Jesteśmy świadkami rzadkiego w legislacji paradoksu. Jakby na przekór rodzimemu procesowi legislacyjnemu, 20 stycznia br. Komisja Europejska opublikowała propozycję nowego rozporządzenia, tzw. Cybersecurity Act 2.0 (CSA2) – pisze Dziennik Gazeta Prawna.
Dokument ten, mający na celu harmonizację bezpieczeństwa łańcucha dostaw ICT i certyfikacji na poziomie całej Wspólnoty, stawia pod dużym znakiem zapytania sens wielu rozwiązań, które polski projektodawca wciąż próbuje przeforsować. Nowe propozycje sprawiają, że duża część procedowanej w bólach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) staje się nie tylko anachroniczna, ale wręcz sprzeczna z nadchodzącym nowym ładem prawnym UE.
Projekt nowelizacji KSC od początku przypominał „rozpędzoną kulę śniegową”. Do technicznej i koniecznej implementacji dyrektywy NIS2 doklejano przez lata polityczne przepisy o dostawcach wysokiego ryzyka (HRV – High Risk Vendors). Dziś ta strategia mści się na projektodawcach.
Gdy polski parlament debatuje nad tym, jak dać ministrowi niemal absolutną władzę usuwania sprzętu przez podmioty w 18 sektorach gospodarki, Komisja Europejska (KE) w projekcie CSA2 przedstawiła wizję radykalnie odmienną. Bruksela dostrzegła bowiem to, co eksperci powtarzają od dawna: fragmentacja rynku, w którym router jest „bezpieczny” w Niemczech, ale „zakazany” w Polsce, niszczy ideę jednolitego rynku cyfrowego. Tymczasem CSA 2 zakłada większą precyzję i centralizację bezpieczeństwa łańcucha dostaw.
Aby zrozumieć skalę problemu, należy przyjrzeć się trzem fundamentalnym różnicom między polskim projektem KSC a unijnym CSA2. Polski projekt KSC w zakresie dostawców wysokiego ryzyka to w istocie rozwiązanie typu „dywanowego”. Ocena ryzyka dostawcy jest w nim niebezpiecznie upolityczniona – kluczową decyzję podejmuje jednoosobowo Minister Cyfryzacji, a kryteria są na tyle nieostre, że pozwalają na dużą uznaniowość. Rola Kolegium ds. Cyberbezpieczeństwa sprowadza się do opiniowania, co w praktyce nie stanowi wystarczającego bezpiecznika.
Więcej w: KSC: rozpędzona kula śniegowa? (dostęp płatny)
