Zapis stenograficzny

– wspólne posiedzenie Komisji Infrastruktury (137.)

oraz Komisji Obrony Narodowej (55.)

w dniu 9 lipca 2018 r.

Porządek obrad:

1. Rozpatrzenie ustawy o krajowym systemie cyberbezpieczeństwa (druk senacki nr 893, druki sejmowe nr 2505, 2659 i 2659-A).

(Początek posiedzenia o godzinie 17 minut 32)

(Posiedzeniu przewodniczy przewodniczący Komisji Infrastruktury Andrzej Misiołek)

Przewodniczący Andrzej Misiołek:

Szanowni Państwo, otwieram posiedzenie połączonych komisji: Komisji Infrastruktury oraz Komisji Obrony Narodowej.

Punkt 1. porządku obrad: rozpatrzenie ustawy o krajowym systemie cyberbezpieczeństwa (druk senacki nr 893, druki sejmowe nr 2505, 2659 i 2659-A)

W dzisiejszym porządku obrad jest jeden punkt, a mianowicie: rozpatrzenie ustawy o krajowym systemie cyberbezpieczeństwa; druk senacki nr 893.

Na dzisiejszym posiedzeniu witam serdecznie: pana Karola Okońskiego, podsekretarza stanu w Ministerstwie Cyfryzacji; pana Wojciecha Skurkiewicza, sekretarza stanu w Ministerstwie Obrony Narodowej; panią Katarzynę Prusak, dyrektor Departamentu Prawnego Ministerstwa Cyfryzacji; pana Krzysztofa Silickiego, zastępcę dyrektora NASK do spraw cyberbezpieczeństwa i innowacji w Ministerstwie Cyfryzacji; panią Iwonę Szulc, naczelnik wydziału w Departamencie Prawnym w Ministerstwie Cyfryzacji; pana Jakuba Dysarza, starszego specjalistę w Departamencie Cyberbezpieczeństwa Ministerstwa Cyfryzacji; pana Pawła Dziubę, zastępcę dyrektora Narodowego Centrum Kryptologii Ministerstwa Obrony Narodowej; pana Tomasza Bulirę, radcę prawnego w Narodowym Centrum Kryptologii Ministerstwa Obrony Narodowej; pana Marcina Brzezińskiego, szefa oddziału w Inspektoracie Informatyki Ministerstwa Obrony Narodowej; pana Jacka Matyszczaka, dyrektora Departamentu Bezpieczeństwa Telekomunikacyjnego w Urzędzie Komunikacji Elektronicznej; pana Jakuba Wiewióra, specjalistę do spraw legislacyjnych w Krajowej Spółdzielczej Kasie Oszczędnościowo-Kredytowej. Witam panów senatorów, witam panią legislator, witam sekretarzy obu komisji.

(Głos z sali: Jeszcze pani senator Anders.)

Ach, witam panią senator Anders. Przepraszam, nie zauważyłem. Witam serdecznie.

Poproszę pana ministra Karola Okońskiego o zreferowanie ustawy… Aha, przepraszam, jeszcze, Panie Ministrze.

Dla porządku muszę zapytać, czy w posiedzeniu uczestniczą przedstawiciele podmiotów prowadzących działalność lobbingową w rozumieniu ustawy o działalności lobbingowej w stanowieniu prawa. Nie.

Proszę więc pana ministra o zreferowanie ustawy.

Podsekretarz Stanu w Ministerstwie Cyfryzacji Karol Okoński:

Panie Przewodniczący! Szanowni Państwo!

Zakładam, że będziemy zaraz przechodzić przez całą ustawę, tak?

(Głos z sali: W Senacie tego nie ma.)

Dobrze, to…

(Przewodniczący Andrzej Misiołek: Gdyby syntetycznie pan minister zreferował istotę ustawy…)

Dobrze, tak…

(Przewodniczący Andrzej Misiołek: A w debacie może będziemy dotykali szczegółów…)

Dobrze.

