwa poinformowali, że w ramach przedmiotowych konsultacji wpłynęło około 400 uwag, które zostaną rozpatrzone przy ustalaniu finalnej wersji zarówno Strategii, jak i Planu działania, czyli dokumentu precyzującego Strategię co do działań, finansowania i organów odpowiedzialnych za realizację. Jest to tym bardziej istotne, że – według zapowiedzi MC – w przypadku Planu działania podobne konsultacje nie będą prowadzone.

Uczestnicy odbyli w ramach konferencji rzeczową dyskusję, uzasadniając potrzebę wprowadzenia konkretnych zmian do Strategii Cyberbezpieczeństwa bądź wskazując powody niecelowości uwzględnienia uwag.

Kluczowe uwagi

Spośród szczególnie interesujących branżę IT zagadnień, które omówiono szerzej w trakcie spotkania, można wyróżnić następujące kwestie:

  1. Jednolite podejście do obowiązków wszystkich dostawców usług cyfrowych

Konfederacja Lewiatan zgłosiła następującą uwagę: „Równanie standardów w zakresie ciągłości działania dla wszystkich dostawców usług cyfrowych może być krzywdzące i nadmiarowe w przypadku dostawców, których działanie nie ma bezpośredniego wpływu na inne sektory (z naciskiem na infrastrukturę kluczową). Wymogi dotyczące chociażby dostawców internetowych czy też firm świadczących usługi z zakresu chmur obliczeniowych nie mogą być takie same jak dla internetowych platform handlowych. Wynika to z różnej specyfiki odbiorców usług, kaskadowości incydentu i jego eskalacji na inne sektory, norm czasowych i ilościowych”.

Odnosząc się do tej uwagi, MC podkreśliło, że konieczne jest wprowadzanie jednolitych minimalnych wymagań dla dostawców usług cyfrowych, gdyż wynika to z regulacji na poziomie unijnym (ustawa o krajowym systemie cyberbezpieczeństwa stanowi implementację unijnej dyrektywy NIS). Niemniej jednak zgodnie z wiedzą MC zagadnienie to jest obecnie przedmiotem prac grup roboczych na poziomie UE, nie jest więc wykluczone wprowadzenie oczekiwanych zmian w najbliższej przyszłości.

  1. Współpraca z organami ścigania

Konfederacja Lewiatan odniosła się także do następującego fragmentu Strategii Cyberbezpieczeństwa: „Zwiększenie efektywności czynności procesowych i operacyjnych wymaga podjęcia i poszerzenia współdziałania organów ścigania z innymi podmiotami, które mogą posiadać wiedzę w zakresie ustalenia istoty przestępstwa lub mogą przyczynić się do ustalenia jego sprawcy”.

W ocenie Konfederacji poszerzenie współdziałania może rodzić ryzyko nadmiernego ujawniania przez przedsiębiorców danych klientów i przekazywania ich podmiotom trzecim, nawet jeśli nie są przedmiotem zainteresowania tych podmiotów. MC argumentowało, że dostęp do danych i tajemnic branżowych jest regulowany ustawowo, treść Strategii nie powinna więc budzić w tym zakresie wątpliwości.

Jednocześnie przedstawiciel MC podkreślił, że resort dostrzega praktyczny problem dotyczący ścigania cyberprzestępczości, nie chce jednak wprowadzać odrębnego postępowania lub ingerować w obecny model ścigania przestępstw cybernetycznych zapisany w kodeksie karnym. Problem ten wynika w dużej mierze z tego, że przestępstwa te ciągle stanowią pewne novum dla organów ścigania. Właściwe miejscowo lokalne komisariaty nie posiadają dużego doświadczenia w realizacji obowiązków związanych z naruszeniami w cyberprzestrzeni. Ministerstwo upatruje jednak rozwiązanie tego problemu z jednej strony w zwiększeniu działań w zakresie edukacji i szkoleń w temacie cyberbezpieczeństwa, a z drugiej strony w bezpośredniej współpracy podmiotów odpowiedzialnych za cyberbezpieczeństwo z przedsiębiorcami w dopuszczalnych ramach prawnych.

