Ministerstwo Cyfryzacji opublikowało informacje dotyczące dostawców wysokiego ryzyka (DWR), o których mówi projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Resort twierdzi, że to w celu ostrzeżenia przed dezinformacjami na ten temat i dlatego postanowił przybliżyć regulacje i procedury dotyczące DWR.
– W dobie rosnących cyberzagrożeń kluczowe jest, aby informacje dotyczące dostawców wysokiego ryzyka były rzetelne i oparte na faktach. Wspólnie zadbajmy o bezpieczeństwo cyfrowe Polski, opierając się na oficjalnych źródłach i wiarygodnych informacjach – podkreśla wiceminister cyfryzacji Paweł Olszewski.
Resort przypomina, że zapisy o dostawcach wysokiego ryzyka mają eliminować z użycia niebezpieczny sprzęt i usługi z kluczowych dla funkcjonowania państwa systemów informatycznych.
Przedsiębiorca, wobec którego zostałaby wydana decyzja ministra cyfryzacji, byłby uznany za dostawcę wysokiego ryzyka. W rezultacie, podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do swoich systemów określonych typów produktów ICT, rodzajów usług ICT, ani konkretnych procesów ICT od takiego dostawcy.
Zobowiązuje to te podmioty do wycofania z użycia sprzętu w ciągu 7 lub 4 lat, co zazwyczaj pokrywa się z cyklem życia tych urządzeń.
Według ministerstwa, to ważne, bo obecnie nie istnieją środki prawne umożliwiające nakazanie wycofywania z eksploatacji produktów ICT, usług ICT i procesów ICT zagrażających bezpieczeństwu kluczowych podmiotów w Polsce. Jednocześnie Polska w dalszym ciągu nie wdrożyła unijnego zestawu środków dla cyberbezpieczeństwa sieci 5G – tzw. Toolbox 5G. Jesteśmy jednym z ostatnich państw Unii Europejskiej bez horyzontalnej regulacji procedury uznawania za dostawcę wysokiego ryzyka.
– Wdrożenie Toolbox 5G pozwoli Polsce na stosowanie najlepszych praktyk w tej dziedzinie, co podniesie standardy ochrony przed zagrożeniami. Dzięki temu, polski rynek technologiczny stanie się bardziej konkurencyjny, a firmy będą mogły rozwijać się w bezpieczniejszym otoczeniu – podkreśla resort.
Ministerstwo Cyfryzacji uważa, że w temacie DWR pojawia się wiele dezinformacji i dlatego chce rozwiać najczęściej powielane błędne informacje dotyczące wprowadzenia instytucji dostawcy wysokiego ryzyka do polskiego porządku prawnego:
1. Dezinformacja: Decyzja o uznaniu dostawcy za dostawcę wysokiego ryzyka to arbitralna decyzja polityczna.
Fakt: Decyzja ta ma być wynikiem wieloetapowego postępowania, w którym uczestniczyć będzie Kolegium do Spraw Cyberbezpieczeństwa oraz fakultatywnie, organizacje społeczne i Prezes UOKiK.
2.Dezinformacja: Przy wydawaniu decyzji nie będą brane pod uwagę przesłanki techniczne, a wyłącznie polityczne.
Fakt: Decyzja będzie uwzględniać indywidualną sytuację przedsiębiorcy, biorąc pod uwagę zarówno przesłanki prawno-polityczne (ryzyko stworzenia zagrożeń w wymiarze ekonomicznym, wywiadowczym czy terrorystycznym), jak i techniczne, takie jak liczba i rodzaj wykrytych podatności i incydentów, tryb i zakres w jakim dostawca sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania, posiadanie przez dostawcę certyfikatów.
3. Dezinformacja: Od decyzji nie przysługuje odwołanie.
Fakt: Decyzja o uznaniu dostawcy za dostawcę wysokiego ryzyka będzie zaskarżalna do sądu administracyjnego, co zapewnia obiektywne i niezależne spojrzenie na sprawę.
4. Dezinformacja: Procedura skierowana jest przeciwko dostawcom z konkretnego państwa.
Fakt: Uznanie dostawcy za dostawcę wysokiego ryzyka ma odbywać się w drodze postępowania administracyjnego, dotyczącego konkretnego podmiotu, a nie wszystkich dostawców z danego kraju.
Ministerstwo Cyfryzacji opublikowało schematy, jak wygląda proces uznawania dostawcy za wysokiego ryzyka.