Przed nami – rozpoczęta już nawet – implementacja jeszcze innych unijnych aktów prawnych (czemu Kodeks nie stoi na przeszkodzie) i można by się już teraz tym zająć w pracach nad PKE, podchodząc do zagadnienia bardziej całościowo.
Kolejna sprawa – na pięć artykułów dotyczących cyberbezpieczeństwa w PKE mamy pięć, albo sześć aktów wykonawczych. I to jest praktyka, która mnie martwi. Prawda, że to pozwala uściślać lub korygować zapisy ustawowe, ale z drugiej strony podnosi ryzyko niestabliności przepisów dla rynku i dla interesariuszy. Podobnym zjawiskiem jest ustawowe odsyłanie do rozstrzygnięć, które już nie mają nic wspólnego z aktami prawnymi – myślę przede wszystkim o rekomendacjach – ale otrzymują charakter wiążący i w efekcie przyjmują charakter przepisów ustawowych. ENISA [Agencja Unii Europejskiej ds. Cyberbezpieczeństwa; projekt PKE oraz innych, krajowych aktów prawnych odsyła do jej rekomendacji – red.] – to godna szacunku organizacja, z wielkim doświadczeniem w dziedzinie bezpieczeństwa sieci i systemów. Niemniej widzę kolizję pomiędzy głoszeniem – nader słusznej – zasady indywidualnego szacowania ryzyka przez przedsiębiorców a wydawaniem dla nich rekomendacji (czy przez ENISA czy przez organy wskazane w ustawie o KSC), które stają się de facto wiążącym prawem.
ŁUKASZ DEC: Regulacje za pomocą zaleceń, to większy komfort dla władzy, bo nie trzeba się przepychać z parlamentarzystami. Z drugiej strony takie akty tworzą na ogół specjaliści, co może nieść pewne korzyści i dla rynku.
CEZARY ALBRECHT: W dziedzinie bezpieczeństwa specjaliści (ze sfery służb) zazwyczaj chcą dużych uprawnień i szerokiej dostępności do danych. Pamiętam pierwsze dyskusje nad zmianą przepisów o retencji danych – świeżo pod wpływem szoku, jaki wywołały zamachy w londyńskim metrze. Pierwsza reakcja była taka, że trzeba wszystko poświęcić na rzecz bezpieczeństwa. Dopiero późniejsze deliberacje na poziomie parlamentarnym (a więc w gronie niespecjalistów) pozwoliły wyważyć rację. Brakuje mi takiej, bardziej ogólnej, refleksji nad zasadami cyberbezpieczeństwa.
ŁUKASZ DEC: To jest szeroki problem kolizji między bezpieczeństwem a prawami i swobodą obywatelską. Szkoda, że nie mamy tutaj miejsca, aby go rozwinąć. Chciałbym wrócić do Ireneusza Piecucha z pytaniem o zasadność regulowania rzeczywistości aktami wykonawczymi.
IRENEUSZ PIECUCH: Ja nie upatruję w tej praktyce złych intencji, ale generalnie jestem przeciwny narzędziom administracyjno-nakazowym. Cyberbezpieczeństwo to jest ogromna dziedzina, w której skuteczne środki można wypracować tylko w szerokim porozumieniu ze wszystkimi realnie zaangażowanymi podmiotami.
I końcowa uwaga do tematu cyberbezpieczeństwa w PKE: nie wiem, czy właściwe jest łączenie w tym samym bloku ustawy kwestii cyberbezpieczeństwa z obowiązkami przedsiębiorców na rzecz bezpieczeństwa i obronności państwa? W obecnie obowiązującym Prawie telekomunikacyjnym jest to ujęte inaczej i wydaje się – dużo bardziej przejrzyście.
WANDA BUK: Chciałabym krótko skomentować. Jeżeli zgadzamy się z rosnącą rolą sieci telekomunikacyjnych i koniecznością zapewnienia im bezpieczeństwa oraz integralności, to chyba rozumiemy także rosnącą tendencję do ingerencji państwa w tym obszarze.
Proszę zwrócić uwagę, że dyrektywa dotycząca cyberbezpieczeństwa, mam tu na myśli dyrektywę NIS z 2016 r. [Network and Information Systems Directive – red.], wyłączyła ze swojego zakresu przedsiębiorców telekomunikacyjnych, pozostawiając ten obszar niejako na uboczu, regulowany dyrektywami telekomunikacyjnymi. Już w 2018 r. na etapie implementacji dyrektywy NIS do polskiego prawa trudno było się oprzeć wrażeniu, że to nie jest właściwe i raczej archaiczne podejście. Gdyby te regulacje projektowano dzisiaj, to branża telekomunikacyjna również byłaby nimi objęta. Sieci teleinformatyczne stają się jednym z elementów kręgosłupa nowoczesnego państwa i krajowego systemu cyberbezpieczeństwa.
MARTA BRZOZA: Upowszechnienie sieci 5G zwiększy problem bezpieczeństwa sieci telekomunikacyjnych, ponieważ zmienią się i zmultiplikują potencjalne źródła ataków. Tutaj nie skupiałabym się tylko na operatorach i sieciach, ale spojrzała na problem szerzej – na użytkowników i urządzenia końcowe.
