– What can arouse criticism in terms of the amendment to the National Cybersecurity System Act (KSC) is creation of an elimination mechanism of inconvenient entities from the cybersecurity market. It can be imagined that the purposes of such elimination will not always be unequivocal and honest \u2013 says Artur Piechocki, attorney-at-law, founder of APLAW.<\/p>\n
Czy nowelizacja ustawy o Krajowym Systemie Cyberbezpiecze\u0144stwa rzeczywi\u015bcie mo\u017ce zwi\u0119kszy\u0107 bezpiecze\u0144stwo i co z realizacj\u0105 jej wytycznych? <\/strong><\/p>\n Rozwi\u0105zaniom opartym o dyrektyw\u0119 NIS i jej implementacj\u0119, czyli ustaw\u0119 o Krajowym systemie cyberbezpiecze\u0144stwa brakuje mocy sprawczej. RODO przekona\u0142o nas, \u017ce na przedsi\u0119biorc\u00f3w dzia\u0142aj\u0105 najlepiej kary. Najbardziej przemawiaj\u0105 do wyobra\u017ani i odnosz\u0105 skutek odstraszaj\u0105cy (zgodnie z zamys\u0142em ustawodawcy unijnego). Pami\u0119tajmy, \u017ce polska ustawa o ochronie danych osobowych obowi\u0105zywa\u0142a od 1997 r. i zasadniczo nie by\u0142a przestrzegana. Dopiero RODO spowodowa\u0142o masowe przestrzeganie ochrony prywatno\u015bci. Niestety, ustawa o KSC w pierwotnej wersji nie by\u0142a wystarczaj\u0105co sankcyjna, aby odnie\u015b\u0107 dobry skutek. Dlatego przedsi\u0119biorcy zobowi\u0105zani do jej przestrzegania (w tym operatorzy us\u0142ug kluczowych – OUK) nie spieszyli si\u0119 z wdro\u017ceniem odpowiednich zabezpiecze\u0144.<\/p>\n Z drugiej strony warto zaznaczy\u0107 aktywn\u0105 rol\u0119 Ministerstwa Cyfryzacji w weryfikacji spe\u0142niania wymog\u00f3w KSC przy sk\u0105pych \u015brodkach sankcyjnych \u2013 lista sankcji by\u0142a d\u0142uga, ale wobec OUK ma\u0142o skuteczna, szczeg\u00f3lnie por\u00f3wnuj\u0105c wysoko\u015b\u0107 poszczeg\u00f3lnych kar ze skal\u0105 dzia\u0142alno\u015bci. Czynnikiem, kt\u00f3ry niew\u0105tpliwie wp\u0142ywa na wzrost potrzeby zapewnienia wysokiego poziomu bezpiecze\u0144stwa s\u0105 coraz liczniejsze incydenty z zakresu cyberbezpiecze\u0144stwa, ale dzia\u0142anie ex post z pewno\u015bci\u0105 nie jest po\u017c\u0105dane w podej\u015bciu do bezpiecze\u0144stwa informacji. Zasadnicz\u0105 zmian\u0119 w podej\u015bciu do egzekwowania przepis\u00f3w niesie ze sob\u0105 NIS-2, z karami zbli\u017conymi do RODO. Nowelizacja KSC wydaje si\u0119 zmierza\u0107 w tym samym kierunku. Organy w\u0142a\u015bciwe zyskaj\u0105 zatem dobry argument do zapewnienia rzeczywistego stosowania przepis\u00f3w KSC.