Proszę państwa, powiem, że ta ustawa jest – myślę, że ważne jest podkreślenie tego – efektem nie tylko prac Ministerstwa Cyfryzacji, ale i szerokiej współpracy z partnerami zarówno ze strony rządowej, a jeśli chodzi o instytucje, to były to przede wszystkim Ministerstwo Obrony Narodowej i Agencja Bezpieczeństwa Wewnętrznego, jak również ze strony społecznej, bo były szerokie konsultacje, które prowadziliśmy na etapie przygotowania projektu ustawy. Wysłaliśmy projekt do prawie 180 różnych organizacji, prosząc o ich opinie, i część tych uwag w toku prac nad ustawą uwzględniliśmy. Co jest ważne, z racji tego, że ta ustawa wprowadza też definicje sektorów kluczowych i usług kluczowych, to z tymi ministerstwami, które będą opiekunami tych sektorów, tzw. organami właściwymi, również prowadziliśmy szerokie konsultacje. To dotyczy przede wszystkim Ministerstwa Energii, Komisji Nadzoru Finansowego, Ministerstwa Infrastruktury, Ministerstwa Zdrowia, Ministerstwa Gospodarki Wodnej i Żeglugi Śródlądowej.

Ta ustawa jest pierwszą ustawą, która porządkuje, opisuje obszar cyberbezpieczeństwa w Polsce. Do tej pory takiego aktu nie było, były bardziej rozproszone przepisy. Przede wszystkim ma ona przyczynić się, takim jej celem nadrzędnym jest przyczynienie się do wzrostu poziomu bezpieczeństwa systemów informacyjnych tak, by obywatele mieli poczucie, że mogą w bezpieczny sposób korzystać z tych usług, które świadczą zarówno przedsiębiorcy, jak i administracja publiczna. No, siłą rzeczy, z czego zdajemy sobie sprawę, biorąc pod uwagę penetrację, jeśli chodzi o systemy informatyczne w obszarze tych usług, które mają znaczenie dla państwa, niezawodność tych systemów i bezpieczeństwo są po prostu kluczowe dla działalności gospodarczej i społecznej w Polsce. Te działania, które podejmujemy, przede wszystkim mają zadanie zapewnienie tego, że jakiekolwiek incydenty, które będą rozpoznane, jeśli chodzi o cyberbezpieczeństwo, zostaną maksymalnie szybko zdiagnozowane, że będzie jasno uporządkowana ścieżka postępowania w przypadku każdego incydentu, że incydenty będą podzielone na incydenty poważne i krytyczne i zależnie od procedury podejmowane będzie inne działanie, że będą też jasno wydzielone kompetencje jednostek, które są centralnymi punktami w obszarze cyberbezpieczeństwa, a to są te jednostki, które nazywamy CSIRT, czyli to są centralne zespoły, które zajmują się koordynacją i zarządzaniem incydentami komputerowymi. To, co też w tym systemie porządkujemy, to jest to, że jednoznacznie wskazujemy, do którego – w zależności od tego, o którym podmiocie mówimy – z 3 tych CSIRT należy te incydenty zgłaszać. Jest CSIRT będący w kompetencji ministra obrony narodowej, do którego zgłoszenia kierują wszystkie podmioty, nad którymi nadzór pełni minister obrony narodowej, który uzyskuje pewne specjalne prawa w sytuacji stanu wyjątkowego w Polsce. Mamy też całą infrastrukturę krytyczną państwa, nad którą kontrolę sprawuje CSIRT Agencji Bezpieczeństwa Wewnętrznego. Pozostałe podmioty, sektory, zarówno, jeśli chodzi o podmioty publiczne, jak i podmioty komercyjne, swoje zgłoszenia kierują do CSIRT NASK-owego, prowadzonego przez NASK, który jest instytutem w nadzorze ministra cyfryzacji.

