Krajowy System Cyberbezpieczeństwa – zmiany w funkcjonowaniu i ich wpływ na rynek ICT

Wstęp

Nie ulega wątpliwości, że współcześnie tzw. domena cyber jest tym obszarem funkcjonowania państwa, który rozwija się niezwykle dynamicznie i zyskuje bezprecedensowe znaczenie dla funkcjonowania państwa we wszystkich niemal obszarach. Z perspektywy przedsiębiorców kluczowym rezultatem tego zjawiska jest rozwój technologiczny i powstawanie nowych specjalizacji lub branż, w tym w szczególności w obszarze szeroko rozumianego rynku tzw. technologii informacyjno-komunikacyjnych (ICT). Należy jednak pamiętać, że o ile awersem rozwoju technologicznego są szanse na dalszy rozwój gospodarczy, to rewersem są nieznane dotychczas wyzwania, wśród których szczególnie istotne pozostają kwestie cyberbezpieczeństwa. W okresie aktualnych napięć w stosunkach międzynarodowych kwestie te dodatkowo zyskują na znaczeniu. W rezultacie możemy spodziewać się, że w nadchodzących miesiącach polski prawodawca podejmie działania ukierunkowane na nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (dalej jako „UKSC”). Pierwsza próba została już podjęta kilka miesięcy temu, jednakże prace nad nowelizacją zostały przerwane z uwagi na zakończenie kadencji Sejmu. Można zakładać, że niezależnie od rozstrzygnięć politycznych wprowadzone zostaną istotne zmiany, które będą miały niewątpliwie duży wpływ na funkcjonowanie rynku, w tym także dla MŚP.

Definicja cyberbezpieczeństwa

W drugiej połowie września 2023 r. opublikowano informację, że rządowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw został wycofany z prac Sejmu, chociaż wpłynął do niego zaledwie 2 miesiące wcześniej. To zresztą nie jedyny taki przypadek w ostatnim czasie, a przyczyn należy upatrywać w zakończeniu prac Sejmu IX kadencji, co nastąpi w połowie października. Mając na uwadze, że najprawdopodobniej do tego momentu nie udałoby się rzetelnie przeprowadzić procesu prawodawczego dotyczącego tak istotnej sfery gospodarki, decyzja o wycofaniu projektu wydaje się rozsądna. Warto przy tym podkreślić, że z całą pewnością nie oznacza to decyzji o porzuceniu planów reformy krajowego systemu cyberbezpieczeństwa. Po pierwsze, problematyka ta znajduje się obecnie w centrum zainteresowania wielu państw UE, co ma bezpośredni związek z aktualną sytuacją geopolityczną oraz zapowiedziami instytucji UE o budowie strategicznej autonomii Unii na rynku ICT. Po drugie, omawiany w niniejszym artykule projekt opracowany został w szczególności w celu wykonania prawa Unii Europejskiej. Dlatego właśnie można zakładać, że nowelizacja UKSC jest niemal pewna. Oczywiście jest możliwe, że w szczegółach ostateczne rozwiązania będą różniły się od zaproponowanych w lipcu 2023 r., lecz zarazem jest wysoce prawdopodobne, że kierunek zmian pozostanie niezmieniony, co potwierdza kierunek zachodzących obecnie w UE procesów prawodawczych i politycznych dotyczących cyberbezpieczeństwa.

W pierwszej kolejności warto zwrócić uwagę, że zmianie ma zostać poddana definicja kluczowego pojęcia, jakim jest „cyberbezpieczeństwo”. Dotychczas rozumiano przez nie „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy”. Obecnie w ten sposób definiowane będzie bezpieczeństwo systemów informacyjnych, natomiast cyberbezpieczeństwo będzie rozumiane jako „działania niezbędne do ochrony systemów informacyjnych, użytkowników takich systemów oraz innych podmiotów przed cyberzagrożeniami”. Zmiana ta spowodowana jest potrzebą dostosowania terminologii przepisów krajowych do pojęć występujących w unijnym Akcie ws. Cyberbezpieczeństwa (COM/2017/0477 final/3). Można przyjąć, że nie zmieni to diametralnie interpretacji dotychczasowych reguł, ale ma pewien walor porządkujący i – jak się wydaje – przyczyni się do podniesienia przejrzystości przepisów krajowych.

