Zbliża się termin, w którym Polska musi wdrożyć w życie ważne regulacje dyrektywy NIS2. Ministerstwo Cyfryzacji zapowiada kontynuację publiczno-prywatnego partnerstwa na rzecz cyberbezpieczeństwa (PWCyber) po nowelizacji KSC. Jednak nie dla wszystkich. Czy to kolejna próba wykluczenia dostawców spoza NATO i UE?
We wrześniu Program Współpracy w Cyberbezpieczeństwie (PWCyber), realizowany przez Ministerstwo Cyfryzacji, powiększył się o kolejnego uczestnika. Przystąpiła do niego PKP Informatyka. Spółka dostarcza rozwiązania IT, wspiera przy tym transport kolejowy w transformacji cyfrowej. Posiada ona zespoły Security Operations Center (SOC – Centrum Operacji Cyberbezpieczeństwa) oraz Network Operations Center (NOC – Centrum Operacji Sieciowych), które wraz z zespołem CERT PKP Informatyka zajmują się kwestią bezpieczeństwa IT, a także rozwojem krajowego systemu cyberbezpieczeństwa.
Tym samym PWCyber powiększył się do 47 podmiotów. Jego celem jest wzmocnienie krajowego systemu cyberbezpieczeństwa. Tworzy on platformę współpracy, w ramach której firmy technologiczne, krajowe i zagraniczne, a także organizacje, dzielą się doświadczeniami związanymi z bezpieczeństwem cyfrowych procesów i podniesieniem świadomości użytkowników w zakresie zagrożeń cyfrowych. PWCyber funkcjonuje od 2019 r. i ma charakter partnerstwa publiczno-prywatnego.
Nie każdy może jednak dołączyć do tej inicjatywy. Jak wskazało Ministerstwo Cyfryzacji, „program ze względu na konieczność budowania zaufanych relacji z partnerami technologicznymi, równolegle do relacji z państwami, z których te firmy pochodzą, jest otwarty dla firm z państw: Unii Europejskiej, Organizacji Traktatu Północnoatlantyckiego oraz państw partnerskich NATO”. Mówił o tym również we wrześniowym wywiadzie dla Dziennika Gazety Prawnej Marcin Wysocki, zastępca dyrektora departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji. „Uczestnik programu nie może też być związany z krajami spoza UE i NATO” – dodał.
Jak wynikało z jego wypowiedzi, po nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa program będzie kontynuowany na tych samych zasadach.
Nowelizacja, o której mowa, jest sprawą pilną. Polska ma bowiem czas tylko do 17 października na wdrożenie regulacji dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, czyli NIS2 (dyrektywa NIS była pierwszym europejskim prawem w zakresie cyberbezpieczeństwa).
Jednym z punktów, nowej regulacji, jest wprowadzenie pojęcia dostawców wysokiego ryzyka, produktów lub usług. Decyzję o zaliczeniu do tego grona ma podejmować minister cyfryzacji, z urzędu lub na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa, czyli premiera. Przedmiotem publicznej dyskusji jest to, czy w tym gronie znajdą się firmy związane z Chinami. Jak widać, w taką stronę idzie już program PWCyber.
Problem polega na tym, że przede wszystkim, jak wskazują eksperci, zawarcie tego typu rozwiązania w przepisach wprowadzających NIS2 byłoby nadregulacją, Unia Europejska tego od Polski nie wymaga. Mogłoby być za to brzemienne w skutki.
Polska w ostatnim czasie nawiązała ważny dialog z Chinami dotyczący właśnie bezpieczeństwa, w kontekście wojny w Ukrainie. Był to, podobnie jak kwestie gospodarcze, kluczowy wątek czerwcowej wizyty prezydenta Andrzeja Dudy w Państwie Środka. Chodziło m.in. o wywarcie wpływu na Białoruś co do ograniczenia wojny hybrydowej, czyli podsyłania emigrantów na granicę z Polską.
Zasadniczo władze Chin mogą odegrać znaczącą rolę w działaniach na rzecz zakończenia wojny. Zyskiem dla nich byłby niezakłócany rozwój współpracy gospodarczej. Przedstawiciele Unii Europejskiej czy też bezpośrednio Niemiec nie ukrywają, że wojna i jej szerokie konsekwencje komplikują sytuację gospodarczą Europy, a w związku z tym i tak niełatwe rozmowy o wzajemnych relacjach z Chinami.
Chińczycy natomiast bardzo wyraźnie mówią m.in. w rozmowach z Unią i państwami członkowskimi o tym, że nie zgodzą się na jakąkolwiek dyskryminację. I tu pojawia się np. kwestia nowelizacji polskiej ustawy o krajowym systemie cyberbezpieczeństwa i dostawców z tego kraju. Jak wynika z nieoficjalnych informacji, Chińczycy zwrócili również uwagę na zakaz przystąpienia do programu PWCyber, który wprost został wyartykułowany całkiem niedawno.
Inna sprawa, że wprowadzenie na czas do polskiego systemu prawnego uregulowań dyrektywy NIS2, jak wskazują niektórzy eksperci, stoi pod znakiem zapytania. Wśród powodów jest wymieniana sprawa regulacji, które w niej przewidziano, choć nie było to konieczne.
Opóźnienie we wdrożeniu tak ważnych przepisów osłabiałoby pozycję Polski w przededniu objęcia prezydencji w UE. Sprawa ma też pierwszoplanowe znaczenia dla świata biznesu, tym bardziej że trwają prace nad Cyber Resilience Act (CRA). Podczas gdy NIS2 obejmuje kwestie bezpieczeństwa informatycznego podmiotów w kilkunastu różnych sektorach, CRA ma zapewnić bezpieczeństwo urządzeń z elementami cyfrowymi, zwłaszcza tych podłączonych do internetu, w tym internetu rzeczy (IoT). Przedsiębiorcy chcą wiedzieć, na czym stoją i na podstawie jakich regulacji mogą się rozwijać.