Jednocześnie oprócz tego uporządkowania współpracy w zakresie cyberbezpieczeństwa w Polsce projektowane przepisy są implementacją dyrektywy, tzw. dyrektywy NIS, czyli dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terenie Unii. Te przepisy, o czym trzeba pamiętać, w dużej mierze odwołują się do przepisów jednego z rozporządzeń wykonawczych, do dyrektywy dotyczącej incydentów istotnych. Musieliśmy więc zachować dużą korelację z zapisami tamtej właśnie dyrektywy, tzw. dyrektywy NIS. Pamiętajmy też, że to, co powoduje, że procedowanie nad tym projektem jest sprawą ważną i pilną jednocześnie, to jest to, że termin na transpozycję dyrektywy do prawa polskiego minął 9 maja, tak że jest już po czasie, jakkolwiek widać, że implementacja dyrektywy do prawa lokalnego jest sprawą dosyć długich prac legislacyjnych w innych krajach. Bo gdy porównamy się z innymi krajami europejskimi, to zobaczymy, że są tylko pojedyncze kraje, które wdrożyły w pełni ten akt prawny, spora ich część jest na takim etapie jak my, część krajów jest jeszcze w ogóle na etapie konsultacji społecznych.

Myślę, że warto też powiedzieć, że właśnie zgodnie z dyrektywą NIS oprócz wspomnianych już tych 3 centralnych punktów do zgłaszania incydentów przez podmioty krajowe, projekt ustanawia też pojedynczy punkt kontaktowy, który z kolei służy do współpracy między krajami członkowskimi Unii Europejskiej, czyli ten punkt jest jeden w Polsce i ma za zadanie zapewniać komunikację w obie strony, jeśli chodzi o występowanie incydentów i współpracę z innymi krajami europejskimi. Co ważne, w ramach tej współpracy europejskiej mamy też europejską sieć CSIRT, które w ramach współpracy wymieniają się wiedzą i współtworzą najlepsze praktyki, jak również grupę współpracy, która na poziomie strategicznym ustala sposób współdziałania, jeśli chodzi o cyberprzestrzeń.

Mamy też w ustawie precyzyjnie zdefiniowane obowiązki, które są nakładane na tzw. operatorów usług kluczowych. Tak jak wspomniałem, dyrektywa NIS wprost wskazuje szereg sektorów gospodarki, które uznaje za kluczowe. W ramach tych właśnie sektorów z kolei wyróżnia się usługi kluczowe, a w ramach usług kluczowych definiuje się operatorów usług kluczowych. To, który podmiot finalnie będzie zaliczony do tego grona, zależy właśnie od rodzaju prowadzonej działalności, ale też od spełnienia tzw. progu istotności danego przedsiębiorstwa dla danego sektora. Delegacje do ustanowienia tych progów są w ustawie. Same progi będą stanowione w rozporządzeniu, które w tym momencie jest również w trakcie konsultacji międzyresortowych. Oprócz tego obowiązki są też nakładane na… A, może jeszcze uzupełnię, że dla każdego – co jest ważne – z tych sektorów gospodarki, obszarów kluczowych ustanawiany jest tzw. organ właściwy, czyli to jest ministerstwo lub w przypadku sektora finansów, usług finansowych to jest Komisja Nadzoru Finansowego, którego zadaniem jest wypracowywanie, m.in. wskazanie i wypracowanie listy operatorów w danym sektorze, a dodatkowo wypracowanie pewnych standardów i rekomendacji dla działania danego sektora, który siłą rzeczy ma też swoją specyfikę związaną z rodzajem prowadzonej działalności przez te podmioty. Oprócz tego ustawa precyzuje też obowiązki nakładane na tzw. dostawców usług cyfrowych, dla których definiuje się tzw. incydent istotny, który też podlega specjalnemu traktowaniu w ustawie, a którego to progi z kolei wynikają z rozporządzenia wykonawczego do dyrektywy NIS. Nakładane są też obowiązki na inne podmioty publiczne, które nie są operatorami usług kluczowych.