Obowiązki przedsiębiorców ICT

Niewątpliwie z praktycznego punktu widzenia warto zwrócić uwagę na zaproponowane zmiany w katalogu obowiązków przedsiębiorców ICT. Mianowicie projekt nowelizacji zakładał ustanowienie nowego rozdziału 4a zatytułowanego „Zadania i obowiązki przedsiębiorców komunikacji elektronicznej w zakresie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów”. Planowane było wprowadzenie zobowiązania przedsiębiorców komunikacji elektronicznej do „uwzględniania możliwości wystąpienia sytuacji szczególnego zagrożenia” w celu zapewnienia ciągłości świadczenia usług komunikacji elektronicznej. Autorzy projektu wyjaśniali, że „przedsiębiorcy komunikacji elektronicznej będą obowiązani do prowadzenia systematycznego szacowania ryzyka wystąpienia sytuacji szczególnego zagrożenia (…). Po zidentyfikowaniu ryzyk będą obowiązani wdrożyć środki techniczne i organizacyjne zapewniające poufność, integralność, dostępność i autentyczność przetwarzanych danych, a także poziom bezpieczeństwa adekwatny do poziomu zidentyfikowanego ryzyka”.

Ponadto zakładano zobowiązanie przedsiębiorców komunikacji elektronicznej do organizowania personelu odpowiedzialnego za współpracę z organami administracji wyspecjalizowanymi w sprawach z zakresu cyberbezpieczeństwa, w tym w szczególności z Prezesem Urzędu Komunikacji Elektronicznej. Można spodziewać się, że organ ten zyska kompetencję do kontrolowania oraz oceny zastosowanych przez przedsiębiorcę komunikacji elektronicznej środków technicznych i organizacyjnych w celu realizacji wspomnianych powyżej obowiązków. Można przypuszczać, że w przypadku ponownego zainicjowania procesu legislacyjnego projektodawcy nie zrezygnują z przyznania Prezesowi UKE uprawnienia zakładającego, że w przypadku zidentyfikowania uzasadnionych wątpliwości co do stosowania przez przedsiębiorcę właściwych środków, organ ten będzie mógł nałożyć na przedsiębiorcę obowiązek:

1. właściwego zastosowania lub uzupełnienia środków technicznych lub organizacyjnych lub
2. poddania się, na własny koszt, audytowi bezpieczeństwa przeprowadzanemu przez wykwalifikowany, wybrany przez przedsiębiorcę komunikacji elektronicznej, niezależny podmiot i udostępnienia Prezesowi UKE wyników tego audytu.

Postępowanie w zw. z incydentami telekomunikacyjnymi

Projekt zakładał również uregulowanie sposobu działania, jaki powinni przyjmować przedsiębiorcy po wykryciu incydentu telekomunikacyjnego. W wyjaśnieniach zawartych w uzasadnieniu do projektu ustawy wskazano, iż „dla przykładu oznacza to, że dostawca usługi dostępu do Internetu będzie obowiązany zainterweniować, jeżeli np. z powodów technicznych nastąpi przerwa lub pogorszenie jakości świadczenia tej usługi. Oczywiście rodzaje podejmowanych działań w ramach obsługi incydentu telekomunikacyjnego będą się różniły w zależności od przyczyny incydentu telekomunikacyjnego czy sieci lub usług dotkniętych tym incydentem. Obowiązek ten zwiększy bezpieczeństwo świadczonych usług komunikacji elektronicznej”. 

Dodatkowo projektodawcy zakładali, że zgodnie ze znowelizowanymi przepisami UKSC przedsiębiorcy powinni realizować obowiązki informacyjne sprowadzające się do konieczności udostępniania na swojej stronie internetowej informacji wiadomości o:

1. potencjalnych zagrożeniach związanych z korzystaniem przez użytkowników z usług komunikacji elektronicznej;
2. rekomendowanych środkach ostrożności i najbardziej popularnych sposobach zabezpieczania telekomunikacyjnych urządzeń końcowych przed oprogramowaniem złośliwym lub szpiegującym;
3. przykładowych konsekwencjach braku lub nieodpowiedniego zabezpieczenia telekomunikacyjnych urządzeń końcowych.

Projekt zakładał przy tym, że w przypadku szczególnego i znacznego zagrożenia wystąpienia incydentu telekomunikacyjnego przedsiębiorca komunikacji elektronicznej byłby zobowiązany do poinformowania swoich użytkowników zagrożonych incydentem o możliwych do podjęcia środkach zapobiegawczych oraz o związanych z tym kosztach. Planowano również ustanowienie wyraźnego potwierdzenia, że w przypadku stwierdzenia przesyłania komunikatów elektronicznych zagrażających bezpieczeństwu sieci lub usług komunikacji elektronicznej, przedsiębiorca komunikacji elektronicznej, może zastosować środki polegające na:

1. zablokowaniu przesłania takiego komunikatu,
2. ograniczeniu albo przerwaniu świadczenia usługi komunikacji elektronicznej

– w zakresie niezbędnym dla zapobiegnięcia zagrożeniu i nie dłużej niż do czasu ustania przyczyny stwierdzenia zagrożenia.

