Po sześciu latach rząd Donalda Tuska kończy prace nad ustawą o krajowym systemie cyberbezpieczeństwa (UKSC). Projekt ochrzczono nazwą "lex Huawei", ponieważ wielu ekspertów nie ma złudzeń, że chodzi o wypchnięcie chińskich firm z Polski. Jak? Np. na podstawie przesłanki o dostawcy z kraju wysokiego ryzyka. Ministerstwo cyfryzacji przekonuje jednak, że ustawa nie jest skierowana przeciwko żadnej firmie i żadnemu państwu.
Na pytanie dlaczego pomimo jasnych wymogów unijnych wynikających z dyrektywy NIS2 (nie ma tam słowa o procedurze uznawania dostawcy za tzw. podmiot wysokiego ryzyka (HRV) z mechanizmem takim jak w polskim projekcie ustawy) zastosowano takie określenia resort odpowiada, że chodzi o maksymalne zwiększenie cyberbezpieczeństwa. Dlatego po kieszeni mają oberwać polscy przedsiębiorcy wszystkich sektorów gospodarki (polski projekt zamiast wymogu unijnego co do krytycznych elementów sieci 5G rozszerza mechanizmy ochronne na wszystkie 18 sektorów gospodarki)? Resort odpowiada znowu, że przecież chodzi o bezpieczeństwo państwa. A co z polskimi przedsiębiorcami? Kto zabezpieczy ich interesy?
Warto przyjrzeć się dokładnie odpowiedziom Ministerstwa Cyfryzacji, zwłaszcza, że nawet w rządzie pomysły tego resortu są uważane za kontrowersyjne. Jak informowała we wrześniu tego roku „Rzeczpospolita” „Ministerstwa Rozwoju i Technologii (…) ostrzega, że wprowadzenie przepisów w obecnym kształcie może doprowadzić do nadregulacji i uderzenia w biznes”.
Rząd chce ochrony nad gospodarką kosztem… gospodarki?
Dlaczego polska ustawa o krajowym systemie cyberbezpieczeństwa rozszerza swoim zakresem obowiązki wynikające z ustawy na 18 sektorów polskiej gospodarki? Ministerstwo Cyfryzacji odpowiada, że “Zgodnie z NIS2 wszystkie podmioty kluczowe i ważne mają obowiązek wdrożyć środki zapewniające bezpieczeństwo łańcuchów dostaw”. - Obowiązek ten nie dotyczy więc tylko sektora telekomunikacyjnego. Cyberzagrożenia w obszarze łańcuchów dostaw należy ujmować holistycznie i uwzględnić zagrożenia potencjalnie występujące, nie tylko w jednym z sektorów, lecz we wszystkich – tłumaczy resort.
Innymi słowy, cała gospodarka ma się przestawiać (a właściciele firm wiedzą, że nie obejdzie się to bez drenowania ich kieszeni), aby być bardziej cyber bezpieczną. Tyle, że przedstawiciele Ministerstwa Cyfryzacji zapomnieli, że podejście holistyczne nie oznacza, że każdy element ICT (technologie informacyjno-komunikacyjne) jest krytyczny i należy go weryfikować i usuwać. Nawet dyrektywa NIS2 mówi wyraźnie, że środki zarządzania ryzykiem w cyberbezpieczeństwie powinny być proporcjonalne do ryzyka, jakie zagraża danym sieciom i systemom informatycznym, przy czym należy uwzględniać najnowszy stan wiedzy na temat takich środków oraz, w stosownych przypadkach, normy europejskie i międzynarodowe, a także koszt ich wdrożenia. Czy u nas ktoś ocenił w sposób precyzyjny najbardziej newralgiczne miejsca ICT do ochrony, czy hurtem chronimy wszystkich i wszystko? Do tego, czy ktoś policzył koszty takiego hurtownictwa?
Hipotetyczne ryzyko czy mechanizm dla lobbingu?
„Kierujemy się przekonaniem, że wdrożenie przepisów UE takich jak dyrektywa NIS2, Toolbox 5G i związana z nimi procedura HRV (dotycząca dostawców wysokiego ryzyka), a także certyfikacja bezpieczeństwa czy sektorowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT-y sektorowe) wzmocnią poziom cyberbezpieczeństwa Polaków oraz podmiotów publicznych i prywatnych” – informuje resort Cyfryzacji.