<\/p>\n Dostawca wysokiego ryzyka rzeczywi\u015bcie mo\u017ce by\u0107 niebezpieczny? Wydaje si\u0119, \u017ce mo\u017ce to prowadzi\u0107 do wykluczenia czy eliminacji bez wi\u0119kszych podstaw. <\/strong><\/p>\n Kontrowersyjn\u0105 kwesti\u0105 w\u0142\u0105czon\u0105 do KSC jest koncepcja dostawcy wysokiego ryzyka. Wydaje si\u0119, \u017ce rynek us\u0142ug cyberbezpiecze\u0144stwa doskonale zdaje sobie spraw\u0119 z tego, o jaki konkretnie podmiot chodzi. Podmiot ten do\u015bwiadcza problem\u00f3w i ogranicze\u0144 nie tylko w Polsce i jest to niezaprzeczalne. Czy zarzuty wobec tego producenta s\u0105 s\u0142uszne \u2013 trudno ocenia\u0107, jednak to, co mo\u017ce budzi\u0107 sprzeciw, to stworzenie mechanizmu eliminacji z rynku us\u0142ug cyberbezpiecze\u0144stwa podmiot\u00f3w niewygodnych. Mo\u017cna sobie wyobrazi\u0107, \u017ce przyczyny takiej eliminacji nie zawsze b\u0119d\u0105 jednoznaczne i uczciwe. W tym nale\u017cy upatrywa\u0107 g\u0142\u00f3wnego zagro\u017cenia dla proponowanego rozwi\u0105zania legislacyjnego.<\/p>\n Jak zapisy nowelizacji KSC mog\u0105 wp\u0142yn\u0105\u0107 na kwestie konkurencji na rynku?<\/strong><\/p>\n Nowelizacja KSC wprowadza rozwi\u0105zania, kt\u00f3re budz\u0105 wiele emocji. Chodzi g\u0142\u00f3wnie o operatora strategicznej sieci bezpiecze\u0144stwa. Z jednej strony dochodzi do koncentracji us\u0142ug z zakresu bezpiecze\u0144stwa w ramach jednego podmiotu, kt\u00f3remu nadaje si\u0119 znaczenie \u201eponadrynkowe\u201d, niezale\u017cne od konkurencji zar\u00f3wno na rynku us\u0142ug z zakresu cyberbezpiecze\u0144stwa, jak i telekomunikacyjnych. Podobne zarzuty pojawia\u0142y si\u0119 w przesz\u0142o\u015bci wobec podmiot\u00f3w pe\u0142ni\u0105cych szczeg\u00f3ln\u0105 rol\u0119 z punktu widzenia gospodarki, czy bezpiecze\u0144stwa, np. TP S.A., czy NASK, jednak te podmioty sta\u0142y si\u0119 naturalnymi monopolistami (by\u0107 mo\u017ce z wyj\u0105tkiem TP S A , kt\u00f3ra posiada\u0142a cz\u0119\u015bciowy monopol w zakresie po\u0142\u0105cze\u0144 jeszcze w latach 90-tych), natomiast tutaj mamy do czynienia z ustawowo narzuconym monopolem i niemal\u017ce wskazaniem wprost przez ustawodawc\u0119 podmiotu spe\u0142niaj\u0105cego kryteria wyboru. Z pewno\u015bci\u0105 nie wp\u0142ynie to dobrze na konkurencj\u0119, przy dodatkowym za\u0142o\u017ceniu, \u017ce taki podmiot konkuruje jednocze\u015bnie z innymi dostawcami us\u0142ug. Z drugiej natomiast strony potrzeba obs\u0142ugi strategicznej sieci bezpiecze\u0144stwa jest niew\u0105tpliwa.<\/p>\n Jak pan ocenia ten projekt?<\/strong><\/p>\n Mo\u017cna pokusi\u0107 si\u0119 o podsumowanie, \u017ce nowelizacja KSC z jednej strony zawiera ciekawe rozwi\u0105zania, jak centra wymiany informacji, certyfikacja, z drugiej zbyt mocno koncentruje si\u0119 na konkretnych podmiotach i to zar\u00f3wno w znaczeniu faworyzowania \u2013 operator strategicznej sieci bezpiecze\u0144stwa, jak i dyskryminowania \u2013 dostawca wysokiego ryzyka. Tymczasem podstawow\u0105 rol\u0105 KSC powinno by\u0107 zapewnienie skutecznej obrony cyberprzestrzeni RP, w tym polskich przedsi\u0119biorc\u00f3w, szczeg\u00f3lnie operator\u00f3w us\u0142ug kluczowych, z kt\u00f3rych korzysta ka\u017cdy obywatel.<\/p>\n