Pod koniec ubiegłego tygodnia Kancelaria Premiera Rady Ministrów opublikowała oczekiwaną od października ubiegłego roku kolejną wersję projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). To jeden z najbardziej wyczekiwanych (obok Prawa komunikacji elektronicznej) aktów legislacyjnych dotyczących teleinformatyki i jeden z bardziej kontrowersyjnych.
Akurat w obszarze kontrowersyjnych materii ostatnia redakcja projektu KSC nie przynosi większych zmian. Część z nich sygnalizowaliśmy w ubiegłym tygodniu w powołaniu na Gazetę Prawną. Clou przepisów na temat „dostawców wysokiego ryzyka” pozostało bez zmian. Pojawił się jednak wspominany przez Gazetę Prawną zapis, że przedsiębiorcy telekomunikacyjni będą mogli brać udział na prawach strony w postępowaniu o uznaniu dostawcy sprzętu bądź rozwiązań za niosącego podwyższone ryzyko. Nowa redakcja KSC potwierdza również, że działające już w systemach rozwiązania od takiego dostawcy będą miały zapewnione pełną obsługę do czasu obowiązkowego usunięcia w ciągu 7 (lub 5) lat od stwierdzenie „podwyższonego ryzyka”.
– brzmi ten zapis w bieżącym projekcie nowelizacji KSC.
Nie widać większych zmian, jeżeli chodzi o drugi kontrowersyjny dla branży telko projekt tj. operatora sieci strategicznego bezpieczeństwa oraz projekt Polskie5G. Proponowane zasady działania i finansowania publicznych sieci pozostają bez zmian poza tym, że fundusz wspierający działanie SSB – poza wpływami z obrotu częstotliwościami radiowymi 700 MHz oraz 3,4-3,8 GHz – może być także zasilany dotacjami z budżetu państwa.
Zwrócić należy jednak uwagę, iż Prezes Urzędu Komunikacji Elektronicznej ma być władny do analizy cen usług operatora SSB, aby nie dopuścić do wykorzystania jego monopolistycznej pozycji na rynku wybranych podmiotów publicznych. Z drobnych zmian można jeszcze zauważyć, że czynności operatora SSB na rzecz MON zostały ograniczone do „dzierżawy łączy telekomunikacyjnych na potrzeby obsługi Sił Zbrojnych Rzeczypospolitej Polskiej” z szerszego zakresu jakim było we wcześniejszej redakcji ustawy „utrzymania, rozbudowy i modyfikacji sieci teleinformatycznej” (taki szeroki zakres pozostał natomiast dla innych jednostek, które mają korzystać z SSB).
Znaczącemu rozszerzeniu uległy w nowej wersji KSC zapisy dotyczące udziału operatorów telekomunikacyjnych w krajowym systemie cyberbezpieczeństwa. Przepisy przewidziane w projekcie Prawa komunikacji elektronicznej zostały przeniesione do KSC do nowego „Rozdziału 4a. Obowiązki przedsiębiorców komunikacji elektronicznej”.
Przewiduje się utworzenie oddzielnej jednostki sektorowej dla telekomunikacji – CSIRT Telco – powołanej do reagowania na zgłaszane przez operatorów komunikacji elektronicznej incydenty telekomunikacyjne („każde zdarzenie, które ma rzeczywisty, niekorzystny skutek dla bezpieczeństwa sieci i usług komunikacji elektronicznej” – to nowy rodzaj incydentu definiowanego w KSC). Zorganizują ją minister ds. informatyzacji najpewniej poprzez powierzenie obowiązków do jednej z nadzorowanych lub podległych jednostek (NASK, lub Instytutu Łączności, mniej prawdopodobne, że do UKE).
W związku ze znacznym uzupełnieniem zapisów dotyczących operatorów telekomunikacyjnych, w nowej wersji KSC dodano także przepisy dotyczące kar za uchybienie przez operatorów wymogom związanym z reakcją na cyberincydenty. Kary mogą sięgnąć 3 proc. rocznych obrotów przedsiębiorcy telekomunikacyjnego, lub 15 proc. w przypadku mniejszych podmiotów. Przypomnijmy, że wpływy z tych kar będą zasilać Fundusz Cyberbezpieczeństwa, z którego finansowane będą dodatki dla specjalistów cybersecu w różnych agendach rządowych.
Nowy projekt KSC jest przeznaczony dla Komitetu Stałego Rady Ministrów. Może to oznaczać, że po dwóch latach prac rządowych projekt trafi wreszcie do Sejmu.