Związek Cyfrowa Polska pozytywnie ocenia ogólny cel zmian i większość zaproponowanych rozwiązań w projekcie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. W stanowisku przesłanym do resortu cyfryzacji apeluje o jak najszybsze procedowanie ustawy. Wnosi również o doprecyzowanie niektórych przepisów tak, aby uniknąć niepotrzebnych nadregulacji.
W przesłanym stanowisku czytamy, że branża cyfrowa pozytywnie odnosi się do większości zaproponowanych rozwiązań i wnosi o ich jak najszybsze procedowanie. „Uważamy, że niezwłoczne przyjęcie proponowanych przepisów jest niezbędne ze względu na skalę cyberzagrożeń, zwłaszcza w kontekście geopolitycznej sytuacji Polski” – piszą autorzy stanowiska.
Niektóre przepisy wymagają jednak doprecyzowania. Eksperci Cyfrowej Polski zwracają uwagę, że brzemiennie niektórych zapisów jest niejasne i obawiają się, że mogą być one intepretowane w różny sposób, co może doprowadzić do nadregulacji. Chodzi między innymi o zakres uprawnień egzekucyjnych, nadawanych urzędom. Organizacja ocenia, że zbyt szeroki ich zakres może prowadzić do nadmiernej ingerencji w działalność kluczowych podmiotów na scenie cyfrowej, a przez to do destabilizacji ich funkcjonowania.
Problem może stanowić także czas reakcji przedsiębiorców na zagrożenia. Zgodnie z obecnym zapisem, podmioty kluczowe będą miały 24 godziny na zgłoszenie zagrożenia, a przedsiębiorcy komunikacji elektronicznej – tylko 12 godzin od momentu jego wykrycia. „Termin 12 godzin jest ekstremalnie krótki, przy uwzględnieniu warunków pracy przedsiębiorcy” – oceniają eksperci, i apelują o wydłużenie czasu reakcji do 24 godzin.
Związek zwraca też uwagę na kwestię kar. w jego opinii ich wysokość moze być nieproporcjonalne w stosunku do naruszeń. Wysokie kary za nieznaczne uchybienia mogą prowadzić do nadmiernej represji i nieproporcjonalnego obciążenia podmiotów kluczowych lub ważnych. Ponadto przyznanie organom władzy
możliwości nakładania wysokich kar oraz decydowania o zawieszeniu lub cofnięciu licencji może prowadzić do ryzyka arbitralności i nadużycia władzy
Eksperci w swojej opinii odnoszą się także do kwestii dotyczących tzw. dostawców wysokiego ryzyka (DWR), czyli podmiotów, które mogłyby w sposób nieuprawniony administrować danymi lub inaczej oddziaływać na bezpieczeństwo i stabilność sieci. To szczególnie istotne w momencie wojny za wschodnią granicą i pojawiających się licznych zagrożeń o charakterze hybrydowym.
Związek Cyfrowa Polska uważa to za wysoki priorytet i proponuje skrócenie terminu wycofania sprzętu od dostawców wysokiego ryzyka, zwłaszcza w tak wrażliwych miejscach jak bazy wojskowe, instalacje militarne oraz budynki administracji publicznej.
– Chcielibyśmy wnioskować o skrócenie terminu i rozróżnienie warunków dla infrastruktury krytycznej. Wnioskujemy o wycofanie sprzętu HRV (dostawców wysokiego ryzyka) w ciągu: (i) 1 roku dla infrastruktury krytycznej w geograficznie wrażliwych obszarach (np. bazy wojskowe, instalacja militarne/ NATO, budynki administracji publicznej)i (ii) w ciągu 3 lat dla pozostałej infrastruktury krytycznej proporcjonalnie w każdym roku, z uwzględnieniem pierwszeństwa obszarów o największej gęstości zaludnienia – apeluje Związek cyfrowa Poslka.