Wydaje się, że wprowadzenie tych obowiązków zasadniczo nie odmieni sposobu funkcjonowania przedsiębiorców branży ICT, lecz niewątpliwie powinni oni być świadomi ich istnienia i przystosować do nich swoje postępowanie.

Krajowy system certyfikacji cyberbezpieczeństwa

Wśród rozwiązań, które można uznać za istotną nowość należy wymienić regulację Krajowego systemu certyfikacji cyberbezpieczeństwa (KSCC), który tworzyć ma minister ds. informatyzacji, Polskie Centrum Akredytacji, zainteresowane jednostki oceniające zgodność i przedsiębiorcy certyfikujący swoje produkty. Nadzór nad jego funkcjonowaniem sprawować miałby minister ds. informatyzacji, do którego zadań należałoby m.in.:

1. nadzorowanie jednostek certyfikacyjnych,
2. monitorowanie stosowania przepisów w zakresie dotyczącym KSCC,
3. kontrolowanie podmiotów KSCC,
4. rozpoznawanie skargi na jednostki oceniające zgodność w zakresie prowadzonych przez te jednostki działań związanych z certyfikacją cyberbezpieczeństwa,
5. prowadzenie postępowania w zakresie cofnięcia certyfikatu.

Postępowanie w sprawie uznania za dostawcę wysokiego ryzyka

Wśród projektowanych rozwiązań niewątpliwie najwięcej uwagi w dyskursie publicznym – z uwagi na szczególne znaczenie dla praktyki – przykładano do proponowanych przepisów dotyczących postępowania w sprawie uznania za dostawcę wysokiego ryzyka. Po pierwsze, wprowadzenie takiego szczególnego typu postępowania administracyjnego uzasadniane było potrzebą „ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego”. Powołanie się na te właśnie wartości nie jest przypadkowe, lecz służy uzasadnieniu wprowadzenia rozwiązań, które mogą istotnie ograniczać swobodę prowadzenia działalności gospodarczej. Zresztą projektodawcy wprost to przyznawali. Odwołując się do orzecznictwa Trybunału Konstytucyjnego (zob. wyroki K 10/97 oraz K 28/01) argumentowali w następujący sposób: „rezygnacja z niezbędnych środków kontroli przez państwo niektórych dziedzin gospodarki mogłaby doprowadzić do zagrożenia bezpieczeństwa państwa, porządku publicznego a także prawno-międzynarodowym zobowiązaniom państwa (…) Opierając się na powyższych przesłankach, projektodawca proponuje wprowadzenie mechanizmu pozwalającego na uznanie określonego dostawcy sprzętu lub oprogramowania dla szczególnego rodzaju podmiotów gospodarczych i społecznych, za dostawcę wysokiego ryzyka. Wskazane w decyzji zakresy produktów ICT, rodzaje usług ICT lub konkretne procesy ICT pochodzące od dostawcy wysokiego ryzyka, będą musiały być wycofane z tych podmiotów. Rozwiązanie to ma na celu zapewnienie ochrony ważnego interesu państwowego w postaci bezpieczeństwa państwa”.

Postępowanie w sprawie uznania dostawcy za dostawcę wysokiego ryzyka miałoby być wszczynane przez ministra ds. informatyzacji z urzędu lub na wniosek przewodniczącego specjalnego Kolegium, które w projekcie pełniło funkcję organu opiniodawczo-doradczego w sprawach cyberbezpieczeństwa, działającego przy Radzie Ministrów. Postępowanie dotyczyłoby dostawców tych usług, produktów lub procesów ICT, które są wykorzystywane przez:

1. podmioty krajowego systemu cyberbezpieczeństwa wskazane w ustawie, (tj. o których mowa w art. 4 pkt 1 i 2 oraz 3–20 UKSC w brzmieniu po spodziewanej nowelizacji,
2. przedsiębiorców komunikacji elektronicznej obowiązanych posiadać aktualne i uzgodnione oraz wprowadzone do stosowania plany działań w sytuacji szczególnego zagrożenia,
3. właścicieli lub posiadaczy obiektów, instalacji lub urządzeń infrastruktury krytycznej.

