Po wielu tygodniach zapowiedzi opublikowany został rządowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (dalej: „ustawa KSC”)[1]. Częściowo pokrywa się on z projektem nowelizacji ustawy z września ubiegłego roku[2], jednak zawiera również szereg nowych, niepublikowanych wcześniej rozwiązań. Mimo wyznaczenia bardzo krótkiego terminu do projektu ustawy zgłoszonych zostało wiele uwag, pochodzących m.in. od organizacji zrzeszających przedsiębiorców, takich jak Polska Izba Informatyki i Telekomunikacji (PIIT), Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji (KIGEiT) czy Związek Pracodawców Branży Internetowej IAB Polska. Zgodnie z informacjami przekazanymi przez przedstawicieli rządu projekt został skierowany do Komitetu Rady Ministrów do spraw Bezpieczeństwa Narodowego i spraw Obronnych (KRMBNSO).

Tło prac nad nowelizacją ustawy KSC

Inicjatywa związana ze zmianą ustawy KSC pojawiła się już we wrześniu 2020 r., a część rozwiązań zaproponowanych w nowym projekcie ustawy pokrywa się z propozycją ubiegłorocznej nowelizacji. Procedowanie ubiegłorocznego projektu, mimo wielu dyskusji i szeregu przeprowadzonych konsultacji, zostało wstrzymane na etapie prac w Komitecie do Spraw Europejskich. W międzyczasie doszło do opublikowania projektu dyrektywy NIS 2 (szerzej pisaliśmy o nim tutaj, a w debacie publicznej cyberbezpieczeństwo stało się bardzo popularnym tematem, głównie za sprawą ataków cybernetycznych, które miały prowadzić do ujawnienia informacji istotnych z perspektywy funkcjonowania państwa. W świetle powyższych okoliczności zadecydowano o wznowieniu prac nad nowelizacją ustawy KSC i opublikowano propozycję ustawy, która łączy rozwiązania znane z ubiegłorocznego projektu oraz całkowicie nowe przepisy.

Zmiany w zakresie podmiotów podlegających przepisom ustawy KSC

Największą grupę podmiotów podlegających przepisom ustawy KSC stanowią operatorzy usług kluczowych (dalej: „OUK”) oraz dostawcy usług cyfrowych (dalej: „DUC”). Zgodnie z założeniami projektu grupy podmiotów mogących stanowić OUK oraz DUC nie będą objęte znaczącymi zmianami. Istotną proponowaną zmianą jest natomiast włączenie do krajowego systemu cyberbezpieczeństwa przedsiębiorców telekomunikacyjnych, którzy byli z niego dotychczas całkowicie wyłączeni. Warto nadmienić, że przedsiębiorcy telekomunikacyjni mają podlegać przepisom ustawy KSC jedynie w ograniczonym zakresie (który został sformułowany w bardzo ogólny i nieprecyzyjny sposób) i tylko w sytuacji, gdy będą jednocześnie należeć do jednej z grup objętych szczególnymi obowiązkami na gruncie przepisów ustawy KSC (m.in. będą stanowić DUC lub OUK). Do krajowego systemu cyberbezpieczeństwa włączono również podmioty takie jak uczelnie wyższe, Urząd Komisji Nadzoru Finansowego czy podmioty świadczące usługi SOC na rzecz OUK.

Realizacja obowiązków operatorów usług kluczowych w ramach SOC

Projekt nowelizacji nie wprowadza żadnych rewolucyjnych zmian dotyczących obowiązków podmiotów objętych krajowym systemem cyberbezpieczeństwa. Wprowadzone zmiany dotyczą głównie OUK i związane są ze sposobem realizacji obowiązków tych podmiotów m.in. w ramach zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, prowadzenia dokumentacji cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej czy obsługi i zgłaszania incydentów oraz współpracy w tym zakresie z właściwym CSIRT. Na gruncie obecnie obowiązujących przepisów obowiązki te powinny być wypełniane przez wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub przez podmiot trzeci świadczący usługi z zakresu cyberbezpieczeństwa na podstawie umowy zawartej z takim podmiotem. Nowe przepisy stanowią natomiast, że obowiązki te powinny być wykonywane przez SOC (Security Operations Center – zespół pełniący funkcję operacyjnego centrum bezpieczeństwa), przy czym nadal SOC może zostać powołany w ramach wewnętrznej struktury organizacyjnej OUK albo funkcję SOC może pełnić podmiot zewnętrzny, działający na podstawie umowy lub powołany dla danego OUK przez podmiot nadzorujący.

