Parlament w najbliższych dniach ma się zająć nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Pojawiła się fala dezinformacji, która – zdaniem ekspertów branży cyfrowej – może opóźnić przyjęcie regulacji niezbędnych dla bezpieczeństwa państwa.
Powielane mity na temat projektu nowelizacji coraz bardziej wpływają na sposób postrzegania regulacji i jej znaczenia. Dlatego Związek Cyfrowa Polska i Związek Przedsiębiorców i Pracodawców apelują o powrót do merytorycznej debaty i weryfikację nieprawdziwych narracji.
Kluczowa regulacja o KSC w decydującej fazie
Projekt nowelizacji ustawy o KSC ma wzmocnić odporność Polski na cyberzagrożenia. Jak podkreślają eksperci, liczba ataków wymierzonych w infrastrukturę kraju jest dziś najwyższa w historii. Parlament w najbliższych dniach rozpocznie prace nad projektem, ale dyskusja publiczna została zdominowana przez nieprawdziwe lub uproszczone tezy dotyczące skutków nowych przepisów.
Na specjalnym spotkaniu przedstawiciele branży zaprezentowali politykom przykłady zniekształceń i wyjaśnili, jakie ryzyko niesie dalsze powielanie fałszywych informacji.
– Nowelizacja ustawy o KSC ma fundamentalne znaczenie dla naszego bezpieczeństwa narodowego. Polska jest dziś celem zmasowanych ataków w cyberprzestrzeni, a liczba incydentów i ich skala jeszcze nigdy nie były tak duże – komentuje Michał Kanownik, prezes Związku Cyfrowa Polska. Jak dodaje, wrażliwość tematu oraz szeroki katalog podmiotów objętych ustawą sprzyjają szerzeniu narracji, które odrywają się od rzeczywistości i wywołują nieuzasadniony niepokój.
Mit 1: Przepisy dotyczące DWR przekraczają unijne standardy
Jedną z najczęściej powtarzanych błędnych tez jest zarzut, że projektowane regulacje dotyczące Dostawców Wysokiego Ryzyka (DWR) „wykraczają” poza standardy UE. Branża cyfrowa podkreśla, że rzeczywistość jest odwrotna.
Większość krajów Unii już od lat stosuje narzędzia eliminujące ryzykowne technologie z infrastruktury 5G. Unijny 5G Toolbox obowiązuje od pięciu lat, a Polska należy do państw najpóźniej wdrażających te rozwiązania. Zdaniem ekspertów to właśnie opóźnienia w implementacji zwiększają naszą podatność na działania hybrydowe.
– Dezinformacja dotycząca rzekomego „gold-platingu”, czyli nadmiernej transpozycji prawa UE do przepisów krajowych, może prowadzić do nieporozumień i opóźnień legislacyjnych. Tymczasem każde opóźnienie to realne ryzyko. Polska stoi dziś w obliczu bezprecedensowej presji w cyberprzestrzeni, zarówno ze strony cyberprzestępców, jak i podmiotów powiązanych z państwami trzecimi. Odsuwanie w czasie wejścia w życie regulacji tylko pogłębia ten problem – mówi Jakub Bińkowski, członek zarządu ZPP.
Mit 2: Ustawa obciąży przedsiębiorców i podniesie ceny usług
Szczególnie niebezpieczne są przekazy, że projektowane przepisy wpłyną na przedsiębiorców i konsumentów. Modernizacja infrastruktury telekomunikacyjnej miałaby rzekomo doprowadzić do podwyżek cen usług lub pogorszenia jakości sieci.
Tymczasem projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa nie przewiduje automatycznej wymiany całej infrastruktury. Nowelizacja opiera się na analizie ryzyka i decyzjach administracyjnych podejmowanych wyłącznie w sytuacjach uzasadnionych, gdy potencjalnie dany podmiot zostanie uznany za Dostawcę Wysokiego Ryzyka, czyli zagrażającemu bezpieczeństwu państwa.
Eksperci dodają, że modernizacje są elementem naturalnego cyklu życia sieci i od lat odbywają się regularnie.
– Modernizacja sieci nie jest zjawiskiem nadzwyczajnym, lecz rutynowym działaniem technicznym, prowadzonym przez operatorów od lat. Zmiany sprzętowe odbywają się regularnie, co pozwala zachować wysoką jakość usług i unowocześniać infrastrukturę. Przykłady państw, które wycofały sprzęt potencjalnych dostawców wysokiego ryzyka, pokazują, że nie wiązało się to ani z podwyżkami dla konsumentów, ani z pogorszeniem jakości usług telekomunikacyjnych. W wielu przypadkach modernizacja przyniosła wręcz korzyści w postaci lepszej wydajności sieci – dodaje Michał Kanownik.
Mit 3: Ustawa dotyczy tylko telekomunikacji
Projekt nowelizacji rozszerza katalog podmiotów objętych KSC, co jest odpowiedzią na zmieniający się charakter cyberzagrożeń. Ataki dotykają dziś nie tylko sektor telekomunikacyjny, lecz także wodociągi, ciepłownie, logistykę, transport, szpitale, administrację lokalną i przemysł. Dlatego według ekspertów odporność firm prywatnych ma coraz większe znaczenie dla bezpieczeństwa całego państwa.
– Ataki cyfrowe coraz częściej mają wymiar systemowy. Sparaliżowanie jednego podmiotu może wpływać na bezpieczeństwo tysięcy odbiorców, a w skrajnych przypadkach na funkcjonowanie regionów czy całych sektorów gospodarki. Dlatego rozszerzenie katalogu podmiotów objętych ustawą jest naturalnym krokiem i odpowiedzią na realne wyzwania współczesności – mówi Jakub Bińkowski.
Branża apeluje o rzetelną debatę
Dezinformacja o Krajowym Systemie Cyberbezpieczeństwa może doprowadzić do poważnych opóźnień legislacyjnych. Organizacje zapowiadają dalsze działania edukacyjne oraz przekazanie parlamentarzystom zestawienia fałszywych narracji wraz z rzetelnymi wyjaśnieniami. Apelują też o zachowanie ostrożności informacyjnej, weryfikację źródeł oraz unikanie powielania sensacyjnych lub uproszczonych przekazów.
– Jako biznes chcemy wspierać proces legislacyjny w tej kwestii, który będzie oparty na faktach, a nie na emocjach i niedopowiedzeniach – komentuje Michał Kanownik.