Przed rozstrzygnięciem postępowania w sprawie uznania za dostawcę wysokiego ryzyka minister właściwy ds. informatyzacji byłby zobowiązany do zasięgnięcia opinii ww. Kolegium, które zobowiązane jest przekazać ją w terminie 3 miesięcy. Opinia ta powinna w sposób kompleksowy określać kluczowe z punktu widzenia cyberbezpieczeństwa aspekty funkcjonowania weryfikowanego przedsiębiorcy. Mianowicie opinia powinna zawierać analizę:

1. zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania, z uwzględnieniem informacji o zagrożeniach uzyskanych od państw członkowskich lub organów UE lub NATO;
2. prawdopodobieństwa z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium UE lub NATO;
3. trybu, zakresu i rodzaju powiązań dostawcy sprzętu lub oprogramowania z podmiotami określonymi w unijnym rozporządzeniu ws. środków ograniczających w celu zwalczania cyberataków zagrażających Unii lub jej państwom członkowskim (tj. rozporządzeniu 2019/796);
4. liczby i rodzajów wykrytych podatności i incydentów dotyczących typów produktów ICT lub rodzajów usług ICT lub konkretnych procesów ICT dostarczanych przez dostawcę sprzętu lub oprogramowania oraz sposobu i czasu ich eliminowania;
5. trybu i zakresu, w jakim dostawca sprzętu lub oprogramowania sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania dla wspomnianych wcześniej podmiotów będących odbiorcami produktów, usług lub procesów ICT, w szczególności zarządzających infrastrukturą krytyczną;
6. treści wydanych rekomendacji Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa dotyczących sprzętu lub oprogramowania danego dostawcy.

Poważne konsekwencje uznania za dostawcę wysokiego ryzyka

Jeżeli minister prowadzący postępowanie ustaliłby, że badany dostawca stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi, wówczas w drodze decyzji administracyjnej powinien uznać takiego dostawcę za dostawcę wysokiego ryzyka. W takiej decyzji minister będzie również wskazywał typy pochodzących od dostawcy produktów, rodzajów usług lub konkretnych procesów ICT, które uwzględniano w postępowaniu. Przedsiębiorcy uznanemu za dostawcę wysokiego ryzyka miałyby przysługiwać środki ochrony prawnej w postaci skargi do sądu administracyjnego. Nie zmienia to jednak faktu, że decyzji planowano nadać rygor natychmiastowego wykonania, a wynikające z tego konsekwencje gospodarcze są przecież bardzo poważne i dotyczą nie tylko samego dostawcy, ale również jego klientów.

Mianowicie w przypadku decyzji w zasadzie niemożliwe, a co najmniej bardzo utrudnione, stawałoby się wprowadzanie do użytkowania typów produktów, usług i konkretnych procesów ICT w zakresie objętym decyzją, dostarczanych przez dostawcę wysokiego ryzyka. Co jeszcze istotniejsze, kluczowi uczestnicy krajowego systemu cyberbezpieczeństwa mieli być zobowiązani do wycofania z użytkowania takich produktów, usług i procesów ICT (w zakresie objętym decyzją). To niewątpliwie bardzo radykalne rozwiązanie, dlatego złagodzono je poprzez rozłożenie obowiązku wycofania w czasie. W uzasadnieniu do projektu ustawy potwierdzono, że nie zakłada się stworzenia „mechanizmu nakazującego natychmiastowe wycofanie sprzętu lub oprogramowania wskazanego w ocenie ryzyka dostawców. Podmioty krajowego systemu cyberbezpieczeństwa, w tym operatorzy usług kluczowych, czy przedsiębiorcy telekomunikacyjni, zostaną zobowiązani do wycofania danego sprzętu lub oprogramowania w określonym czasie. W proponowanych przepisach jest mowa o 5-7 latach. Termin ten jest często uznawany za średni okres użytkowania sprzętu lub oprogramowania, czyli tzw. cykl życia urządzenia”. Zarazem projektowane przepisy przewidywały, że do czasu skutecznego wycofania sprzętu lub oprogramowania dopuszczalne będzie ich użytkowanie wyłącznie w zakresie naprawy, modernizacji, wymiany elementu lub aktualizacji, i to jedynie w przypadku, gdy okaże się to niezbędne dla zapewnienia odpowiedniej jakości i ciągłości świadczonych usług.