Fachowcy z branży ICT ostrzegają jednak, że oparcie procedury HRV na kryteriach nie technicznych nie adresuje ryzyka wystąpienia incydentu krytycznego ani podatności w sprzęcie – opiera się jedynie na hipotetycznym ryzyku. Element ten może być swobodnie wykorzystywany w celu wyeliminowania z rynku konkurencji, co stwarza grunt pod niebezpieczny lobbing przy użyciu KSC. Nie jest przy tym tajemnicą, że eliminacja takich firm jak Huawei to miliardy euro dla chińskich konkurentów z Szwecji czy Korei Południowej.
Ministerstwo czaruje cyframi. Manipulacja?
Swoje działania resort usprawiedliwia następująco: „Jest to szczególnie potrzebne, bo wiemy już, że niestety ten rok będzie wyjątkowy pod względem liczby zarejestrowanych incydentów. Od początku roku CSIRT-y krajowe zidentyfikowały ich już niemal 160 tysięcy.”
Na Czytelniku liczba ta na pewnie robi wrażenie. Podświadomie sugeruje, że Putin i jego poplecznicy próbują codziennie zhakować polskie 16 sektorów gospodarki, które trzeba objąć KSC. Jak jest naprawdę? Co oznacza liczna 160 tysięcy incydentów tylko w 2025 roku?
Sposób prezentacji danych przez Ministerstwo Cyfryzacji może wprowadzać w błąd co do charakteru incydentów. Dysponujemy ogólnodostępnym Raportem CERT za 2024 rok. Okazuje się, że znakomita większość incydentów to zwykłe, pospolite obecnie oszustwa komputerowe - 97 995, natomiast liczba incydentów kluczowych klasyfikowanych jako poważne, a więc takich których wystąpienie spowodowało lub mogło spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej wyniosła 57. Mało tego, wśród 57 incydentów poważnych odnotowanych w 2024 roku 44 zdarzenia miały miejsce w sektorze bankowości i infrastruktury rynków finansowych, 11 dotyczyło sektora ochrony zdrowia oraz dwa były związane z sektorem transportu. Żaden nie dotyczył infrastruktury telekomunikacyjnej ani energetycznej. Wynika z tego, że mamy rację: identyfikacja niebezpieczeństw dotyczących HRV opiera się na ryzyku czysto hipotetycznym, a straszenie liczbą 160 tys. incydentów jest demagogią i manipulacją emocjami odbiorców komunikatów resortu Cyfryzacji.
Ile rząd wyda na walkę z hipotetycznym ryzykiem?
Najnowsza wersja ustawy zakłada (co potwierdza Ocena Skutków Regulacji), że przez 10 lat na wdrożenie przepisów ustawy państwo polskie wyda 8 mld zł, a pierwotnie miały to być 4 mld. Zapytano więc Ministerstwo Cyfryzacji czy dodatkowe 4 mld zł mieszczą się w przepisach wskazanych przez dyrektywę unijną NIS2, czy są to ponadnormatywne autorskie rozwiązania rządu.
„Kwestie wydatków budżetu państwa na finansowanie wejścia w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa zostały rozstrzygnięte przez Radę Ministrów. Ministerstwo Cyfryzacji rekomenduje poniesienie adekwatnych wydatków mających na celu zapewnienie funkcjonowania krajowego systemu cyberbezpieczeństwa” – twierdzą służby prasowe Ministerstwa Cyfryzacji.
Innymi słowy, resort zaznaczył, że wydamy jako państwo na wdrożenie KSC adekwatnie do potrzeb i zagrożeń. Co to znaczy adekwatnie? Na razie kolejne dodatkowe 4 miliardy złotych, które w budżecie biorą się z podatków Polaków. Z ustawy zaś nie wynika, na czym dokładnie polegać ma adekwatność wydatków i tym bardziej nie zostały one uzasadnione poza ogólnymi stwierdzeniami typu „wzmocnienie cyberbezpieczeństwa”. Po prostu dorzucono do zaplanowanych 4 miliardów kolejne 4 miliardy złotych lekką ręką. Z naszej kieszeni. Na tym jednak nie koniec.
