Spis treści
24 maja zakończyły się konsultacje publiczne projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (nr UC32). Termin wdrożenia nowych przepisów to III kwartał 2024 r. Projekt przygotowany przez Ministerstwo Cyfryzacji implementuje unijną Dyrektywę NIS 2 (Network and Information Systems Directive UE, 2022/2555) i zakłada nowe obowiązki z zakresu cyberbezpieczeństwa dla sektorów produkcji, przetwarzania i dystrybucji energii.
Nowelizacja zwiększa liczbę podmiotów, które podlegają pod krajowy system cyberbezpieczeństwa, z ok. 400 do ok. 40 tys. i wprowadza pojęcie Dostawcy Wysokiego Ryzyka (high risk vendor). Produkty czy usługi pochodzące od Dostawcy Wysokiego Ryzyka, będą musiały być wycofane. Za podmioty kluczowe, które zostaną objęte nowymi przepisami, uznaje się m.in. podmioty wytwarzające energię elektryczną, o ile podlegają koncesji, podmioty przetwarzające czy magazynujące energię czy producentów elementów elektrycznych i elektronicznych.
Niepokojąca nadregulacja
Jak wyjaśnia Ministerstwo Cyfryzacji, nowe przepisy mają na celu usunięcie niebezpiecznego sprzęt lub usługi z kluczowych systemów teleinformatycznych. „Chcemy zwiększyć bezpieczeństwo państwa i zapewnić porządek publiczny. Unia Europejska wymaga od Polski tego, by wprowadziła przepisy o analizie ryzyka konkretnego dostawcy. Polska nowelizuje również ustawę o krajowym systemie cyberbezpieczeństwa, zgodnie z dyrektywą NIS2, aby zapewnić bezpieczeństwo łańcucha dostaw” – informuje resort w informacji przesłanej do WysokieNapiecie.pl.
Eksperci zwracają jednak uwagę, że przepisy o Dostawcach Wysokiego Ryzyka w żadnym zakresie nie wynikają z implementowanej Dyrektywy NIS2. Co więcej, podobne regulacje nie są wprowadzane w innych krajach UE.
„W ramach projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która ma implementować unijną Dyrektywę NIS2, możemy zaobserwować ogólną tendencję do nadregulacji wprowadzanej przez polskiego ustawodawcę” – mówi mec. Maciej Szambelańczyk z WKB Lawyers. „Wiele rozwiązań proponowanych w projekcie ustawy wykracza poza to, czego wymaga unijny prawodawca – najgłośniejszym i najbardziej kontrowersyjnym przykładem tego podejścia wydaje się być wprowadzenie do ustawy regulacji dot. Dostawców Wysokiego Ryzyka. Za takich dostawców Minister Cyfryzacji będzie mógł uznać w zasadzie dowolnych dostawców oprogramowania lub sprzętu, którzy świadczą usługi na rzecz podmiotów wskazanych w projekcie ustawy”.
Jak informuje Ministerstwo, decyzję o tym, by uznać przedsiębiorcę za dostawcę wysokiego ryzyka, będzie podejmował Minister Cyfryzacji z urzędu lub na wniosek Przewodniczącego Kolegium ds. Cyberbezpieczeństwa, czyli Prezesa Rady Ministrów. Decyzja będzie oparta na opinii Kolegium ds. Cyberbezpieczeństwa. W ramach Kolegium funkcjonować będzie specjalny zespół. Jego zadaniem będzie analizować wszystkie rodzaje zagrożeń, które wiążą się z danym dostawcą, jego usługami i produktami. W skład tego zespołu wejdzie m.in. przedstawiciel Urzędu Ochrony Konkurencji i Konsumentów, co sprawi, że analiza dostawcy będzie dokładna.
W opinii mec. Macieja Szambelańczyka postępowanie administracyjne w przedmiocie uznania dostawcy za Dostawcę Wysokiego Ryzyka toczyć się będzie w dość mało transparentnym trybie, a same przesłanki, na podstawie których Minister Cyfryzacji wydawać będzie takie decyzje również są bardzo ocenne.
