Lewiatan: Warto wziąć pod uwagę zalecenia UE w pracy nad ustawą o KSC
W przy pracach nad projektem ustawy o krajowym systemie cyberbezpieczeństwa (KSC) Konfederacja Lewiatan proponuje m.in. zwrócić większą uwagę na prace na poziomie UE, zmierzające w kierunku przyjęcia wspólnego stanowiska dotyczącego oceny bezpieczeństwa sprzętu i oprogramowania 5G, podał Lewiatan.
"Wspieramy wysiłki rządu zmierzające do podniesienia poziomu cyberbezpieczeństwa zarówno w sektorze publicznym, jak i prywatnym. Widzimy jednak luki w projekcie, w tym brak szerszego odniesienia do oceny skutków regulacji, oszacowania kosztów dostosowania się przedsiębiorców do nowych wymogów" - powiedziała ekspertka Konfederacji Lewiatan dr Aleksandra Musielak, cytowana w komunikacie.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma usprawnić funkcjonowanie najważniejszych instytucji w systemie cyberbezpieczeństwa, zwiększyć poziom bezpieczeństwa, m.in. spółek skarbu państwa i jednostek samorządu terytorialnego, przypomniano w informacji.
Eksperci Lewiatana przedstawili postulaty, które - jak zaznaczyli - powinny być uwzględnione w trakcie prac legislacyjnych. Proponują m.in. zwrócić większą uwagę na przyspieszenie prac w UE, aby przyjąć wspólne stanowisko dotyczące oceny bezpieczeństwa sprzętu i oprogramowania oraz wskazać zagrożenia dla klientów tych usług, w tym związanych z używanymi przez nich aplikacjami, wymieniono w komunikacie.
"Projekt wzmacnia Pełnomocnika rządu ds. cyberbezpieczeństwa, który zyska uprawienie do wydawania ostrzeżeń. Niepokoi, że już samo ostrzeżenie, może skutkować wykluczeniem z rynku wskazanych w nim dostawców sprzętu i oprogramowania" - czytamy w komunikacie.
Dodano, że zaskakują przepisy związane z nowymi uprawnieniami Pełnomocnika ds. cyberbezpieczeństwa oraz Kolegium ds. cyberbezpieczeństwa.
"Te dwie nowe instytucje powinny się bardziej skupić na ocenie technicznej urządzeń i oprogramowania. Taką ocenę należy przeprowadzać według obowiązujących przepisów Kodeksu postępowania administracyjnego oraz Prawa przedsiębiorców. Musi być oparta o kryteria techniczne i zapewniać firmom prawo do odwołania od decyzji Kolegium, a także jej weryfikacji przez sądy administracyjne" - czytamy dalej.
"Naszym zdaniem, należałoby zrezygnować z przepisów dotyczących objęcia przedsiębiorców komunikacji elektronicznej nowymi obowiązkami oraz wprowadzenia nowego reżimu raportowania w zakresie incydentów w sieciach telekomunikacyjnych" - podsumowała Musielak.
Rada Europejska zatwierdziła wcześniej konkluzje Rady z dnia 9 czerwca 2020 r. w sprawie kształtowania cyfrowej przyszłości Europy. Apeluje do UE i państw członkowskich o pełne wykorzystanie przyjętego w dniu 29 stycznia 2020 r. unijnego zestawu narzędzi na potrzeby cyberbezpieczeństwa sieci 5G, a w szczególności o stosowanie odpowiednich ograniczeń wobec dostawców wysokiego ryzyka w odniesieniu do kluczowych aktywów określonych jako krytyczne i wrażliwe w unijnych skoordynowanych ocenach ryzyka. Rada Europejska podkreśla, że potencjalni dostawcy 5G muszą być poddawani ocenie opartej na wspólnych obiektywnych kryteriach.