Zdaniem ministerstwa KSC pomoże gospodarce…
Jak to możliwe, że dodatkowe obciążenia (np. konieczność wymiany chińskiego oprogramowania) zwiększą wydolność polskich przedsiębiorców? Dziennikarze zapytali ministerstwo czy wprowadzenie ustawy o krajowym systemie cyberbezpieczeństwa nie spowolni konkurencyjności 18 sektorów polskiej gospodarki, których będą dotyczyć wykluczenia zawarte w obecnym projekcie ustawy. Resort stanowczo zaprzecza, że takie ryzyko istnieje. W jaki sposób ekonomiczne 2 + 2 daje w resorcie 5? Oto odpowiedź z MC:
„Jesteśmy przekonani, że nowe przepisy przyczynią się do rozwoju firm w bezpieczniejszym otoczeniu i do większej konkurencyjności polskiego rynku technologicznego. Wierzymy, że znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa przyczyni się nie tylko do zwiększenia poziomu cyberbezpieczeństwa w podmiotach publicznych i prywatnych, które są nią objęte, lecz także będzie miała przełożenie na bezpieczeństwo każdego obywatela”.
Wielu ekspertów nie ukrywa zażenowania taką logiką. W przypadku wdrożenia najbardziej restrykcyjnych przepisów w całej UE, wszyscy przedsiębiorcy poniosą dodatkowe koszty, przykładowo na wymianę sprzętu, których nie będą musieli ponieść ich konkurenci działający w innych państwach UE. Analogicznie polscy przedsiębiorcy nie będą mieli także dostępu do tańszych technologii dostępnych dla ich konkurentów w innych państwach. Osłabi to konkurencyjność polskich firm na tle innych podmiotów w UE, a taki wniosek oznacza, że 2 + 2 daje 4, czyli przekładając to na realia, po restrykcyjnym wprowadzeniu UKSC Polska być może będzie musiała zastąpić dotychczasowych dostawców, np. chińskich, a import z Chin to 83% paneli fotowoltaicznych, 33% sprzętu radiowo-telewizyjnego, 48% układów drukowanych, 61% urządzeń półprzewodnikowych, 28% maszyn elektrycznych, elektroniki, 19% urządzeń mechanicznych i części... Pytanie do Ministerstwa Sprawiedliwości zostaje więc takie samo i zostaje nadal bez jasnej odpowiedzi: w jaki sposób ma się to nie odbić na polskiej gospodarce?
Logika Ministerstwa Cyfryzacji idzie jednak jeszcze dalej. Zdaniem przedstawicieli resortu „skutki decyzji dotyczą ograniczonej liczby podmiotów przede wszystkim podmiotów kluczowych i ważnych. Nie wpływa ona na osoby prywatne, które dalej mogą korzystać ze sprzętów wskazanych w tej decyzji”.
Są różne szacunki dotyczące kosztów wdrożenia KSC, ale jeśli przyjąć, że koszt wdrożenia będzie wynosił 2 miliardy EUR to kosztami zostaną bez wątpienia obciążeni konsumenci. Co do tego nie mają wątpliwości analitycy założonej w 1999 roku Frontier Economics, obecnie jednaj z największych w Europie firm doradztwa ekonomicznego („Wpływ rygorystycznej kontroli dostawców w ramach wdrażania NIS2 w Polsce RAPORT KOŃCOWY” z 13 września 2024 r.). Resort Cyfryzacji nie widzi jednak zagrożenia np. wzrostu cen sprzętu elektronicznego.
KSC zgodne z Konstytucją? Co z notyfikacją techniczną?
Konstytucja i jej obrona miały być kanonem rządu Donalda Tuska, który pod tym hasłem wrócił do władzy. Dziennikarze zapytali więc czy Rządowe Centrum Legislacji analizowało ustawę pod kątem zgodności z Konstytucją. Zdaniem resortu Cyfryzacj „Rządowe Centrum Legislacji (RCL) analizowało projekt ustawy o krajowym systemie cyberbezpieczeństwa pod kątem zgodności treści upoważnień ustawowych do wydania rozporządzeń z Konstytucją”. Ministerstwo dodaje lakonicznie, że „Stanowisko do projektu UKSC jest powszechnie dostępne na stronie internetowej RCL: https://legislacja.rcl.gov.pl/projekt/12384504.” Okazuje się, że było wiele stanowisk dotyczących niezgodności KSC z Konstytucją – ostatnie to chociażby opinia Prof. Ryszarda Piotrowskiego, która… nie została opublikowana na stronach RCL.