Oprócz tego precyzuje się też obowiązki ministra właściwego do spraw informatyzacji, jeśli chodzi o współpracę w obszarze celów bezpieczeństwa, również przy opracowaniu strategii dotyczącej cyberbezpieczeństwa oraz przygotowanie systemu, który będzie stanowił domyślne narzędzie do rejestracji incydentów w ramach poszczególnych CSIRT. Określi się też kwestię nadzoru i kontroli tych zadań określonych w ustawie, m.in. zakres kontroli, uprawnienia kontrolerów oraz postępowanie w razie stwierdzenia naruszenia przepisów ustawy. Jeśli chodzi o instytucje ważne w systemie cyberbezpieczeństwa, to ustanawia się i określa zadania pełnomocnika rządu do spraw cyberbezpieczeństwa oraz kolegium do spraw cyberbezpieczeństwa. Celem tych 2 podmiotów jest zapewnienie koordynacji zadań na poziomie rządowym pomiędzy ministerstwami.

Tak że, Szanowni Państwo, ustawa przy okazji implementacji dyrektywy NIS precyzuje, ustanawia jasny, klarowny zestaw definicji sposobu współpracy w obszarze cyberbezpieczeństwa i według nas będzie ważnym elementem w zapewnieniu odpowiedniego poziomu niezawodności i bezpieczeństwa systemów informatycznych w Polsce. Dziękuję.

Przewodniczący Andrzej Misiołek:

Dziękuję bardzo, Panie Ministrze.

Czy pan minister Skurkiewicz chce zabrać głos?

(Sekretarz Stanu w Ministerstwie Obrony Narodowej Wojciech Skurkiewicz: Wiodące jest Ministerstwo Cyfryzacji. My tylko i wyłącznie wspomagamy.)

Tak, ale ponieważ pan minister zaszczycił nas dzisiaj swoją obecnością, nie mogłem nie zadać tego pytania.

Proszę panią legislator o opinię Biura Legislacyjnego Senatu do tej ustawy.

Główny Legislator w Biurze Legislacyjnym w Kancelarii Senatu Iwona Kozera-Rytel:

Dziękuję bardzo, Panie Przewodniczący.

Wysoka Komisjo! Szanowni Państwo!

Biuro Legislacyjne pozwoliło sobie sformułować 7 uwag do ustawy. Część z nich ma charakter pewnych wątpliwości czy też uwag ogólnych, część, znaczna część tych uwag to są uwagi technicznolegislacyjne, które nie mają wpływu na merytoryczną zawartość ustawy, i one w większości przypadków kończą się konkretną propozycją poprawki. Przechodzę do poszczególnych przepisów.

Pierwsza uwaga Biura Legislacyjnego dotyczy art. 8 pkt 1. Ten przepis stanowi, że operator usługi kluczowej jest obowiązany do wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniając wprowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem. Wątpliwości Biura Legislacyjnego dotyczą tego, jak należy rozumieć to systematyczne szacowanie ryzyka wystąpienia incydentu, innymi słowy, z jaką częstotliwością powinno odbywać się owe szacowanie ryzyka, ażeby można je było uznać na gruncie tej ustawy za systematyczne. A ma to o tyle znaczenie, że zgodnie z art. 73 ust. 1 operator usługi kluczowej, który nie przeprowadza systematycznego szacowania ryzyka, będzie podlegał karze pieniężnej w wysokości do 150 tysięcy zł.

Kolejna uwaga Biura Legislacyjnego dotyczy art. 12 ust. 1 pkty 5 i 6. Cały art. 12 odnosi się do instytucji zgłoszenia incydentu poważnego. W słowniczku do ustawy zostało wyjaśnionych 5 pojęć, 5 incydentów: incydent, incydent krytyczny, incydent poważny, incydent istotny i incydent w podmiocie publicznym. W związku z tym, że art. 12 dotyczy incydentu poważnego, należy zwrócić uwagę na pewną niekonsekwencję, ponieważ w pkcie 5 i w pkcie 6 w ust. 1 art. 12 mówi się po prostu o incydencie. Jeśli chodzi o pkt 5, to wydaje się, że tu jest zwyczajna niekonsekwencja terminologiczna i można by ją bardzo łatwo wyprostować. Jeśli chodzi o pkt 6, to tutaj można się zastanawiać, czy tu jest zwykła niekonsekwencja terminologiczna, czy też ustawodawca chciałby poszerzyć obowiązki informacyjne operatorów usług kluczowych i zobowiązać ich do przekazywania informacji na temat każdego incydentu, który potencjalnie może mieć wpływ na świadczenie usługi kluczowej. Jeśli taka była wola ustawodawcy, to w ocenie Biura Legislacyjnego między art. 12 ust. 1 pktem 6 a art. 13 ust. 1 może zachodzić pewna niespójność, można by powiedzieć nawet sprzeczność, ponieważ z art. 12 ust. 1 pkt 6 wynikać będzie obowiązek zgłaszania również innych incydentów aniżeli incydent poważny, a z art. 13 ust. 1 wynikać będzie fakultatywność zgłaszania takich informacji. W związku z tym wydaje się, że tutaj coś nie gra.

