Konfederacja Lewiatan skierowała do Włodzimierza Czarzastego, marszałka Sejmu pismo w związku ze skierowaniem do parlamentu projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (KSC).
Jej zdaniem, wskazany w projekcie ustawy 6-miesięczny termin dostosowania jest zbyt krótki i nie jest realne dostosowanie się podmiotów obejmowanych krajowym systemem cyberbezpieczeństwa do nowych wymagań w tym terminie. Wskazuje, że termin ten musi zostać wydłużony przynajmniej do okresu 12 miesięcznego. Organizacja obawia się, że brak wydłużenia terminu grozi pospiesznym prowadzeniem prac wdrożeniowych, których celem nie będzie podniesienie poziomu bezpieczeństwa systemów teleinformatycznych, ale zabezpieczenie przed ryzykami związanymi z kontrolą i karami finansowymi.
– Wyznaczenie nierealnego do dotrzymania terminu wobec bardzo wysokich kar finansowych oraz niespotykanych uprawnień kontrolnych i nadzorczych organów KSC stanowi poważne zagrożenie dla regulowanych podmiotów, w tym sektora przedsiębiorstw. Podkreślamy także, że opóźnienia w pracach legislacyjnych na poziomie rządowym nie mogą być kompensowane skracaniem terminów dla podmiotów obejmowanych nowymi wymaganiami – wskazuje Lewiatan.
W ocenie organizacji administracja nie przygotowała też odpowiednich warunków umożliwiających niezwłoczne przystąpienie do wdrażania przepisów nowelizowanej KSC. Przykładowo, nie zostały opublikowane żadne materiały pomocnicze, zbiory wyjaśnień, dobrych praktyk lub odpowiedzi na najczęściej zadawane pytania, które byłyby pomocne w przygotowaniach do wdrożenia. Nie zostały uruchomione też narzędzia wspierające samoidentyfikację podmiotów, które mają być regulowane nowym uKSC.
Konfederacja Lewiatan krytykuje też zawarte w nowelizowanej ustawie przepisy o dostawcach wysokiego ryzyka (DWR).
– Obecna regulacja sugeruje automatyczne uznawanie dostawców spoza UE/NATO za „wysokiego ryzyka”, co jest nieprecyzyjne i może kolidować z międzynarodowymi zobowiązaniami Polski (np. zasadami niedyskryminacji handlowej). Zaleca się zastąpienie tych kryteriów faktycznymi lukami bezpieczeństwa wykrytymi w produktach ICT. Taki kierunek odpowiada unijnym rekomendacjom (np. 5G Toolbox) i zapewnia większą pewność prawa. Dzięki skupieniu się na konkretnych podatnościach (np. zaistniałych w sprzęcie od producentów zidentyfikowanych jako krytyczne zgodnie z art. 22 ust. 2 NIS2) uniknie się uznaniowości. Pozwoli to też realizować zasadę proporcjonalności – możliwa będzie selektywna reakcja na realne zagrożenia, zamiast generalnego zakazu. W efekcie zmniejszy się ryzyko naruszenia międzynarodowych zobowiązań (w tym reguł Światowej Organizacji Handlu) przez obywatelstwo czy pochodzenie towaru – argumentuje organizacja.
Do tego ostatniego zarzutu ustosunkował się w mediach społecznościowych Marcin Wysocki, zastępca dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji. Według niego list Konfederacji Lewiatan to przykład działania wprowadzającego w błąd decydentów poprzez przekazywanie nieprawdziwych i nierzetelnych informacji, fałszywych tez lub przemilczanie faktów niewygodnych dla niektórych grup interesów. Podkreśla on, że w projektowanym akcie pranym nie ma mowy o automatycznym uznawania dostawców spoza UE/NATO za „DWR”.
– Fakt pochodzenia z państwa trzeciego to jedna z wielu okoliczności odnoszących się do podstawowego interesu w obszarze bezpieczeństwa nas wszystkich Polek i Polaków, które należy rozważyć w bardzo złożonym i sformalizowanym postępowaniu administracyjnym, angażującym różne organy państwa, najwyższej klasy ekspertów zatrudnionych CSIRTach poziomu krajowego, administracji, służbach, wojsku. Regulacja jest bardzo precyzyjna i w wymiarze proceduralnym, obwarowana szeregiem gwarancji dla stron i precyzyjna w skutkach, następstwach wydania decyzji, oczywiście zaskarżalnej do sądu – odpowiada Lewiatanowi Marcin Wysocki.