Nowym rozwiązaniem jest natomiast wprowadzenie wymogu wyboru prawa polskiego jako właściwego dla umowy o prowadzenie SOC czy obowiązku udostępniania przez SOC świadczący usługi na rzecz OUK określonych informacji na swojej stronie internetowej (np. dotyczących wykorzystywanych kluczy publicznych czy stosowanych sposobów szyfrowania komunikacji). Wszystkie podmioty świadczące usługi SOC na rzecz OUK (niezależnie od tego, czy zostały powołane w ramach struktury OUK, czy też stanowią podmioty trzecie) będą również podlegały wpisowi do wykazu SOC prowadzonego przez ministra właściwego do spraw informatyzacji.

Nowe kompetencje ministra właściwego do spraw informatyzacji

Proponowane nowelizacją ustawy KSC zmiany, które budzą największe kontrowersje na rynku, związane są z nowymi kompetencjami przyznanymi ministrowi właściwemu do spraw informatyzacji. W pierwszej kolejności wskazać należy na możliwość przeprowadzenia postępowania w sprawie uznania za dostawcę wysokiego ryzyka, które może zakończyć się wydaniem decyzji administracyjnej uznającej dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka w przypadku stwierdzenia, że dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego czy życia lub zdrowia ludzi. Konsekwencją wydania takiej decyzji jest uniemożliwienie podmiotom szczególnie narażonym na cyberzagrożenia (m.in. wszystkim podmiotom objętym krajowym systemem cyberbezpieczeństwa, w tym DUC i OUK oraz przedsiębiorcom telekomunikacyjnym) korzystania z produktów, usług lub procesów objętych taką decyzją oraz zobowiązanie do wycofania ich z użytkowania w ciągu 7 lat, jeśli są obecnie wykorzystywane. Może się to wiązać ze znacznym zmniejszeniem dochodów dostawców, w stosunku do których została wydana decyzja o uznaniu za dostawcę wysokiego ryzyka.

Kolejnym rozwiązaniem, budzącym równie duże kontrowersje, jest kompetencja do wydania polecenia zabezpieczającego w przypadku wystąpienia incydentu krytycznego. Zgodnie z przedstawioną w projekcie propozycją polecenie zabezpieczające ma przybrać postać decyzji administracyjnej i będzie mogło dotyczyć m.in. podmiotów objętych krajowym system cyberbezpieczeństwa (m.in. OUK i DUC), przedsiębiorców telekomunikacyjnych czy przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym, o których mowa w ustawie o organizowaniu zadań na rzecz obronności państwa realizowanych przez przedsiębiorców. Polecenie zabezpieczające będzie mogło zawierać nakazy lub zakazy skierowane do jego adresatów, obejmujące przykładowo:

  • zakaz korzystania z określonego sprzętu lub oprogramowania;
  • nakaz wprowadzenia ograniczenia ruchu sieciowego z adresów IP lub adresów URL wchodzącego do infrastruktury danego podmiotu;
  • nakaz wstrzymania dystrybucji lub zakaz instalacji określonej wersji oprogramowania.

Przepisy dotyczące polecenia zabezpieczającego są krytykowane m.in. za to, że treść polecenia zabezpieczającego ma obejmować jedynie wskazanie „rodzaju podmiotów”, do których polecenie to jest skierowane. Określone podmioty mogą zatem nie mieć nawet świadomości, że zostały zobowiązane do danego zachowania w drodze decyzji administracyjnej – natomiast za niezastosowanie się do treści tej decyzji będzie groziła administracyjna kara pieniężna w wysokości do 3% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Sposób uregulowania obu omówionych powyżej instytucji budzi również szereg wątpliwości co do proponowanych rozwiązań procedury administracyjnej (m.in. w zakresie nadania im rygoru natychmiastowej wykonalności czy pozbawienia możliwości złożenia wniosku o ponowne rozpatrzenie sprawy).

Krajowy system certyfikacji cyberbezpieczeństwa

Propozycja nowelizacji ustawy KSC zakłada również utworzenie krajowego systemu certyfikacji cyberbezpieczeństwa, w ramach którego zostanie opracowany krajowy program certyfikacji cyberbezpieczeństwa. Zgodnie z założeniami dedykowane programy certyfikacji cyberbezpieczeństwa będą mogły zostać opracowane także dla poszczególnych produktów, usług lub procesów ICT, z uwzględnieniem ich specyfiki. W ramach krajowego programu certyfikacji cyberbezpieczeństwa mają zostać wyróżnione trzy poziomy uzasadnienia zaufania (podstawowy, istotny i wysoki) dla produktów, usług i procesów ICT, zróżnicowane pod względem ich odporności na zagrożenia cybernetyczne. Dostawcy będą mogli ubiegać się o certyfikację swoich produktów, usług i procesów ICT, która będzie potwierdzała spełnienie przez nie wymagań dla poszczególnych poziomów uzasadnienia zaufania, opisanych szerzej w krajowym programie certyfikacji cyberbezpieczeństwa. Oceny zgodności z poszczególnymi poziomami uzasadnienia zaufania będą dokonywały jednostki oceniające zgodność nadzorowane przez Polskie Centrum Akredytacji.