Kolejna uwaga Biura Legislacyjnego dotyczy art. 15 ust. 2 pktu 2 lit. c. To już jest uwaga bardziej o charakterze technicznolegislacyjnym. W tym przepisie znalazło się takie blankietowe odesłanie do bliżej nieokreślonych przepisów odrębnych. Jest to niewłaściwa metoda konstruowania odesłań – ona jest niezgodna z zasadami technik prawodawczej, ale też z dobrymi praktykami legislacyjnymi, ponieważ zgodnie z zasadami techniki prawodawczej należałoby odesłać do konkretnej ustawy – niemniej jednak analizując ten przepis, Biuro Legislacyjne doszło do wniosku, że tutaj takie odesłanie jest w istocie zbędne, że nie ma potrzeby formułowania tutaj odesłania do konkretnych przepisów ustawowych, ponieważ norma wynikająca z tego przepisu jest oczywista i w związku z tym to sformułowanie „odrębne przepisy” można by w ogóle z ustawy wykreślić bez uszczerbku dla normy wynikającej z tego przepisu.

Podobne uwagi dotyczą art. 44 ust. 1 i art. 47 ust. 1. Chyba nie ma potrzeby omawiania szczegółowo tych przepisów, ponieważ to jest sprawa techniczna.

Kolejna, czwarta uwaga Biura Legislacyjnego, dotycząca art. 26 ust. 1, również dotyczy sprawy technicznej, niemającej większego znaczenia dla rozumienia przepisu. Jest jednak taka zasada, że wskazanie ministra w przepisach ustawy powinno być zgodne z nazwą działu administracji rządowej, którym kieruje, czyli zgodne z ustawą o działach administracji rządowej. Dopuszczalne są 2 wyjątki, czyli dotyczące ministra obrony narodowej i ministra sprawiedliwości, których to ministrów wskazuje się nazwami własnymi, a to dlatego, że o nich wprost wspomina konstytucja. W związku z tym art. 26 ust. 11 powinien nie tyle mówić o ministrze cyfryzacji czy też o Dzienniku Urzędowym Ministra Cyfryzacji, ile o ministrze właściwym do spraw informatyzacji. Zresztą takim prawidłowym określeniem posługuje się ustawa w pozostałych swoich przepisach.

Kolejna uwaga Biura Legislacyjnego dotyczy art. 35 i art. 36. To są przepisy dotyczące obsługi incydentów krytycznych. I tu również uwaga o charakterze terminologicznym, ponieważ te przepisy powinny konsekwentnie posługiwać się określeniem „incydent krytyczny”, a nie „incydent”. Tak jak już wspominałam, różne rodzaje incydentów, czyli 5 rodzajów incydentów, zostały zdefiniowane w ustawie i w związku z tym posługiwanie się określeniami zamiennie należy uznać za nieprawidłowe.

Kolejna uwaga Biura Legislacyjnego, dotycząca art. 49 ust. 1 pkt 1, to jest uwaga o charakterze precyzującym. Zgodnie z art. 49 ust. 1 pkt 1 pojedynczy punkt kontaktowy jest obowiązany przekazać grupie współpracy informacje, o których mowa w art. 45 ust. 1 pkt 3. Z tym, że art. 45 ust. 1 pkt 3 nie mówi o informacjach, ale o rocznych sprawozdaniach. W związku z tym należałoby przepis art. 49 ust. 1 pkt 1 doprecyzować tak, aby nie odnosił się on do informacji, ale do rocznych sprawozdań.

