Odpowiedni poziom zaufania czyli o pracach nad nowelizacją przepisów o cyberbezpieczeństwie

Zero Trust to koncepcja w cyberbezpieczeństwie, która zakłada, że nie uznaje się z góry za zaufane zasobów lub kont użytkowników wyłącznie na podstawie m.in. ich fizycznej lub sieciowej lokalizacji. Każdy dostęp do zasobu musi się wiązać zarówno z uwierzytelnieniem, czyli z weryfikacją tożsamości, jak i autoryzacją, czyli weryfikacją, czy dany użytkownik ma uprawnienia do takiego żądania.

Zero Trust
Szare, czyli białe, które ktoś nazwał czarnym
Państwo prawa nie może być bezbronne

Artykuł o chwytliwym tytule „Rewolwerowcy cyberbezpieczeństwa, czyli grożenie palcem trzymanym na cynglu” (DGP nr 33/2025) przedstawia ministra cyfryzacji i jego zespół jako urzędników zdeterminowanych w wyszukiwaniu i dodawaniu do projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa kolejnych obostrzeń i kar w związku z nierealizowaniem obowiązków z zakresu cyberbezpieczeństwa. Czy jednak to porównanie, kojarzące się z Dzikim Zachodem, jest trafne w kontekście obowiązków wynikających z prawa unijnego, które musi zostać wdrożone?

Zero Trust

Nad projektami aktów prawnych pracują przede wszystkim urzędnicy, o różnym profilu wykształcenia i doświadczenia. Są to w głównej mierze prawnicy, ale również inżynierowie, ekonomiści, eksperci, praktycy. Urzędnicy nie cieszą się wysokim poziomem zaufania publicznego. Jeszcze niżej w rankingach są ministrowie, a bliscy zamknięcia tabeli od dołu są politycy.

Natomiast nas wszystkich – uczestników debaty o projektowanym prawie – jako ludzi dotyczą tzw. błędy poznawcze i uproszczenia, tak niezbędne dla naszego codziennego, efektywnego funkcjonowania. Wszak nie każdą sprawę badamy i nie każdy pogląd wykuwamy za każdym razem, sięgając do materiałów źródłowych. W dyskursie publicznym, pracownik administracji publicznej czy minister zaczyna często na starcie z gorszej pozycji. Truizmem jest stwierdzenie, że zaufanie trudniej zdobyć, a znacznie łatwiej stracić.

Pozostając przy prawie i zaufaniu, jedną z zasad procesu cywilnego jest to, że ciężar udowodnienia faktu spoczywa na osobie, która z danego faktu wywodzić chce skutki prawne, np. potwierdzając skuteczne zawarcie umowy. Natomiast w prawie karnym zasadą jest domniemanie niewinności, następuje więc transfer ciężaru dowodowego na organy państwa, które muszą wykazać winę. Pozostaje pytanie, jakie domniemanie obowiązuje w ocenie kolejnych, publikowanych wersji procesowanej nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa?

Szare, czyli białe, które ktoś nazwał czarnym

Na podstawie samej dyrektywy unijnej, bez transpozycji do krajowego porządku prawnego nie można nałożyć kary na żadnego przedsiębiorcę z tytułu niewykonywania obowiązków opisanych w tym akcie prawnym. We wdrożeniu tzw. dyrektywy NIS 2 obowiązuje zasada harmonizacji minimalnej, czyli w uzasadnionych przypadkach jest możliwe np. wprowadzenie wyższych wymagań w prawie krajowym.

Sam projektodawca, którym jest minister cyfryzacji, wprowadził takich rozwiązań niewiele. Przykładem jest rozszerzone podejście do podmiotów publicznych względem NIS 2. Natomiast w dyskursie pomija się, że podmioty publiczne o zasięgu regionalnym lub lokalnym są obecnie podmiotami krajowego systemu cyberbezpieczeństwa i mają do nich zastosowanie wymogi określone w rozporządzeniu o Krajowych Ramach Interoperacyjności, więc ta zmiana wcale nie jest tak daleko idąca, na jaką jest kreowana.

Niestety, odbiegające od prawdy informacje są powielane w dyskursie oraz oznaczone jako „komentarz ekspercki”. Pomyłki, nieprawdziwe informacje i tzw. półprawdy – pomijające w komunikacji to, co jest naprawdę istotne – padają na żyzny grunt ograniczonego zaufania do instytucji publicznych.

Polska ma prawny obowiązek wdrożenia unijnego narzędzia ochrony krytycznych zasobów, tzw. Toolbox’a 5G, a okoliczności nietechniczne i strategiczne, np. prawodawstwo dotyczące ochrony danych osobowych lub możliwości ingerencji państwa w działalność dostawcy, wynikają wprost z dokumentów wypracowanych przez ekspertów ze wszystkich krajów członkowskich, Komisji Europejskiej oraz Europejskiej Agencji ds. Cyberbezpieczeństwa. Są również standardem w innych krajach – Polska jest jednym z ostatnich krajów, które nie wdrożyły Toolbox’a. Jest to zła sytuacja, w której nie ma skutecznych narzędzi chroniących bezpieczeństwo obywateli, jak i państwa jako całości, zarówno w aspekcie niezakłóconego działania sieci telekomunikacyjnych, jak i również potencjalnej utraty poufności danych w nich przetwarzanych.

W przypadku instytucji prawnych zawartych w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa jest wiele prawnych bezpieczników, zapewniających zgodne z prawem działanie organów administracji przy jednoczesnej gwarancji adekwatności oraz skuteczności. Np. polecenie zabezpieczające ma być wydawane w drodze decyzji, po najdalej idącej w reżimie ustawy kwalifikacji incydentu jako krytyczny, jak również po przeprowadzeniu wielowątkowej analizy przez ekspertów projektowanego nakazu.

Samo wprowadzenie ograniczenia ruchu sieciowego jest stosowane przez wiele podmiotów każdego dnia w związku z ograniczaniem ataków typu DDoS i nie jest to zamach na dostęp do otwartego internetu przez użytkowników. Na tę decyzję będzie można wnieść skargę do sądu, w wydłużonym względem ogólnym zasad, terminie dwumiesięcznym.

Państwo prawa nie może być bezbronne

Obstrukcja procesowania ustawy godzi w bezpieczeństwo nas wszystkich. Czy postulaty zmierzające do tego, że ustawa zawierać będzie rozwiązania, których w praktyce prawidłowe zastosowanie jest niewykonalne lub powodowałyby obstrukcję, powinny być uwzględnione? Jak choćby te zmierzające do niewdrażania prawa unijnego, np. komentarze krytykujące wprowadzenie możliwości zawieszenia działalności ze względu na niewykonywanie obowiązków z zakresu cyberbezpieczeństwa? Nie, nie powinny być uwzględniane i nie będą. Na każde inne w Ministerstwie Cyfryzacji jesteśmy otwarci w toku dalszego, transparentnego procesowania projektu ustawy. ©℗

Zaloguj się