"Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa jest na etapie uzgadniania po zgłoszeniu uwag na Stałym Komitecie Rady Ministrów. Pojawiły się rozbieżności w stanowiskach dotyczących operatora strategicznej sieci bezpieczeństwa. Dyskusje jeszcze trwają. Po uzgodnieniu wspólnego stanowiska ten projekt będzie skierowany na komisję prawniczą i ostatnim krokiem przed skierowaniem projektu do parlamentu będzie przyjęcie projektu przez Radę Ministrów. W tej chwili nie jestem w stanie określić, nie uzgadniamy kalendarza posiedzeń Rady Ministrów, jedynie przekazujemy dokumenty. Czekamy na uzgodnienie pomiędzy ministerstwami, które zgłosiły uwagi na etapie Komitetu Stałego Rady Ministrów. Usunięcie rozbieżności umożliwi przekazanie projektu dalej do komisji prawniczej i do finalnego przyjęcia przez Radę Ministrów, co równolegle zainicjuje proces notyfikacji w Unii Europejskiej" - powiedział Kośla podczas posiedzenia parlamentarnego zespołu ochrony konkurencji i konsumentów.
Na pytanie, kiedy zbierze się w sprawie ustawy komitet ds. bezpieczeństwa pod przewodnictwem wicepremiera Jarosława Kaczyńskiego, dyrektor wskazał, że nie dysponuje taką informacją.
"Nie dysponujemy kalendarzem posiedzeń komitetu. Nie bierzemy udziału w pracach komitetu ds. bezpieczeństwa, także również czekamy na informacje po uzgodnieniach rozbieżności, które zostały zgłoszone przez Ministerstwo Aktywów Państwowych" - dodał Kośla.
Rozbieżności zgłoszone przez MAP dotyczą operatora sieci strategicznej.
Podczas posiedzenia zaprezentowano raport Centrum Analiz Stowarzyszenia Koliber "Kryteria polityczne w cyberbezpieczeństwie, ile będzie kosztować Polaków?". Współautor raportu mecenas Tomasz Pułról zaznaczył, że projekt KSC "za bardzo skupia się" na kwestiach czysto geopolitycznych, a zapomina o ekonomicznych, które według Centrum Analiz Kolibra są kluczowe.
"Jest szereg wyliczeń oszacowujących koszty przepisów, które arbitralnie ograniczyłyby konkurencję na rynku sieci 5G w Polsce i EU, jak np. Oxford Economics. Nie można przejść wobec nich obojętnie. My skupiamy się na nieprecyzyjnych zapisach oceny dostawców sprzętu. Sformułowania rodzą ryzyka związane z wysokimi kosztami ekonomicznymi i społecznymi. Rodzą też potencjalne problemy prawne związane z ograniczeniem konkurencji i ryzyko korupcjogenności. Rekomendujemy m.in. doprecyzowanie kryterium dostawców z postawieniem na kryteria techniczne, dodanie obowiązkowej analizy decyzji ws. uznania dostawcy wysokiego ryzyka, wydłużenie czasu wymiany sprzętu operatorów, czy też dopracowanie procedury odwoławczej" - powiedział Pułról podczas posiedzenia zespołu.
W kwestii operatora sieci strategicznej dodał, że raport sugeruje rozważyć zróżnicowanie wymogów dotyczących poziomu ochrony dla infrastruktury krytycznej i komercyjnej (w drugim przypadku wymogi niższe i bardziej rynkowe), zaznaczył mecenas.
"Najważniejsze to: zostawiając furtkę do oceny geopolitycznej, postawić na kryteria ekonomiczne i brać pod uwagę aspekty ekonomiczne i społeczne" - wskazał Pułról.
Dyrektor cyberbezpieczeństwa z KPRM stwierdził, że obecny projekt ustawy o KSC adresuje kryteria techniczne przy uznawaniu dostawców wysokiego ryzyka.
"Przewidujemy m.in. powołanie zespołów eksperckich przy CSIRT-ach do analizowania w trybie ciągłym zagrożeń, podatności i wpływu konkretnych produktów dostawców sprzętu i oprogramowania. W kwestii czas na usunięcie sprzętu dostawcy wysokiego ryzyka pokrywamy się z generacyjną wymianą sprzętu u operatorów" - dodał Kośla.
Jacek Matyszczak z Urzędu Komunikacji Elektronicznej (UKE) dodał, że po stronie przedsiębiorców będzie prowadzenie wykazu, które elementy jego infrastruktury są kluczowe spełniając określone kryteria zarówno jego sieci, jak i kryteria, które są w nowelizacji ustawy o KSC.
"Czekamy na zmiany, na przyjęcie przez Komitet Stały Rady Ministrów projektu ustawy i będziemy gotowi do rozpoczęcia konsultacji do przeprowadzenia aukcji" - podsumował Matuszczak.