I ostatnia uwaga Biura Legislacyjnego, dotycząca art. 94, tj. przepisu o wejściu ustawy w życie. Przewiduje się tutaj 14-dniowe vacatio legis. Wydaje się jednak, że ze względu na zakres regulacji i dlatego, że ustawa nakłada obowiązki, daleko idące obowiązki, również na przedsiębiorców i podmioty spoza sfery publicznej, można się zastanawiać, czy ten standardowy okres vacatio legis jest wystarczający, w szczególności jeżeli spojrzymy na przepisy dotyczące decyzji o uznaniu podmiotu za operatora usługi kluczowej. Czy taka decyzja będzie mogła być wydana już w dniu wejścia ustawy w życie? Bo jednocześnie ustawa przewiduje, że takiej decyzji nadaje się rygor natychmiastowej wykonalności. Niektórzy przedsiębiorcy mogą być, jak się wydaje, zaskoczeni taką sytuacją, ponieważ w bardzo krótkim czasie będą musieli się dostosować do wymogów ustawowych.

Dziękuję. To są wszystkie uwagi Biura Legislacyjnego.

Przewodniczący Andrzej Misiołek:

Dziękuję bardzo, Pani Mecenas.

Poprosiłbym może pana ministra, aby pan się odniósł do tych uwag.

Podsekretarz Stanu w Ministerstwie Cyfryzacji Karol Okoński:

Panie Przewodniczący! Wysoka Komisjo!

Po kolei odniosę się do tego, co mówiła pani mecenas.

Jeśli chodzi o art. 8 pkt 1 i kwestię, czy „prowadzenie systematycznego szacowania ryzyka” jest terminem jasnym, wystarczająco precyzyjnym, to chcemy zwrócić uwagę na 2 sprawy. Po pierwsze, samo szacowanie ryzyka czy analiza ryzyka jest czymś, co jest w tym momencie już dość powszechnie stosowane przez przedsiębiorców. Istnieją też konkretne metodyki czy też narzędzia, czy standardy, które wspierają wykonywanie tych czynności, więc jeśli chodzi o najlepsze praktyki, to jest tutaj punkt odniesienia, co oznacza wykonywanie ich we właściwy sposób, a więc również systematycznie. A drugi argument, druga ważna sprawa jest taka, że byłoby trudne do określenia na poziomie ustawy konkretnej częstotliwości z tej racji, że to zależy po prostu od konkretnej sytuacji, której ta analiza dotyczy. Bo zależy to od wielkości przedsiębiorstwa, do jego poziomu dojrzałości czy wewnętrznych procedur, zakresu działalności. Wskazanie takiego jednego terminu w ustawie byłoby po prostu zbytnim… no, byłoby niewłaściwe, bo oznaczałoby albo nałożenie zbyt dużych obowiązków na jednych, albo zbyt duże poluzowanie w stosunku do innych. Tak więc uważamy, że ten obecny zapis, obecne sformułowanie jest wystarczające i wnioskujemy o to, żeby po prostu pozostawić ten przepis bez zmian.

Czy mam się odnieść do wszystkich uwag po kolei?

(Głos z sali: Tak.)

Dobra.

(Przewodniczący Andrzej Misiołek: Myślę, że tak.)

Dobrze.

Tak więc w tym przypadku wnioskujemy, żeby tej uwagi nie przyjmować.

Jeśli chodzi o kwestię art. 12 ust. 1 pkty 5 i 6, to chcemy zwrócić uwagę na to, że z art. 12 ust. 1 z racji sposobu skonstruowania tych przepisów wynika, że dotyczą one incydentu poważnego, bo wynika to z art. 11 ust. 1 pkt 4, który po prostu mówi o obowiązku zgłaszania incydentów poważnych do właściwego CSIRT. Jeśli chodzi o nazewnictwo w art. 12 ust. 5 i 6, to uważamy, że przepisy… W trakcie konstruowania ich i oceny oraz dyskusji na ich temat nie budziły one wątpliwości, więc według nas w tym momencie nie ma potrzeby ich doprecyzowywania. Tak więc jako strona rządowa byśmy wnioskowali o odrzucenie tej uwagi.

