Miliardy z UE dla Polski zagrożone? Ministerstwo ostrzega

• Ministerstwo Cyfryzacji szykuje się na walkę w obronie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Resort obawia się próby podważania jej w Sejmie.
• To ważna regulacja, która ma pomóc w walce z zagrożeniami dla państwa, w tym sabotażem i terroryzmem. W szerokim zakresie wpłynie też na firmy. Polska jest opóźniona z jej przyjęciem - została za to pozwana przed unijny Trybunał Sprawiedliwości (TSUE).
• Wicedyrektor z resortu cyfryzacji ostrzega, że bez tej nowelizacji Polskę czekają wysokie kary, a Komisja Europejska może zawiesić wypłaty z Krajowego Planu Odbudowy dla Polski.
• Marcin Wysocki w rozmowie z WNP zapowiada też kolejne prace MC: nad ustawą dotyczącą standardów chmury obliczeniowej w administracji i samorządach oraz projekcie ambasad danych.

Dlaczego strażacy mieliby dostawać dodatki z Funduszu Cyberbezpieczeństwa? Chce tego resort cyfryzacji.

- Czyli zaczynamy od banalnego pytania.

Banalnego?

- Tak, to bardzo proste. Kilkadziesiąt osób pracujących w Komendzie Głównej Straży Pożarnej oraz osób pracujących w wojewódzkich jednostkach odpowiada za kluczowe systemy teleinformatyczne związane z powiadomieniem ratunkowym. Te systemy gwarantują na przykład, że w odpowiednim momencie uruchamiają się syreny alarmowe. Od systemów Państwowej Straży Pożarnej zależy szybkie reagowanie na pożary, wypadki i inne zagrożenia.

Współczesny system ratowniczy od którego zależy ludzkie życie i zdrowie w znacznym stopniu opiera się na niezawodności systemów IT.

W przyszłości osobom za nie odpowiedzialnym, na mocy ustawy o ochronie ludności, dojdą kolejne obowiązki, w tym budowa, rozwój i utrzymanie Centralnej Ewidencji Obiektów Zbiorowej Ochrony, w której będą przetwarzane dane niezbędne do podjęcia właściwych decyzji co do wykorzystania miejsc ochrony i ukrycia w sytuacjach kryzysowych. Chodzi o awarie, klęski żywiołowe czy ataki środkami rażenia. W takich miejscach jak Straż Pożarna potrzebujemy specjalistów, więc jestem przekonany, że powinniśmy ich współfinansować.

Kto powinien dostawać dodatek z Funduszu Cyberbezpieczeństwa?

A dlaczego współfinansować strażaków, ale już nie pracowników w Generalnej Dyrekcji Dróg Krajowych i Autostrad czy Wodach Polskich, którzy też utrzymują kluczowe systemy?

- Myślę, że kwestia dodatku, o który pani pyta, to jeden z powodów, dla którego prace nad nowelizacją Krajowego Systemu Cyberbezpieczeństwa nie są tak efektywne jak być powinny.

To nie ja pytam, tylko minister infrastruktury w konsultacjach tej ustawy.

- Wdrażamy dyrektywę NIS2, a ze strony innych resortów pojawiają się postulaty ze zmianami w ustawie o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa. Temu powinien być poświęcony – i być może będzie – odrębny projekt. Do nas zgłasza się naprawdę wiele instytucji, które również uważają, że powinny być objęte takim świadczeniem. Moim zdaniem w przyszłości trzeba by było przygotować transparentną gradację, zastanowić się, jakie są możliwości finansowania.

Na razie resort finansów nie zgadza się, by zwiększyć Fundusz Cyberbezpieczeństwa o 250 mln zł rocznie.

- Będziemy przekonywać resort finansów by zmienił zdanie, bo uważamy że nie ma w tym wypadku racji, zgłaszając takie uwagi do ustawy o Krajowym Systemie Cyberbezpieczeństwa. 250 mln zł to jest niewiele ponad połowa rocznych kosztów wynikających z oceny skutków regulacji jako skutków dla wdrożenia nowelizacji ustawy o KSC. Ustawa zakłada rozwój Zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) dla poszczególnych sektorów, platformy S46, jest w niej mowa o projektach edukacyjnych.

Co dalej z nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa?

A kiedy zakończy się rządowa droga ustawy? MC zapowiadało, że projekt zostanie skierowany do Sejmu do końca czerwca.

- Projekt trafił na Stały Komitet Rady Ministrów. Myślę, że będzie przyjęty przez rząd w pierwszym lub drugim tygodniu lipca.

Jakie trudności projekt może jeszcze napotkać w Radzie Ministrów?

- Punkt pierwszy omówiliśmy, to rozmowa o kosztach. Drugi to te elementy, które mogą wykraczać poza minimalne wdrożenie dyrektywy NIS2, minister rozwoju i technologii otrzymał zadanie, by zwrócić na nie uwagę. Pozostałe sprawy wydają mi się już rozstrzygnięte.

Czyli dostawcy wysokiego ryzyka zostają w projekcie?