„Zgodnie z projektem Minister będzie mógł uznać danego dostawcę za Dostawcę Wysokiego Ryzyka, gdy dostawca ten >>stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi<<. Bezpośrednią konsekwencją takiej decyzji będzie obowiązek wycofania z przedsiębiorstw objętych nową ustawą o KSC produktów pochodzących od dostawcy wysokiego ryzyka. Projekt nie przewiduje przy tym żadnych odszkodowań dla przedsiębiorców. Oznacza to konieczność rezygnacji z produktów i usług, na które firmy poniosły czasem bardzo wysokie nakłady i które to produkty lub usługi są niezbędne z punktu widzenia prowadzenia przez daną firmę działalności” – zauważa Szambelańczyk.
O to, o jakich ryzykach związanych z cyberbezpieczeństwem w przypadku fotowoltaiki możemy mówić, zapytaliśmy NASK.
„Warto zauważyć, że przepisy zaproponowane w projekcie nowelizacji ustawy o KSC nie odnoszą się do kraju pochodzenia – dla możliwości przeprowadzenia postępowania nie ma znaczenia, skąd pochodzi dany produkt. O możliwości uznania jego dostawcy za high risk vendor będzie decydował szereg różnych czynników, zarówno tych o charakterze technicznym, prawnym (w tym w zakresie ochrony danych osobowych), jak i organizacyjnym. Będą one stwierdzane w drodze szczegółowych analiz. Nie sposób abstrakcyjnie, bez dokonania tego rodzaju ocen, stwierdzić, jakie jest ryzyko w zakresie dopuszczenia grupy producentów z danego państwa do udziału w rynku krajowym” – mówi Aleksandra Szczęsna z Zespołu Analiz Strategicznych Cyberpolicy w NASK.
Uznanie podmiotu za Dostawcę Wysokiego Ryzyka będzie równoznaczne z koniecznością wycofania podchodzącego od niego użytkowanego sprzętu lub oprogramowania. Jak informuje Ministerstwo Cyfryzacji, przewidziany na to czas to 7 lat, a w przypadku krytycznych funkcji sieci i usług komunikacji elektronicznej – 4 lata.
Kto zostanie Dostawcą Wysokiego Ryzyka?
„Aby zapewnić ciągłość świadczenia usług, w tym tych, które są istotne dla społeczeństwa informacyjnego, nie przewiduje się natychmiastowego wycofania sprzętu lub oprogramowania od dostawcy wysokiego ryzyka. 7 lat lub 4 lat na to, by wycofać sprzęt, jest wystarczające, ponieważ pozwala zachować ciągłość działania i zminimalizować koszty. Podmiot będzie miał czas na to, by zastąpić sprzęt lub oprogramowanie oraz rozłożyć koszty. Do czasu, gdy wycofa sprzęt, będzie mógł dalej go użytkować w zakresie napraw, modernizacji, wymiany elementów lub aktualizacji, jeśli będzie to niezbędne do tego, by zapewnić odpowiednią jakość i ciągłość usług” – informuje Ministerstwo.
Jeśli jednak rozwiązanie to ma służyć zapewnieniu cyberbezpieczeństwa polskich przedsiębiorstw, to pozostawienie „ryzykownego” sprzętu czy oprogramowania w przedsiębiorstwie przez kolejne 7 lat na pewno mija się z celem tej regulacji, która wydaje się raczej wymierzona w chińskich producentów. Trudno sobie wyobrazić, że takie restrykcje miałyby dotknąć firmę europejską czy amerykańską.
Unia Europejska i USA próbują walczyć z chińską dominacją w energetyce słonecznej na wiele sposobów. W 2019 amerykańscy kongresmeni nawoływali do ograniczenia użycia falowników Huawei, wyrażając obawy o podatność na cyberataki lub wykorzystywanie ich do szpiegowania przez chiński rząd, co doprowadziło do zwiększonej kontroli i nacisków na ograniczenie użycia technologii Huawei w infrastrukturze krytycznej. W efekcie Huawei Solar wycofał się z USA. Rząd Joe Bidena wprowadził też cła na chińskie panele.
Podobne rozwiązanie stosowała już UE, ale efektów wzmocnienia europejskich producentów nie widać, za to zmniejszony dostęp do tanich spowolnił tempo przyrostu mocy w fotowoltaice. Szacuje się, że około 90% komponentów instalacji fotowoltaicznych wykorzystywanych w Polsce pochodzi z Chin. Koszty ich wymiany (lub też koszty wynikające z zakazu wprowadzania ich do obrotu) mogą okazać się gigantyczne.