Jeśli chodzi o propozycje poprawek, które się sprowadzają do usunięcia wyrazów „zgodnie z odrębnymi przepisami”, to chcemy zwrócić uwagę na to, że tutaj świadomie użyliśmy tego zwrotu, by podkreślić, że w tych konkretnych przypadkach, o których mowa w tych artykułach, których dotyczy przygotowana poprawka… że te zagadnienia właśnie wymagają odrębnych przepisów i dopiero one będą konkretnie realizować zapisy, będą nakładać te ustawowe obowiązki, uprawnienia. Tym samym pozostawiamy pewnego rodzaju otwartą furtkę co do tego, jak w tych obszarach dokładnie będzie ta ustawa funkcjonować. I chcielibyśmy pozostawić w związku z tym to brzmienie bez zmian i po prostu nie uwzględnić tej poprawki.

Jeśli chodzi o art. 20 pkt 4, art. 26 ust. 11, to naszym zdaniem też wskazanie ministra cyfryzacji nie budzi wątpliwości, w szczególności również dlatego, że minister cyfryzacji kieruje jednym działem administracji: informatyzacja, więc w tym przypadku jest to jednoznaczne. I też prosilibyśmy w związku z tym o nieprzyjmowanie tej poprawki.

Jeśli chodzi o art. 35 i 36, to z brzmienia tych artykułów wynika, że regulują one właśnie kwestię incydentów krytycznych, dlatego nie ma według nas potrzeby powtarzania tego w samym brzmieniu tych artykułów. W dotychczasowych dyskusjach, które mieliśmy, one nie budziły wątpliwości interpretacyjnych. W szczególności każdy incydent zakwalifikowany przez CSIRT może być zakwalifikowany jako incydent krytyczny. Stąd uważamy, że użycie tutaj słowa „incydent” bez sprecyzowania jest zasadne. I prosilibyśmy o nieuwzględnienie również tej poprawki.

Jeśli chodzi o art. 49 ust. 1 pkt 1, to zgodnie z tym, co jest w art. 49 ust. 1 pkt 1, tymi informacjami, które są przekazywane do pojedynczego punktu kontaktowego grupie współpracy, są dane zawarte właśnie w sprawozdaniu określonym w art. 45 ust. 1 pkt 3. Tym samym więc przywołana tutaj korekta w art. 49 nie jest niezbędna z racji tego, że ten przepis w tym kształcie nie powinien budzić jednak wątpliwości. I proponujemy, żeby tej poprawki też nie uwzględniać.

I ostatnia uwaga, siódma, dotycząca vacatio legis. Podobną dyskusję mieliśmy też w Sejmie. Zwrócenie uwagi na to, że ten okres jest krótki, jak rozumiemy, jest czymś naturalnym. Ale z drugiej strony chcemy też podkreślić, że z perspektywy samej implementacji ustawy te obowiązki nakładane na operatorów usług kluczowych, a one są, powiedzmy, w największym stopniu tymi najbardziej pracochłonnymi, wymagającymi najwięcej przygotowania… No, zgodnie z przepisami są terminy 3- i 6-miesięczne na dostosowanie, więc nie jest to dokładnie termin wejścia w życie ustawy. A poza tym pamiętajmy, że obowiązki faktycznie będą nałożone na konkretne przedsiębiorstwa dopiero wtedy, kiedy te przedsiębiorstwa będą zaliczone do operatorów kluczowych, a organy właściwe mają termin na wydanie decyzji co do zaliczenia danego przedsiębiorstwa lub instytucji jako operatora kluczowego do 9 listopada br. Zatem z perspektywy tych firm czy tych instytucji, które mogą potencjalnie być na liście operatorów kluczowych, to jest ten dodatkowy czas na wstępne przygotowanie się do realizacji tych obowiązków. Tak że w tej sytuacji prosilibyśmy również o utrzymanie bieżącego brzmienia i nieprzyjmowanie tej poprawki. Dziękuję.

