Prezes KIKE o KSC: obecny kształt projektu jest szkodliwy dla Polski

W Sejmie ruszyły prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która ma wdrożyć unijną dyrektywę NIS2, z opóźnieniem względem terminu przypadającego na październik 2024 roku. Po pierwszym czytaniu projekt trafił do dalszych prac w komisji cyfryzacji. Wśród założeń pojawiają się między innymi CSIRT-y sektorowe, rozszerzenie katalogu podmiotów objętych KSC oraz mechanizmy finansowania instytucji takich jak NASK.

W rozmowie z CyberDefence24 prezes KIKE Karol Skupień ocenia jednak, że obecny kształt projektu jest „szkodliwy dla Polski” i może pogorszyć bezpieczeństwo cyfrowe obywateli. Jego zdaniem pod hasłem wdrażania NIS2 do projektu dodano rozwiązania krajowe, które nie wynikają z dyrektywy i mogą prowadzić do nadużyć, ponieważ przesuwają ciężar decyzji technologicznych na administrację.

Najostrzej krytykowanym elementem jest instytucja dostawcy wysokiego ryzyka. Skupień twierdzi, że NIS2 nie wymaga wprowadzania takiego mechanizmu, a jego źródłem są rekomendacje 5G Toolbox odnoszące się do sieci 5G, które w polskim projekcie miały zostać rozszerzone na inne technologie, w tym sieci stacjonarne. Według prezesa KIKE problemem jest też konstrukcja procedury, w której minister mógłby nakazać wymianę sprzętu, a odpowiedzialność i skutki kosztowe spadałyby na firmy, co w skali rynku może oznaczać wydatki liczone w miliardach złotych.

Prezes KIKE przekonuje również, że uzasadnianie zmian koniecznością obrony przed rosyjskimi cyberatakami jest nietrafione, bo pochodzenie sprzętu nie zatrzyma samych ataków, a może za to zaburzyć łańcuch dostaw. Zapowiada, że organizacja będzie próbowała przekonać posłów komisji cyfryzacji do zmian w projekcie, choć spodziewa się, że o losach ustawy zdecyduje dyscyplina partyjna, a polityka przeważy nad argumentami branży.

Pełna treść wywiadu dostępna jest na stronie CyberDefence24.pl.