- Wierzę, że tak i jest silna determinacja ze strony premiera Gawkowskiego w tym zakresie. To jest kwestia bezpieczeństwa państwa, jego podstawowych interesów w tym obszarze. I nie wydaje mi się, żeby ktokolwiek mógł skutecznie postulować usunięcie tej procedury.

Czyli premier spacyfikował cyfrowych zdrajców stanu w rządzie?

- Nie tyle spacyfikował, co przekonał do istotności tych postanowień.

Z wyjaśnieniem, jak ważna jest kwestia dostawców wysokiego ryzyka jest takie wyzwanie, że wiele argumentów dotyczących bezpieczeństwa państwa stanowią informacje klauzulowane zgodnie z ustawą o ochronie informacji niejawnych. To permanentny trud w komunikacji np. służb specjalnych, które postulują jakieś rozwiązania, ale nie mogą ich dostatecznie mocno bronić na przykład na posiedzeniach sejmowych komisji. Ujawnienie argumentów, które posiadają jest penalizowane, często muszą więc po prostu zamilknąć albo powiedzieć "pomidor".

Spodziewa się pan ostrej walki w Sejmie o te zapisy?

- Na pewno będzie o to walka w Sejmie, widzieliśmy to już w czasie dyskusji po expose premiera Donalda Tuska. Obserwujemy też wysiłki lobby, które pracuje na tym, żeby zohydzić treść tego projektu.

To znaczy?

- Jednym z takich podstawowych mitów, który pokutuje, jest kwestia wykluczenia dostawcy sprzętu lub oprogramowania ze względu na przesłanki nietechniczne. Określane są one "politycznymi". Tyle że w praktyce dotyczą one zarządzania ryzykiem związanym m.in. z zagrożeniem terroryzmem czy sabotażem. A ryzyko to wynika z wpływu państwa trzeciego na producenta urządzeń czy oprogramowania działającego w tym państwie, czy to poprzez prawo, czy to poprzez działania prowadzone wprost.

Krytycy argumentują, że to nadregulacja.

- To, co Polska robi w tej kwestii, jest już przyjęte jako rozwiązanie ustawowe w 21 krajach, w 12 z nich już stosowane. W dodatku Komisja Europejska, poprzez projektowany ICT Toolbox, identyfikuje wiele wyzwań bezpieczeństwa, nie tylko w sieciach 5G, ale również w obszarach takich jak urządzenia telemedyczne, drony i systemy bezpieczeństwa (np. bramki na lotniskach).

Mogę założyć się o dużą tabliczkę czekolady, że w przyszłości nietechniczne przesłanki wykluczeń dostawców wysokiego ryzyka staną się w UE standardem także poza sieciami telekomunikacyjnymi w wybranych sektorach, choćby w energetyce. I wówczas rozpoczęlibyśmy ten wymagający proces nowelizacji przepisów na nowo.

Kto naciska na wykreślenie przesłanek nietechnicznych?

- Ten postulat zgłaszał Huawei w konsultacjach publicznych. Firma ostatnio nie zabiera głosu bezpośrednio, natomiast są inne podmioty, które upominają się dokładnie o to samo - wykreślenie przesłanek tzw. nietechnicznych, które dla zohydzenia nazywane są "politycznymi" i stwierdzenie, że to jest wymysł Polski i nadregulacja. A już powiedzieliśmy sobie, że tak nie jest.

W Sejmie spodziewam się też powrotu do tych argumentów, a także postulatów, które pod płaszczem wprowadzania transparentności spowodują, że postępowanie administracyjne w sprawie dostawcy wysokiego ryzyka stanie się w praktyce niewykonalne. Pewnie pojawią się głosy, że mamy za krótkie konsultacje. Natomiast jestem przekonany, że pula pomysłów, które można było podnieść, żeby wybić zęby, czyli uczynić tę procedurę bezużyteczną, się wyczerpała. I ustawę po prostu trzeba przyjąć. Zakładam, że stanie się to przed końcem roku.

A jeśli nie?

- Jesteśmy jednym z 19 krajów, które nie wdrożyły dyrektywy NIS2, jeśli tego nie zrobimy, będziemy płacić kary.

A nie ma chyba głupszego sposobu na wydatkowanie pieniędzy publicznych niż płacenie kar za nieprzeprowadzenie transpozycji tak ważnej dyrektywy.

Komisja Europejska w każdym miesiącu pyta nas, jaki jest postęp prac. Także dlatego, że nowelizacja ustawy o KSC jest kamieniem milowym dla Krajowego Planu Odbudowy. Brak nowelizacji może powodować naprawdę poważne skutki dla państwa polskiego.

Powiedzmy wprost: albo KSC, albo blokada pieniędzy z KPO?

- Komisja uprzedza nas, że kamieni milowych należy dotrzymywać, a faktycznie przekazywanie kolejnych transz finansowania, ich rozliczenie jest uzależnione od tego, czy je osiągamy.

To będzie argument dla posłów za szybkim procedowaniem?

- Powinien być to dla nich argument, że wsłuchiwanie się bezkrytycznie w głos krytyków tej ustawy może się dla Polski bardzo źle skończyć.