Operator strategicznej sieci bezpieczeństwa zapewni obsługę urzędów państwowych

Na podstawie przepisów proponowanych nowelizacją ustawy KSC utworzona ma zostać strategiczna sieć cyberbezpieczeństwa, której głównym zadaniem będzie zapewnienie realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego w zakresie telekomunikacji. Zgodnie z założeniami strategiczna sieć cyberbezpieczeństwa ma być wykorzystywana przez jej operatora do świadczenia usług na rzecz najważniejszych urzędów państwowych (m.in. na rzecz Kancelarii Prezydenta, Kancelarii Sejmu i Senatu czy Biura Bezpieczeństwa Narodowego). Z uwagi na warunki, które powinien spełnić operator strategicznej sieci cyberbezpieczeństwa, jako naturalny kandydat do objęcia tej funkcji wskazywana jest spółka Exatel SA. Przepisy projektu zapewniają operatorowi strategicznej sieci cyberbezpieczeństwa szereg narzędzi mających na celu usprawnienie pełnienia powierzonej funkcji, m.in. poprzez przyznanie prawa pierwokupu sieci telekomunikacyjnych będących własnością Skarbu Państwa oraz jednostek samorządu terytorialnego.

Spółka Polskie 5G i przetarg na częstotliwości 5G

Projekt nowelizacji ustawy KSC przewiduje także utworzenie przez operatora strategicznej sieci bezpieczeństwa nowej spółki kapitałowej o nazwie Polskie 5G, której celem ma być realizacja ogólnopolskiej hurtowej sieci 5G. Głównym zadaniem spółki Polskie 5G ma być zapewnienie pokrycia całego terytorium kraju zasięgiem hurtowej sieci 5G oraz hurtowe, odpłatne oferowanie usług telekomunikacyjnych świadczonych z jej użyciem. Akcjonariuszami lub udziałowcami spółki Polskie 5G mają być m.in. operatorzy telekomunikacyjni, którym w drodze przetargu organizowanego przez Prezesa UKE mają zostać przyznane częstotliwości sieci 5G (w zakresach 713–733 MHz oraz 768–788 MHz). Pozostałe częstotliwości sieci 5G (w zakresach 703–713 MHz oraz 758–768 MHz) będą stanowić częstotliwości rządowe i zostaną przyznane przez Prezesa UKE operatorowi strategicznej sieci bezpieczeństwa.

Podsumowanie

Projekt nowelizacji ustawy KSC budzi wiele emocji i kontrowersji, w szczególności ze względu na wprowadzoną procedurę dotyczącą uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka oraz na możliwość wydawania przez ministra właściwego do spraw informatyzacji poleceń zabezpieczających. Wydaje się, że z uwagi na swoją doniosłość projekt powinien podlegać szerszym konsultacjom publicznym. Obecnie nie jest jeszcze znany kształt ostatecznego projektu po zakończonych konsultacjach, który miałby podlegać dalszej ścieżce legislacyjnej. Należy się jednocześnie spodziewać, że ze względu na rosnącą rolę cyberbezpieczeństwa prace nad tym projektem mogą być prowadzone w sposób dynamiczny. Jednocześnie warto nadmienić, że projekt nowelizacji ustawy KSC jest jedynie początkiem działań legislacyjnych ustawodawcy w zakresie cyberbezpieczeństwa – zgodnie z zapowiedziami sekretarza stanu i pełnomocnika ds. cyberbezpieczeństwa w KPRM Janusza Cieszyńskiego zaraz po nowelizacji ustawy KSC zostaną rozpoczęte prace nad ustawą o partnerstwie w cyberbezpieczeństwie. Szczegółowy zakres tej ustawy jest jednak nieznany w momencie publikacji artykułu.

[1] Zob. projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw z dnia 12 października 2021 r., dostępny pod adresem: https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-ustawy-prawo-zamowien-publicznych.html (dostęp: 30.11.2021).

[2] Zob. projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych z dnia 7 września 2020 r., dostępny pod adresem: https://legislacja.rcl.gov.pl/docs//2/12337950/12716602/12716603/dokument463185.pdf (dostęp: 30.11.2021).