  1. Przekazanie założeń nowelizacji aktów prawnych

Konfederacja zasugerowała także, aby przed przyjęciem ostatecznej wersji Strategii przygotowano i przekazano do konsultacji szczegółowe postanowienia lub chociażby założenia zmian w aktach prawnych, które miałyby ulec nowelizacji. MC nie przychyliło się do tej sugestii, argumentując, że obecnie jest za wcześnie na formułowanie szczegółowych postanowień i nowelizacji aktów prawnych – nie minął bowiem nawet rok od momentu, kiedy wyznaczono pierwszych operatorów usług kluczowych.

  1. Metodyka szacowania ryzyka

Do dyskusji włączyło się także Ministerstwo Energii, które między innymi podkreśliło, że z uwagi na różnice w specyfice sektorów, w których funkcjonują operatorzy usług kluczowych, nie powinna istnieć jedna tylko metodyka statycznego i dynamicznego szacowania ryzyka dla wszystkich podmiotów z tej grupy. MC z kolei argumentowało, że musi istnieć spójna metodyka dla wszystkich operatorów, aby możliwe było szacowanie ryzyka na poziomie krajowym, co z kolei pozwoli na opracowanie wspólnego krajowego planu zarządzania ryzykiem.

Jednocześnie przedstawiciel MC potwierdził, że dostrzega specyfikę poszczególnych sektorów i wynikające z niej różnice, które mogą komplikować tworzenie metodyki szacowania ryzyka, jednak Ministerstwo chciałoby, aby dokument zawierał część wspólną dla wszystkich podmiotów, co uzasadnione jest także względami technicznymi (wspólny program informatyczny do szacowania ryzyka).

  1. Ogólny zarys Strategii Cyberbezpieczeństwa

Zwrócono wreszcie uwagę na lakoniczność Strategii w kwestii mierników stopnia realizacji celu głównego oraz celów szczegółowych. NIK podkreśliła, że „brak jednoznacznych mierników i wskaźników realizacji celów nie będzie pozwalał na skuteczne monitorowanie ich realizacji, a Strategia będzie pełnić rolę spisu poszczególnych luźno powiązanych ze sobą zadań państwa, które jednak nie będą się łączyć w logiczną całość pozwalającą ocenić stan bezpieczeństwa Państwa.”

MC w odpowiedzi zaznaczyło, że Strategia z natury ma charakter ogólny i zostanie uszczegółowiona w Planie, opracowanym na jej podstawie. To w nim zostaną przewidziane konkretne czynności, harmonogram oraz źródła finansowania.

Dalsze prace nad Strategią

Spotkanie zorganizowane w MC służyło omówieniu kluczowych uwag zgłoszonych do Strategii Cyberbezpieczeństwa i wypracowaniu końcowej wersji dokumentu. Można spodziewać się jego publikacji w ostatecznym kształcie w najbliższym czasie, Rada Ministrów jest bowiem ustawowo zobowiązana do przyjęcia Strategii do 31 października 2019 r.

Niemniej jednak, przed Ministerstwem stoi teraz inne bardzo ważne zadanie – opracowanie szczegółowego Planu działań, który będzie konkretyzować Strategię Cyberbezpieczeństwa. Biorąc pod uwagę, że będzie to dokument istotny z perspektywy wszystkich podmiotów tworzących krajowy system cyberbezpieczeństwa, w tym także spółek IT będących operatorami usług kluczowych, dostawcami usług cyfrowych lub podmiotami doradczymi w zakresie cyberbezpieczeństwa, pozostaje mieć nadzieję że – wbrew deklaracjom MC – będzie on podlegał konsultacjom.

Link do dokumentów i szczegółowych uwag:

https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/projekt-uchwaly-rady-ministrow-w-sprawie-strategii-cyberbezpieczenstwa-rzeczypospolitej-polskiej-na-lata-2019-2024.html