Debata na temat systemu cyberbezpieczeństwa toczy się w środowisku od lat. Ministerstwo Cyfryzacji, niezależnie od obsady kierownictwa resortu, forsuje niezwykłe rozwiązanie prawne, które pozwala indywidualną decyzją ministra cyfryzacji wykluczyć tzw. komponent ICT z rynku. Każda spółka, każdy urząd będą zobowiązane do wykluczenia wszystkich urządzeń podłączonych do Internetu – anten, podzespołów, komputerów czy oprogramowania – z funkcjonowania w newralgicznych sektorach polskiej gospodarki. Sam pomysł nie wydaje się specjalnie kontrowersyjny, przecież musimy uniemożliwić obcym państwom wpływ na funkcjonowanie naszego kraju. Jednak czy jesteśmy gotowi zrezygnować z nowoczesnej technologii tylko dlatego, że została wyprodukowana poza UE?
Ograniczenia i wątpliwości europejskie
Propozycja nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa przedstawiona przez Ministerstwo Cyfryzacji ma na celu implementację Dyrektywy NIS2. Jest to unijny akt prawny, który wprowadza jednolite ramy bezpieczeństwa w cyberprzestrzeni w tzw. sektorach ważnych i kluczowych dla zapewnienia ciągłości funkcjonowania polskiej i europejskiej gospodarki. Najbardziej kontrowersyjnym elementem zaproponowanej zmiany jest instytucja dostawców wysokiego ryzyka – zgodnie z projektem podmioty ważne i kluczowe będą musiały pozbyć się wszelkich komponentów ICT, które pochodzą od podmiotu uznanego za takiego dostawcę. Co istotne, minister cyfryzacji, który może wydać tego rodzaju decyzję, ma kierować się nie tylko technicznymi parametrami, które wiążą się z bezpieczeństwem, lecz także kryteriami pozatechnicznymi, takimi jak np. państwo pochodzenia dostawcy. Wydaje nam się to intuicyjne – przecież naturalnie istnieją „ryzykowne” z naszej perspektywy państwa, które mogą wpływać na nasze (cyber)bezpieczeństwo.
Co jednak istotne z perspektywy procesu legislacyjnego, choć procedura ta znalazła się w naszej lokalnej implementacji Dyrektywy NIS2, to w żadnej mierze z niej nie wynika. Umieszczenie jej w polskiej ustawie to tzw. goldplating (pozłacanie), które polega na „dokładaniu” dodatkowych obowiązków w ustawach transponujących do polskiego porządku prawnego regulacje europejskie. Warto wskazać, iż choć jest to zjawisko niepożądane – jako tworzące gospodarczą „Europę wielu prędkości”, gdzie jednolity rynek europejski spotyka krajowe bariery regulacyjne – to per se nie jest zakazane. W szczególności sama Dyrektywa NIS2 wskazuje, że państwa członkowskie mogą przewidzieć dodatkowe, dalej idące regulacje w zakresie cyberbezpieczeństwa.
Niemniej choć wprowadzenie dodatkowych regulacji względem przepisów europejskich nie jest zakazane, to zaznaczyć trzeba, że istnieją istotne ograniczenia w tym, jak państwo członkowskie UE może wprowadzać bariery na jednolitym rynku europejskim. Po pierwsze podkreślić należy, że krajowe ograniczenia dotyczące wprowadzania produktów na rynek europejski lub tzw. usług społeczeństwa informacyjnego (a więc, kolokwialnie rzecz ujmując, usług świadczonych przez internet) muszą być notyfikowane w Komisji Europejskiej na etapie projektu (zanim przyjmie je parlament), a po notyfikacji prace nad nimi powinny zostać wstrzymane na co najmniej trzy miesiące, by dać Komisji i innym państwom czas na zapoznanie się z nimi i zgłoszenie ewentualnych uwag. Co w tym wypadku kluczowe, to skutki braku notyfikacji i naruszenia trzymiesięcznego okresu zwanego „standstillem” – przepisy nienotyfikowane, które notyfikowane być powinny, nie mogą w żaden sposób być stosowane wobec przedsiębiorców. Takie nienotyfikowane przepisy mogą też być źródłem kosztów dla Skarbu Państwa, jako że osoby fizyczne i prawne, które poniosły koszty w związku z wprowadzeniem krajowych przepisów, mogą ubiegać się o odszkodowanie za tzw. bezprawie legislacyjne.
Obecnie Ministerstwo Cyfryzacji nie przewiduje dokonania notyfikacji w zakresie projektowanej nowelizacji ustawy o KSC, mimo że nie ulega wątpliwości, iż przepisy dotyczące dostawców wysokiego ryzyka spełniają definicję przepisów technicznych, które muszą być notyfikowane. Skutki takiej decyzji mogą być niezwykle istotne – pamiętamy wszyscy historię braku notyfikacji ustawy hazardowej dotyczącej jednorękich bandytów i absolutny chaos prawny w tym zakresie, który odczuwamy do dziś.
Toolbox jako listek figowy
Niemniej na obronę Ministerstwa Cyfryzacji wskazać należy, że instytucja dostawców wysokiego ryzyka, choć nieobecna w żadnym akcie normatywnym, który obecnie obowiązuje w Unii Europejskiej, pojawia się w dokumentach unijnych. Chodzi o tzw. Toolbox 5G, a więc wytyczne wydane przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), które zawierają wskazówki i najlepsze praktyki dla zapewnienia bezpieczeństwa krytycznych, najbardziej istotnych funkcji związanych z działaniem sieci 5G. Nie są one aktem prawnym, więc nie mają mocy wiążącej, są jednak istotną wskazówką przy tworzeniu krajowych ram cyberbezpieczeństwa.