Wpływ na zamówienia publiczne

Wydanie opisanej wcześniej decyzji o uznaniu przedsiębiorcy za dostawcę wysokiego ryzyka bardzo istotnie wpływałoby również na funkcjonowanie rynku zamówień publicznych. Podmioty krajowego systemu cyberbezpieczeństwa, w tym operatorzy usług kluczowych, czy przedsiębiorcy telekomunikacyjni, którzy posiadają status zamawiającego w rozumieniu ustawy z dnia 11 września 2019 r. – Prawo zamówień publicznych nie mogliby w świetle projektu nowelizacji nabywać sprzętu, oprogramowania i usług określonych w decyzji. Jeśli natomiast zostałyby one zakupione jeszcze przed ogłoszeniem lub udostępnieniem decyzji, wówczas taki sprzęt lub oprogramowanie podlegałyby obowiązkowemu wycofaniu
z użytkowania we wskazanych wcześniej terminach. Projekt ustawy zakładał nawet uchwalenie nowej podstawy odrzucania ofert w postępowaniu o udzielenie zamówienia publicznego. Mianowicie zakładano, że zamawiający będą zobowiązani do odrzucania ofert obejmujących produkt, usługę lub proces ICT określone w decyzji w sprawie uznania dostawcy za dostawcę wysokiego ryzyka.

Znaczenie nowych przepisów dla MŚP

Jak już wspomniano, aktualnie projekt nowelizacji został wycofany z prac sejmowych, jednakże z pewnością próba zmiany przepisów UKSC zostanie niebawem podjęta. Za prawdopodobne można uznać, że kierunek zmian będzie analogiczny do omówionego powyżej. Może się okazać, że będą one tożsame również w kwestiach szczegółowych – warto podkreślić, że w procesie projektodawczym deklarowano, że proponowane rozwiązania są wzorowane na unijnym zestawie środków dla cyberbezpieczeństwa sieci 5G (tzw. Toolbox 5G), co uzasadnia przypuszczenie, że Sejm X kadencji będzie pracował nad projektem bardzo podobnym do omawianego w niniejszym tekście. Dlatego warto w tym miejscu zwrócić uwagę, że wprowadzenie omawianych rozwiązań, w tym w szczególności instytucji uznania za dostawcę wysokiego ryzyka, będzie istotnie wpływało na wszystkich uczestników rynku ICT, w tym w szczególności na MŚP. Niejednokrotnie zdarza się, że występują one w roli tzw. pośredników, tj. dystrybutorów określonych produktów, usług lub procesów ICT. Jeśli minister w drodze ww. decyzji uzna, że ich producent jest dostawcą wysokiego ryzyka, wówczas konsekwencje takiego rozstrzygnięcia poniosą również dystrybutorzy. Z opisanych powyżej proponowanych rozwiązań wynika, że zarówno producenci objęci decyzją, jak i dystrybutorzy będą w istocie eliminowani z rynku zamówień publicznych, a udzielone wcześniej zamówienia najprawdopodobniej nie będą mogły zostać dokończone. Raz jeszcze warto podkreślić, że ryzyko wystąpienia tak poważnych dolegliwości gospodarczych urzeczywistniałoby się już w momencie wydania decyzji przez ministra, a nie po wyroku w postępowaniu sądowo-administracyjnym zainicjowanym ewentualną skargą przedsiębiorcy uznanego za dostawcę wysokiego ryzyka. Wobec tego warto rekomendować, by po spodziewanym uchwaleniu i wejściu w życie analizowanych rozwiązań, brali je pod uwagę, przy szacowaniu ryzyka gospodarczego związanego z prowadzoną działalnością. Jego zignorowanie i podejmowanie współpracy z przedsiębiorcami, co do których występuje ryzyko choćby wszczęcia postępowania przez ministra, może mieć bowiem bardzo poważne konsekwencje gospodarcze.

Truizmem jest stwierdzenie, że efektywne prowadzenie działalności gospodarczej zależy współcześnie od zdolności do możliwie szybkiego pozyskiwania i sprawnego wykorzystywania informacji. Jest to jeszcze bardziej oczywiste i niejako z definicji dotyczy to w sposób szczególny rynku technologii informacyjno-komunikacyjnych. Dlatego warto zaakcentować, że spodziewane rozwiązania nie tylko doprecyzują ramy prowadzenia działalności gospodarczej na rynku ICT, ale również wprowadzą nowe obowiązki przedsiębiorców komunikacyjnych. Wydaje się, że nowe zadania dotyczące postępowania z incydentami telekomunikacyjnymi czy współpracy z odpowiednimi organami administracji nie powinny stanowić utrudnienia. By jednak rzeczywiście nie stały się źródłem uciążliwości, przedsiębiorcy powinni już teraz zdobywać wiedze na ich temat przygotowując się na nadchodzące zmiany.

dr Jarosław Kola

counsel WKB Wierciński, Kwieciński, Baehr