Temat legislacji drążono głębiej i zapytano, czy prawdą jest, że nie będzie możliwości prawnych do stosowania przepisów w stosunku do przedsiębiorców z uwagi na niedokonanie notyfikacji technicznej do Komisji Europejskiej w ramach TRIS? Odpowiedź Ministerstwa Cyfryzacji warto odnotować w całości:
„Nie jest to prawdą. Przepisy ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw nie stanowią przepisów technicznych (w rozumieniu dyrektywy (UE) 2015/1535 Parlamentu Europejskiego i Rady z dnia 9 września 2015 r. ustanawiającej procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego) i dlatego nie podlegają notyfikacji. Natomiast jeśli decyzja o uznaniu dostawcy za dostawcę wysokiego ryzyka zostałaby wydana, to będzie podlegać obowiązkowej notyfikacji technicznej, gdyż dopiero wydanie tej decyzji wprowadzi ograniczenia związane z obrotem towarami.”
Wydaje się, że stanowisko Ministerstwa Cyfryzacji jest – mówiąc najoględniej – nieprawdziwe. Na stronie RCL została opublikowana opinia Prof. Bogdanowicza, z której wynika, że ustawa zawiera przepisy techniczne, które powinny zostać właściwe zakomunikowane Komisji Europejskiej w ramach procedury TRIS. Ministerstwo Rozwoju i Technologii, które odpowiada za procedurę notyfikacyjną, przekazało właściwe informacje do resortu Cyfryzacji, z których wynika ryzyko braku możliwości stosowania tych przepisów w razie braku notyfikacji TRIS. Analogiczna sytuacja miała miejsce w związku z wprowadzeniem ograniczeń dotyczących napojów energetycznych. Warto przywołać tu tę analogię szerzej.
17 października uchwalono ustawę o zmianie ustawy o zdrowiu publicznym. Celem zmiany było uchylenie przepisów zawartych w rozdziale 3b dotyczącym sprzedaży i oznaczenia napojów z dodatkiem kofeiny lub tauryny oraz w rozdziale 4a dotyczącym przepisów karnych. Jednocześnie projekt wprowadzał te same regulacje ponownie w nowym rozdziale 3c (i odpowiednio zmieniał przepisy karne w rozdziale 4b). Zabieg ten był wyłącznie prowizoryczny, ponieważ notyfikacji można dokonać tylko w stosunku do projektowanych, a nie obowiązujących przepisów.
Co dalej? Procesy, straty, bankructwa i… zyski konkurentów chińskich firm
Zapytano wprost, czy oszacowano już możliwe wysokości rekompensat dla przedsiębiorców z tytułu wygranych procesów o odszkodowania przed międzynarodowymi trybunałami arbitrażowymi. Ministerstwo Cyfryzacji nie widzi problemu i odpowiada, że „Nie ma podstawy do przyjęcia, że wejście w życie ustawy o krajowym systemie cyberbezpieczeństwa doprowadzi do przegranych przez Rzeczpospolitą Polską spraw przed międzynarodowymi trybunałami arbitrażowymi”.
Tymczasem obawy w tym zakresie wystosował już udziałowiec Huawei Polska, który wskazał na ryzyko naruszenia bilateralnej umowy między Polską a Chinami oraz naruszenie Traktatu Karty Energetycznej. Takich spraw, które będą się toczyć przed międzynarodowymi trybunałami arbitrażowymi może być wiele. W przypadku przegranych zapłaci Polska (czytaj podatnik).
Dlaczego KSC to „lex Huawei”?
Ministerstwo Cyfryzacji odżegnuje się od potwierdzenia, że chodzi o uderzenie w Huawei’a i inne chińskie firmy. „Bez przeprowadzenia szczegółowej analizy z uwzględnieniem wymienionych przesłanek w ramach sformalizowanej procedury nie jest możliwe przesądzenie, czy i jaki dostawca, z jakiego kraju, będzie uznany za dostawcę wysokiego ryzyka” – twierdzi resort i dodaje, że „Na obecnym etapie nie wiadomo nawet, czy kiedykolwiek zajdzie potrzeba wydawania decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka”.
To nie zmienia jednak faktu, że procedura jest uznaniowa. Bez względu na liczbę przesłanek zawartych w ustawie, mechanizm jest na tyle uznaniowy, że pozwala na wykluczenie podmiotu wyłącznie w oparciu o kryteria nie techniczne. Znając wrażliwość przedstawicieli tego rządu, nie zdziwiłoby, gdyby wykluczając chińskie firmy podniesiony został argument z nieprzestrzegania praw człowieka (oczywiście nikt nie przewiduje, że podobne traktowanie mogłoby objąć np. Izrael…).
