Ministerstwo Cyfryzacji opublikowało projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, o którym pisał dzisiaj dziennik Rzeczpospolita.
Projekt, między innymi, wprowadza mechanizm szacowania poziomu ryzyka korzystania z produktów sieciowych oraz informatycznych. W przypadku stwierdzenia „wysokiego ryzyka” producenta, dostawcy usług komunikacji elektronicznej, o statusie „podmiotów krajowego systemu cyberbezpieczeństwa”, nie mogą nabywać jego produktów i w ciągu 5 lat muszą wycofać z eksploatacji już użytkowane. Mechanizm ma jednak swoją elastyczność.
Status wysokiego ryzyka stwierdza się bowiem, kiedy „poważnie zagrożenie” istnieje i nie można mu przeciwdziałać. Kiedy „poważnie zagrożenie” istnieje, ale istnieją środki na jego zmitygowanie, wówczas poziom ryzyka może zostać określony jako „umiarkowany”. Proponuje się również oceny „niskie ryzyko” i „brak ryzyka”.
„Umiarkowane ryzyko” związane jest z zakazem korzystania z nowych produktów (wymienionych w ocenie ryzyka) dostawcy, ale umożliwia eksploatację już użytkowanego sprzętu i oprogramowania. Nie zastosowanie się do konsekwencji oszacowania ryzyka grozi podmiotom „krajowego systemu cyberbezpieczeństwa” karą pieniężną w wysokości 1-3 proc. rocznych, „światowych” obrotów.
Mechanizm daje zatem pełną opcję wykluczenia dostawców z polskiego rynku teleinformatycznego, ale i pełną elastyczność w negocjacjach z takim dostawcą. Podmioty „umiarkowanego” i „niskiego” ryzyka mogą przedstawić kolegium środki zaradcze, co może spowodować zmianę oceny. Podmioty „wysokiego” ryzyka mogą się odwołać od opinii, ale wyłącznie do samego kolegium. Status dostawcy będzie miał również wpływ na możliwość jego udziału w postępowaniach prowadzonych w trybie przetargów publicznych.
Warto tutaj wymienić część przesłanek, jakimi ma się kierować kolegium dokonując analizy ryzyka:
1) analizę zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania;
2) prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, uwzględniającą:
- stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem,
- prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka,
- prawodawstwo w zakresie ochrony danych osobowych, zwłaszcza tam gdzie nie ma porozumień w zakresie ochrony danych między UE i danym państwem,
- strukturę własnościową dostawcy sprzętu lub oprogramowania,
- zdolność ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania (…).
Egzekucję powyższego mechanizmu powierzono pełnomocnikowi rządu ds. cyberbezpieczeństwa. Należy jeszcze wskazać, że pełnomocnik zyska nowe uprawnienia do ogłaszania ostrzeżeń o możliwości wystąpienia „incydentu krytycznego” oraz wydawania „decyzji zabezpieczających”, które mają ograniczyć skutki tych incydentów, i które mogą obowiązywać 2 lata. Pośród zaleconych działań są m.in.:
- nakaz szczególnej konfiguracji sprzętu lub oprogramowania, zabezpieczającej przed wykorzystaniem określonej podatności;
- zakaz korzystania z określonego sprzętu lub oprogramowania;
- nakaz wprowadzenia reguły ruchu sieciowego zakazującego połączeń z określonymi adresami IP lub nazwami URL.
Jak należy wnosić z uzasadnienia projektu, wszyscy przedsiębiorcy telekomunikacyjni (przedsiębiorcy komunikacji elektronicznej w myśl nowej ustawy Prawo komunikacji elektronicznej) stają się podmiotami „krajowego systemu cyberbezpieczeństwa” i podlegają nowemu reżimowi bezpieczeństwa.