Czym jednak różni się procedura dostawców wysokiego ryzyka od propozycji zawartych w Toolboksie 5G? Po pierwsze, swoim zakresem. Toolbox 5G nakazuje brać pod uwagę przy ocenie ryzyka czynniki pozatechniczne tylko w przypadku niektórych elementów infrastruktury zapewniającej funkcjonowanie sieci 5G – tj. elementów krytycznych. W przypadku przepisów zaproponowanych przez Ministerstwo Cyfryzacji takiego ograniczenia nie ma – każdy dostawca, bez względu na to jakie produkty oferuje, może zostać uznany za dostawcę wysokiego ryzyka, niezależnie od tego czy sprzedaje elektroniczne nianie, czy też części systemu 5G.
Propozycja Ministerstwa Cyfryzacji wykracza więc daleko poza ów europejski listek figowy, jakim jest Toolbox 5G. To jednak nie wszystko – wskutek uwzględnienia uwag niektórych środowisk podejście wynikające z projektu polskich przepisów ma być naturalnie rozszerzone także na sieci starszej generacji. Wynika to z faktu, że choć przepisy w żaden sposób nie ograniczają możliwości uznania podmiotu za dostawcę wysokiego ryzyka, to projektodawca zdecydował się na wskazanie w załączniku do projektu kluczowych usług, które w naturalny sposób będą przedmiotem obserwacji Ministerstwa Cyfryzacji. W toku prac nad projektem z owego załącznika wskazano, że taką usługą jest nie tylko „5G Radio Base Station Baseband Unit oraz inne funkcje”, lecz także anteny stacji bazowych, co oznacza stosowanie ich również do sieci starszych generacji. Widać więc wyraźnie, że listek figowy będący źródłem tych regulacji jest zdecydowanie zbyt mały, by przykryć daleko sięgające plany ministerstwa.
Ustawa sprzeczna z unijnym rozporządzeniem
Nie należy także zapominać, że system prawny jest właśnie systemem, składa się z wielu elementów, które powinny ze sobą współgrać. W tym kontekście warto zauważyć, że samo Ministerstwo Cyfryzacji proceduje równolegle dwie ustawy – nowelizację ustawy o KSC, jak i siostrzaną ustawę o certyfikacji cyberbezpieczeństwa. Certyfikacja cyberbezpieczeństwa polega na sprawdzeniu danego produktu pod kątem jego „szczelności”, czy nie umożliwia on wycieku danych, czy jest odpowiednio zabezpieczony przed zewnętrzną ingerencją, czy może podlegać zmanipulowaniu. Jest to, nomen omen, „certyfikat jakości”, który świadczy o tym, że konstrukcja i zasady funkcjonowania danego komponentu ICT dają gwarancję, iż nie generuje on ryzyka przez złe jego zaprojektowanie.
Podejście oparte na certyfikacji jest ewidentnym trendem, który ma swoje źródła zarówno w realiach gospodarczych, jak i unijnych przepisach prawnych. Komponenty ICT odgrywają coraz większą rolę w naszym życiu, będąc wykorzystywane w coraz to nowych obszarach. Podejście oparte na certyfikacji odpowiada na ten wzrost, dając bezpieczny punkt odniesienia dla użytkowników produktów. Zjawisko to ma także swoje odbicie w prawie. Już obecnie prawo unijne przewiduje certyfikację cyberbezpieczeństwa, a podejście to jest rozwijane w jednym z kluczowych nowych aktów unijnych – Cyber Resilience Act (CRA). Rozporządzenie jest na ostatnim etapie prac legislacyjnych (być może zostanie sfinalizowane podczas polskiej prezydencji w Radzie UE) i ustanawia zasadnicze ramy tego, jak produkty ICT mają uzyskiwać certyfikat bezpieczeństwa.
Zaproponowana przez Ministerstwo Cyfryzacji procedura uznania za dostawcę wysokiego ryzyka jest wprost sprzeczna z projektowanym rozporządzeniem CRA. Wynika to z faktu, że CRA wyraźnie wskazuje, iż państwa członkowskie nie mogą utrudniać udostępniania na rynku produktów z elementami cyfrowymi zgodnych z CRA (art. 4), a także wprowadza domniemanie, iż produkt jest bezpieczny, o ile producent stosuje wskazane w rozporządzeniu procedury i normy (art. 18). Co więcej, CRA przewiduje, że w przypadku gdy istnieje ryzyko cyberzagrożenia generowane przez produkt certyfikowany, zastosowana musi zostać specjalna procedura nakazująca producentowi podjęcie działań naprawczych, a dopiero po ich nieskuteczności możliwe jest wykluczenie produktów z rynku (art. 46). Rząd jednak wydaje się udawać, że nie widzi tych rozwiązań.
Nie wylać dziecka z kąpielą
Nie ulega wątpliwości, że w obecnej sytuacji geopolitycznej cyberbezpieczeństwo musi być priorytetem Polski. Warto jednak podkreślić, że nie jesteśmy samotną wyspą, a wspólną przestrzeń cyberbezpieczeństwa należy budować ramię w ramię z europejskimi partnerami. W związku z tym musimy liczyć wspólnie, że polski ustawodawca, mając świadomość wyzwań cyberbezpieczeństwa, nie wyleje dziecka z kąpielą, przekreślając wspólne europejskie podejście oparte na certyfikacji i twardych, technicznych dowodach. Granie wbrew europejskiej drużynie może kosztować nas – dosłownie i w przenośni – wiele.