Ministerstwo Cyfryzacji podkreśla, że „projekt ustawy o krajowym systemie cyberbezpieczeństwa nie jest skierowany przeciwko jakiemukolwiek państwu”. - Istotą projektu jest ochrona państwa polskiego przed dostawcami sprzętu lub oprogramowania, którzy stwarzają zagrożenie dla podstawowego interesu bezpieczeństwa państwa. Projekt nie wyklucza żadnych firm – twierdzi resort. Czy to prawda? Zaprzecza temu sam premier Donald Tusk, który stwierdził, że musi istnieć pełna kontrola sprzętu, na którym pracują instytucje państwowe. Tusk – przytaczany przez Cyberdefence24.pl - zwrócił uwagę na konieczność systematycznej wymiany sprzętu tam, gdzie występuje ryzyko ze względu na m.in. kraj pochodzenia czy brak wsparcia (źródło: https://cyberdefence24.pl/polityka-i-prawo/rzad-przyjal-projekt-nowelizacji-ustawy-o-krajowym-systemie-cyberbezpieczenstwa).
Co zrobią Chiny?
UKSC jest procedowana od sześciu lat. Pierwsze zapisy, które uderzać miały w chińskie firmy powstały już za rządów Prawa i Sprawiedliwości i są rozwijane przez rząd Donalda Tuska. 12 września 2021 roku Wirtualna Polska relacjonowała możliwy chiński odwet za legislację uderzającą w Huawei’a i inne chińskie firmy:
„Chiny pokazują jednoznacznie, że kto podniesie rękę na przedsiębiorców z Państwa Środka, ten zostanie zdemolowany na arenie chińskiej. Gdy globalna kampania przeciwko Huaweiowi zaczęła nabierać tempa, w styczniu 2021 r. w Chinach przyjęto przepisy antyblokujące. W największym uproszczeniu zakładają one możliwość nałożenia "środków wzajemnych" na biznes z państw, które postanowiły zaszkodzić Chińczykom” – pisali wówczas dziennikarze wp.pl i tłumaczyli, że „Jeżeli więc Polska zdecyduje się wykluczyć Huaweia z rodzimego rynku budowy sieci komórkowej, Chińczycy będą mogli pozbyć się polskich przedsiębiorców ze swojego rynku”.
Ale przecież Ministerstwo Cyfryzacji podkreśla, że w ustawie nie ma słowa „Chińczycy” tylko dostawcy wysokiego ryzyka więc – zdaniem resortu - wszystko gra. Czy jednak nie chodzi tak naprawdę o to, żeby wydać 8 miliardów złotych na wyautowanie chińskich firm robiąc miejsce na rynku dla innych graczy takich jak np. Ericsson czy Samsung? Pytanie to zostawiamy otwarte.
Jak wygląda w praktyce wojowanie z Chinami?
Przegrywa Polska, wygrywają inne państwa. Przykład? W kwietniu tego roku Reuters informował, że koncern Leapmotor (chiński producent elektrycznych samochodów osobowych) potwierdził, że model T03 nie jest już montowany w zakładzie w Tychach. Kolejne modele też prawdopodobnie nie będą montowane w naszym kraju. Oficjalnych przyczyn nie podano, ale Reuters wskazał, że chodzi o antychińską politykę i odwet ze stronu rządu Chin.
„W zeszłym roku partnerzy zrezygnowali z planów produkcji w Polsce drugiego modelu Leapmotor, elektrycznego crossovera B10. Decyzja ta zapadła po tym, jak chiński rząd prywatnie nakazał producentom samochodów wstrzymanie dużych inwestycji w krajach europejskich, które poparły dodatkowe cła Unii Europejskiej na chińskie pojazdy elektryczne (…). Polska była jednym z krajów UE, które poparły cła. Hiszpania, która wstrzymała się od głosu w sprawie ceł UE, jest obecnie faworyzowana w kwestii produkcji Leapmotor B10 EV” – można było przeczytać na Reuters.com
Hiszpanie wiedzieli jak zadbać o swoich obywateli. My za to do ceł dokładamy „lex Huawei” strasząc Polaków dziesiątkami tysięcy incydentów, bo przecież przestraszony Polak szybciej kupi nowe złe ustawy, które uderzą finalnie wszystkich po kieszeni.
Bolesław Rad - publicysta
Fot. Pixabay.com
Inne tematy w dziale Gospodarka
