Projekt ustawy o krajowym systemie cyberbezpieczeństwa nie gwarantuje zwiększenia poziomu cyberbezpieczeństwa, a nowe przepisy mogą zbytnio ingerować w działalność przedsiębiorstw i negatywnie wpłynąć na konkurencyjność polskiej gospodarki – uważa Konfederacja Lewiatan.

– Naszym zdaniem, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, (Zespół) który ma działać na poziomie krajowym, powinien realizować wyłącznie zadania o charakterze publicznym i niekomercyjnym. Jego funkcjonowanie na rynku konkurencyjnym, budzi istotne wątpliwości, szczególnie w sytuacji gdy możliwość pozyskiwania (z mocy prawa) informacji od innych podmiotów stawia go w uprzywilejowanej pozycji – mówi dr Aleksandra Musielak, ekspertka Konfederacji Lewiatan.

Pracodawcy zgłosili kilka uwag do projektu ustawy:

  1. Brak ograniczenia zakresu uprawnień nadzorczych i kontroli wyłącznie do obszaru związanego bezpośrednio ze świadczeniem usług kluczowych.
  2. Brak określania wymagań dla „specjalistów” angażowanych przez organy nadzorcze na potrzeby prowadzonych przez nie kontroli.
  3. Bardzo szerokie uprawnienia Zespołu w zakresie możliwości żądania od operatorów telekomunikacyjnych udostępnienia informacji dotyczących ich działalności oraz przyjętych rozwiązań organizacyjno – technicznych, a także przyznania organom nadzoru prawa do wydawania wiążących zaleceń. Wprowadzenie takich rozwiązań może ograniczać swobodę działalności gospodarczej, a jednocześnie obniżać efektywność prowadzonych działań w obszarze cyberbezpieczeństwa.
  4. Brak publikacji kluczowych aktów wykonawczych. Uwzględniając, że nowe obowiązki oraz ograniczenia prowadzenia działalności gospodarczej mogą być wprowadzane wyłącznie w drodze ustawowej, wątpliwości budzi fakt, że do konsultacji nie zostały skierowane projekty obligatoryjnych rozporządzeń, których postanowienia będą bardzo istotne dla całego systemu ochrony cyberprzestrzeni, a tym samym mają kluczowy wpływ na ocenę całości proponowanych rozwiązań.  Ustawa powinna być konsultowana i procedowana w pakiecie wraz ze wszystkimi (przynajmniej obligatoryjnymi) aktami wykonawczymi.
  5. Brak jednego punktu zgłoszeń incydentów na poziomie krajowym, do którego można byłoby je zgłaszać , a do którego kompetencji należałoby odpowiednie przekierowanie incydentu. Takie rozwiązanie wydaje się efektywniejsze, niż zaproponowany, dość skomplikowany model zgłaszania poszczególnych kategorii  incydentów.
  6. Brak jednoznacznego i nie budzącego wątpliwości określenia odpowiedzialności za obsługę incydentu poważnego. Z jednej strony odpowiedzialność za obsługę incydentu spoczywa na operatorze, z drugiej zaś projekt ustawy przewiduje wprost uprawnienia Zespołu w zakresie obsługi incydentów poważnych, nie wskazując przy tym zasad przejmowania przez niego incydentów do obsługi oraz przyznając mu pewne uprawnienia „władcze” wobec operatora (np. wezwanie za pośrednictwem organu właściwego operatora do usunięcia podatności, żądanie informacji itd.).

W kodeksie karnym wciąż brak jest takich pojęć jak cyberprzestępczość, przestępczość komputerowa, czy przestępczość internetowa. Biorąc pod uwagę potrzebę kompleksowego zmierzenia się ze zjawiskiem cyberprzestępczości, groźnym dla obywateli, przedsiębiorców, organów państwa, Lewiatan postuluje pilne podjęcie prac, dzięki którym wszelkie nieautoryzowane działania przy zabezpieczeniach systemów byłyby ścigane z mocy prawa. Można byłoby, m.in.  wzorować się na rozwiązaniach przyjętych w Stanach Zjednoczonych, gdzie próba naruszenia stosowanych przez przedsiębiorców zabezpieczeń jest przestępstwem federalnym.

 

 

źródło: Konfederacja Lewiatan