Ustawa o krajowym systemie cyberbezpieczeństwa jest potrzebna. Chodzi o to, by był to akt prawny odpowiadający na współczesne wyzwania – oceniają uczestnicy debaty DGP
Projekt ustawy o krajowym systemie cyberbezpieczeństwa zdaniem wielu ma służyć jednemu: wykluczeniu Huaweia z polskiego rynku. Czy rzeczywiście znaczenie tego szykowanego aktu prawnego jest takie?
Robert Siwik: Nie, to byłoby zbyt duże uproszczenie. Aczkolwiek rzeczywiście jeśli ustawa wejdzie w życie w takim kształcie, w jakim zaproponowało Ministerstwo Cyfryzacji, uzasadniony byłby zarzut, że chodzi o wykluczenie niektórych firm, w szczególności wspomnianej przez pana. Generalnie mówimy o obszernym akcie prawnym, który ma wprowadzić zestaw środków zabezpieczających na poziomie strategicznym i technicznym polskie cyberbezpieczeństwo. Czy tak się stanie? Pierwsze opinie ekspertów są takie, iż projekt nowelizacji zawiera bardzo dużo niemierzalnych i mało obiektywnych kryteriów oceny dostawców sprzętu i oprogramowania. Przedsiębiorcy mają być klasyfikowani w ramach oceny ryzyka, ale wydaje się, że ta ocena może być kontrowersyjna.
Piotr Mieczkowski: Jakie bowiem bezpośrednie przełożenie ma praworządność w danym państwie na cyberbezpieczeństwo w Polsce? Tego projektodawca nie wyjaśnia. Niestety nie podążamy utartymi już ścieżkami, które się sprawdzają. Przykładowo Wielka Brytania podjęła decyzję, że do 2028 r. część sprzętu powinna zniknąć z tamtejszych sieci telekomunikacyjnych. Zrobiono to po merytorycznej debacie na temat klasyfikacji elementów sieciowych, analizując, czy dany sprzęt może być np. w bazie wojskowej, czy w domu. Podobnie podeszły do tematu Niemcy. Dokonano analizy bezpieczeństwa i przyjęto rozwiązania mające ograniczyć ryzyka. W Polsce takiej debaty w ogóle nie ma. Z samego projektu ustawy o krajowym systemie cyberbezpieczeństwa oraz uzasadnienia niewiele się dowiadujemy. To niestety wzmacnia przekonanie, że chodzi wyłącznie o decyzje polityczne, a nie merytoryczne.
Radosław Płonka: Projekt ustawy wpisuje się w niebezpieczny, ale niestety już też występujący w Polsce trend. To znaczy prawo jest tworzone bez głębszego zastanowienia, bez rzetelnej analizy, z pozornymi tylko konsultacjami. Na przykładzie projektu ustawy o krajowym systemie cyberbezpieczeństwa doskonale widzimy, że politycy mają swoją wizję, swój cel do zrealizowania, i nic innego ich nie obchodzi. A zarazem projektodawca nie potrafi rzetelnie przedstawić w uzasadnieniu, dlaczego podejmuje pewne decyzje. Obawiam się, że ustawa nie poprawi polskiego cyberbezpieczeństwa. I rzeczywiście może chodzić o wykluczenie konkretnego podmiotu z rynku, co z kolei będzie miało istotne konsekwencje dla wielu innych przedsiębiorców.
Projekt przewiduje, że operatorzy budujący sieci telekomunikacyjne nie będą mogli zaopatrywać się u dostawców uznanych za firmy wysokiego lub umiarkowanego ryzyka. A wśród czynników decydujących o poziomie ryzyka znalazło się „prawodawstwo w zakresie ochrony praw obywatelskich i praw człowieka w państwie dostawcy”. Słuszne kryterium?
Jarosław Tworóg: To niestety stricte polityczna sprawa. Z całą pewnością nie chodzi tu ani o ochronę praw człowieka, ani o zwiększenie cyberbezpieczeństwa. Wpisujemy się w pewien globalny konflikt i opowiadamy się po stronie USA w starciu z Chinami. Uważam, że polskie władze nie do końca wiedzą, jak to robić. Chcą wesprzeć swojego silnego sojusznika. Niestety cierpi na tym cyberbezpieczeństwo, gdyż wszelkie realne kwestie są nadmiernie upraszczane. Mieszane są pojęcia, brakuje odpowiedzi na to, na co naprawdę ustawodawca powinien odpowiedzieć. Obawiam się więc, że tu wcale nie chodzi ani o elektronikę, ani o cyberbezpieczeństwo.