Premier, ministrowie i służby ocenią dostawców dla polskich operatorów komórkowych - jest już znana skala ocen

Ministerstwo Cyfryzacji udostępniło projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa. Projekt nie wyklucza żadnego dostawcy, ale precyzuje nowe obowiązki polskich operatorów związane z koniecznością zapewnienia odpowiedniego poziomu cyberbezpieczeństwa.

Autorzy projektu przyznają, że wdrożenie nowych zasad wygeneruje po stronie operatorów koszty. Według ministerstwa jednak „podmiot inwestujący we własne cyberbezpieczeństwo zyskuje zaufanie osób trzecich i potencjalnych kontrahentów.
Dostosowanie się do nowych wymogów pozwoli przedsiębiorcom skuteczniej dbać o cyberbezpieczeństwo w swojej działalności, co przełoży się na bezpieczne prowadzenie biznesu i minimalizację ryzyka strat.”

Wejście w życie projektowanej regulacji ma stanowić także podstawę do ubiegania się o dodatkowe środki z budżetu państwa.

Najważniejszym organem będzie Kolegium do Spraw Cyberbezpieczeństwa.

Na czele Kolegium stoi Prezes Rady Ministrów, a w jego skład wchodzą: minister właściwy do spraw wewnętrznych, minister właściwy do spraw informatyzacji, Minister Obrony Narodowej, minister właściwy do spraw zagranicznych, Szef Biura Bezpieczeństwa Narodowego, minister – członek Rady Ministrów właściwy do spraw koordynowania działalności służb specjalnych, a jeżeli nie został wyznaczony – Szef Agencji Bezpieczeństwa Wewnętrznego oraz Sekretarz Kolegium. W posiedzeniach Kolegium będą uczestniczyli także: Dyrektor Rządowego Centrum Bezpieczeństwa, Szef Agencji Bezpieczeństwa Wewnętrznego, Szef Służby Kontrwywiadu Wojskowego i Dyrektor NASK.

Kolegium może sporządzić (na wniosek członka Kolegium), ocenę ryzyka dostawcy sprzętu lub oprogramowania.

Ocena będzie zawierała:

• analizę zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania
• prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, uwzględniającą stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem oraz prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka,
• prawodawstwo w zakresie ochrony danych osobowych
• strukturę własnościową dostawcy sprzętu lub oprogramowania,
• zdolność ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania;
• liczbę i rodzaje oraz sposób i czas eliminowania wykrytych podatności i incydentów
• stopień, w jakim dostawca sprzętu lub oprogramowania sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania oraz ryzyka dla procesu wytwarzania i dostarczania sprzętu lub oprogramowania;

Finalna ocena ryzyka dostawcy sprzętu lub oprogramowania będzie zawierała ocenę w następującej skali:

• wysokie ryzyko, jeżeli dostawca sprzętu lub oprogramowania stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa i zmniejszenie poziomu tego ryzyka przez wdrożenie środków technicznych lub organizacyjnych nie jest możliwe, albo
• umiarkowane ryzyko, jeżeli dostawca sprzętu lub oprogramowania stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa a zmniejszenie poziomu tego ryzyka możliwe jest przez wdrożenie środków technicznych lub organizacyjnych, albo
• niskie ryzyko, jeżeli dostawca sprzętu lub oprogramowania stanowi niewielkie zagrożenie dla cyberbezpieczeństwa państwa, albo
• brak zidentyfikowanego poziomu ryzyka, jeżeli nie stwierdzono zagrożenia dla cyberbezpieczeństwa państwa lub jego poziom jest znikomy.

Dostawca sprzętu lub oprogramowania którego dotyczy ocena określająca wysokie ryzyko może odwołać się w terminie 14 dni od publikacji komunikatu o sporządzonej ocenie do Kolegium. Kolegium rozpatruje odwołanie w ciągu 2 miesięcy od otrzymania.

W przypadku sporządzenia oceny ryzyka określającej wysokie ryzyko dostawcy sprzętu lub oprogramowania operatorzy:

• nie wprowadzają do użytkowania sprzętu, oprogramowania i usług określonych w ocenie danego dostawcy sprzętu lub oprogramowania;
• wycofują z użytkowania sprzęt, oprogramowanie i usługi określone w ocenie danego dostawcy sprzętu lub oprogramowania nie później niż 5 lat od dnia ogłoszenia komunikatu o ocenie.

W przypadku sporządzenia oceny określającej umiarkowane ryzyko dostawcy sprzętu lub oprogramowania operatorzy:

• nie wprowadzają do użytkowania sprzętu, oprogramowania i usług określonych w ocenie danego dostawcy sprzętu lub oprogramowania;
• mogą kontynuować użytkowanie dotychczas posiadanych egzemplarzy sprzętu, oprogramowania oraz rodzaju i liczby usług wykorzystywanych przed opublikowaniem komunikatu o ocenie danego dostawcy sprzętu lub oprogramowania.

Dodana zostanie administracyjna kara pieniężna nakładana na podmioty krajowego systemu cyberbezpieczeństwa za nie stosowanie się do obowiązków zapisanych powyżej.

W przypadku operatorów nie stosujących się do obowiązków związanych z wysokim ryzykiem dostawcy kara wynosi do 3% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Przy ryzyku umiarkowanym kara wynosi do 1% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.