Ministerstwo Cyfryzacji opracuje standardy chmury obliczeniowej w administracji i ambasady danych

Nad jakimi projektami z zakresu bezpieczeństwa jeszcze pracuje MC?

- Jesteśmy na etapie przygotowywania projektu regulacji dotyczącej standardów chmury obliczeniowej w administracji. Chcemy, aby nowa regulacja, w przeciwieństwie do poprzedniej uchwały Rady Ministrów, była wiążąca również między innymi dla jednostek samorządu terytorialnego.

Powinniśmy zająć się też rozwojem rządowej chmury obliczeniowej i stworzeniem zasad, które pozwoliłyby na migrację najważniejszych danych do komercyjnej chmury w innym kraju europejskim np. w stanie bezpośredniego zagrożenia wojną. Powinniśmy brać udział z doświadczeń Ukrainy, która była zmuszana do przeniesienia ważnych danych z rejestrów państwowych w obliczu wojny, co nie było zgodne z prawodawstwem ukraińskim do czasu wydania stosownego dekretu przez tamtejszą Radę Ministrów, co zresztą miało miejsce szesnaście dni po zbrojnej agresji Federacji Rosyjskiej na Ukrainie.

Chciałbym, żeby nikomu ręka nie zadrżała, gdyby Polska znalazła się w takiej sytuacji. Ważnym projektem są też ambasady danych. Chodzi o zapewnienie bezpieczeństwa i dostępności danych państwowych w sytuacjach kryzysowych, na przykład poprzez tworzenie kopii zapasowych w placówkach dyplomatycznych.

Taki projekt był już w poprzedniej kadencji, ale do dziś jest niezrealizowany.

- Ten pomysł jest bardzo dobry, tylko musimy zapewnić, że nie ma przepisów, które uniemożliwiałyby jego realizację. Staramy się odpowiedzieć też na takie wyzwania jak np. brak zasilania dla centrów danych w placówkach dyplomatycznych.

Oprócz tradycyjnych data center, wprowadzamy możliwość zapewnienia backupu w chmurze publicznej lub prywatnej w innym państwie europejskiego obszaru gospodarczego.

Kiedy konkretne rozwiązania w zakresie standardów chmury obliczeniowej znajdą się na stole?

- Zakładam, że minister cyfryzacji zaprezentuje pierwszą wersję projektu jeszcze w tym roku. Na pewno będzie to wyzwanie, żeby ten projekt przeprocesować, trzeba będzie pogodzić interesy i głosy bardzo wielu interesariuszy. To znowu będzie rozmowa między innymi pomiędzy naszymi przedsiębiorcami i hyperskalerami o tym, jak powinniśmy budować swoje kompetencje, zdolności i jak rozumiemy suwerenność cyfrową.

Wicepremier dużo mówi o suwerenności cyfrowej. A wiceminister Rosiński obiecał w czasie Europejskiego Kongresu Gospodarczego, że resort opracuje rozwiązania, które będą wspierały polskich przedsiębiorców.

- I oczywiście takie rozwiązania projektujemy. W "Standardach cyberbezpieczeństwa chmur obliczeniowych", które są załącznikiem do uchwały WIIP (wspólna infrastruktura informatyczna państwa – przyp. red.) są określone poziomy, z których wynika, kiedy dane należy przetwarzać na terenie Europejskiego Obszaru Gospodarczego, a kiedy w Polsce. Podobne rozwiązania zaproponujemy w ustawie.

To nie jest tak, że zmienimy proporcje na rynku usług chmurowych. Za to skupimy się na tym, by zapewnić przetwarzanie w Polsce najistotniejszych danych. To też jest rozbudowanie własnych zdolności w tym zakresie.

A po co ministerstwo buduje kolejny CSIRT za 10 mln zł?

- To bardzo dobre pytanie. Obecnie w systemie KSC mamy ok. 400 operatorów usług kluczowych, które wspierane są przez CSIRT-y poziomu krajowego, np. w CSIRT NASK czy CSIRT GOV w ABW. Po nowelizacji skala znacznie wzrośnie – mówimy o kilku, a nawet kilkudziesięciu tysiącach podmiotów. Dlatego tworzymy system sektorowych CSIRT-ów, które będą pełnić funkcję wsparcia dla poszczególnych branż – tak jak dziś robi to zespół w UKNF (Urzędzie Komisji Nadzoru Finansowego – przyp. red.) dla sektora finansowego czy Centrum e-Zdrowia dla sektora zdrowia.

CSIRT Cyfra, o który pani pyta, to jeden z takich zespołów. W sektorze infrastruktury cyfrowej, którym zarządza mój zespół, dziś mamy mniej niż 10 podmiotów. Po wejściu w życie nowych przepisów trafią tam m.in. dostawcy usług chmurowych i przedsiębiorcy komunikacji elektronicznej, co znacząco zwiększy skalę – będzie to już kilkadziesiąt podmiotów. To uzasadnia powołanie dedykowanego zespołu. Podobne będą zresztą tworzone w innych ministerstwach, na przykład w Ministerstwie Klimatu i Środowiska. Ich zadaniem będzie wspieranie przedsiębiorców i odciążanie w pracy CSIRT-ów poziomu krajowego.