– Gdyby rządowi faktycznie zależało na uchwaleniu i wejściu w życie KSC, mógł to zrobić dwa lata temu i mógł to zrobić rok temu. Nie mamy pojęcia, dlaczego tak długo to trwało, i tylko rezygnacja z notyfikacji przepisów do KE dawała szansę, żeby się wyrobić w tej kadencji – mówi w rozmowie z DGP Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji.
Według niego są niewielkie szanse na przyjęcie ustawy o KSC przed wyborami. Jednocześnie podkreśla: – Niedobrze by było natomiast, gdyby utrzymywał się stan niepewności. Bo to nie jest tak, że nowelizacja KSC dopiero będzie miała wpływ na branżę telekomunikacyjną. Ona już ma wpływ. Gdy rządzący mówią o swoich zamiarach, to natychmiast wpływa na biznes, który słucha bardzo uważnie. Przez ostatnie trzy lata w izbie obserwowaliśmy, jak firmy intensywnie czytały kolejne stustronicowe edycje projektu – jest ich już chyba 13 – żeby przygotować się do wdrożenia nowych przepisów.
– Korzystne dla branży cyfrowej może być dopełnianie systemu kompleksowo podchodzącego do kwestii cyberbezpieczeństwa w Polsce. Dobrze oceniamy też podejście oparte na analizie ryzyka w miejsce szczegółowych wymogów, a także plany współpracy różnych podmiotów w tej dziedzinie. Nie jest to jednak ustawa, która wspiera operatorów – KSC raczej nakłada obowiązki. Trudno to więc nazwać ułatwieniem w prowadzeniu działalności gospodarczej. To jest obciążenie. Na przykład branża za nierealny uważa wymóg raportowania incydentów bezpieczeństwa w ciągu zaledwie 8 godzin, podczas gdy wszystkie inne podmioty mają na to 24 godziny – mówi prezes PIIT.
W ocenie Andrzeja Dulki branża czeka na KSC, ale bez entuzjazmu.– Rynek telekomunikacyjny w Polsce jest jednym z najbardziej konkurencyjnych w Europie. Do tego jest mocno regulowany – operatorzy uważają, że przeregulowany. Przede wszystkim biznes musi wiedzieć, w jakim otoczeniu prawnym działa, czego wymagają od niego regulatorzy.
O kwestii „KSC a NIS2” prezes PIIT mówi: kuriozalna. – Najpierw będzie się trzeba dostosować do przepisów obecnie procedowanej noweli KSC, a niedługo później do nowych wymagań wynikających z NIS2. W obecnym stanie prawnym wszystkie raporty są przesyłane przez operatorów do UKE. Projekt KSC zakłada powstanie sektorowego CSIRT Telco. Zapewne zostanie on zorganizowany w UKE pod koniec 2025 r. W międzyczasie incydenty bezpieczeństwa będzie trzeba zgłaszać do CSIRT NASK. To nie jest stabilna sytuacja. Takie rozedrganie w obszarze bezpieczeństwa, który powinien być szczególnie stabilny.
Zapytamy o stanowisko PIIT dotyczące poprawek do KSC wyjaśnia: – W pierwszej kolejności za słuszne uznalibyśmy usunięcie przepisów, które już w najbliższej przyszłości i tak będą musiały być zmienione, z uwagi właśnie na wdrożenie NIS2. Przede wszystkim dotyczy to fragmentarycznego włączenia telekomunikacji do krajowego systemu cyberbezpieczeństwa – w sytuacji, w której kompleksowe rozwiązanie przewiduje już dyrektywa. Nasza propozycja była jasna, wdrożenie EKŁE powinno bazować na rozwiązaniach z ustawy – Prawo telekomunikacyjne, a włączenie telekomunikacji i zmiany organizacji KSC powinny dokonać się w ramach kompleksowej transpozycji NIS2. Bardzo chętnie zaczniemy nad nimi pracę i dialog. W odniesieniu do KSC za dobre uważamy usunięcie na ostatniej prostej polecenia zabezpieczającego, czyli decyzji, w której nakazane mogły być takie zachowania jak zaprzestanie używania określonego sprzętu lub dokonanie określonych konfiguracji. Te zapisy rodziły bardzo duże ryzyko nagłej ingerencji w działalność operatorów, a także innych podmiotów krajowego systemu cyberbezpieczeństwa, bez wystarczającej refleksji nad skutkami.
Więcej w: Niczego nie da się przewidzieć (dostęp płatny)