Przewodniczący Andrzej Misiołek:

Dziękuję bardzo.

Otwieram dyskusję.

Proszę bardzo, pan senator.

Senator Michał Potoczny:

Dziękuję, Panie Przewodniczący.

Ja chciałbym zapytać pana ministra o 2 sprawy. Wymienił pan 3 CSIRT, które generalnie dotyczyły: pierwszy – obrony narodowej, drugi – bezpieczeństwa wewnętrznego, a trzeci – ogólnie instytucji, przedsiębiorstw na rynku krajowym. A co z obywatelami, tzw. przeciętnymi Kowalskimi, którzy np. co kilkanaście dni dostają zawiadomienie z jakiejś tam wyimaginowanej firmy kurierskiej, która ich informuje, że przesyłka się spóźnia, że jest do dopłaty jakaś kwota, a w załączniku jest w formacie JavaScript rzekoma faktura? No, wiadomo, czym skutkuje otwarcie tego. Nie mówię o sobie, bo wtargnięcie w mój system informatyczny nie powoduje zagrożenia dla państwa. Ale są, załóżmy, ludzie starszej daty albo bezrefleksyjni i otworzą sobie taki załącznik, który umożliwi przejęcie kontroli nad ich komputerem. To jest pierwsze pytanie: gdzie te incydenty należy zgłaszać? Bo nie słyszałem, żeby któryś z wymienionych CSIRT jakby miał w kompetencjach tego typu sprawy.

No i drugie, takie bardziej ogólne pytanie: czy ministerstwo liczy się z utrudnieniami, które spowoduje to, co potocznie zwane jest klauzulą… pewnego rodzaju nadzorem nad internetem? Chodzi o to przyjmowane w najbliższym czasie przez Komisję Europejską uregulowanie dotyczące jak gdyby tych odpowiedzialności, kar itd. To w sumie nie chroni przed atakami cybernetycznymi w żadnym zakresie, raczej chroni przed wolną myślą i odmiennym zdaniem, bo tam są, zdaje się, treści cenzurowane, a nie sama forma techniczna. Czy to nie będzie jakimś utrudnieniem, jeśli chodzi o planowaną ustawę? Dziękuję.

Przewodniczący Andrzej Misiołek:

Dziękuję.

To może pan minister się ustosunkuje.

Podsekretarz Stanu w Ministerstwie Cyfryzacji Karol Okoński:

Panie Przewodniczący! Wysoka Komisjo!

Faktycznie, jak wymieniałem te różne instytucje, to do tego katalogu nie dodałem obywateli. Obywatele swoje zgłoszenia, swoje podejrzenia mogą kierować do CSIRT NASK-owego, jakkolwiek, i ta ustawa też to precyzuje, zgłoszenia od obywateli co do zasady są traktowane domyślnie przez NASK jako zgłoszenia incydentów o mniejszej skali oddziaływania. Niemniej jeśli ze zgłoszeń obywatela wynika, że to jest coś, co może wpływać na poziom bezpieczeństwa w szerszej skali, to jak najbardziej… taki incydent może również być traktowany jako incydent poważny… to znaczy chciałem powiedzieć, że jako incydent krytyczny, jeśliby faktycznie mógł wpływać na znaczącą populację obywateli. W każdym razie obywatele mogą zgłaszać – i tak zresztą już teraz się zdarza – te incydenty do CSIRT NASK-owego. A oprócz tego, niezależnie od tej ścieżki, jeżeli jest podejrzenie jakiegoś wyłudzenia czy działania niezgodnego z przepisami, to zawsze jest ścieżka zgłoszenia tej sprawy po prostu na Policję. Policja też ma swoje wydziały do walki z cyberprzestępczością i również opracowuje swoje zasady i rekomendacje w tym obszarze.

Jeśli chodzi o tę dyrektywę o prawach autorskich – ona też ma swoją nazwę, taka potoczną nazwa to „podatek od linków”, nazwa „ACTA 2” mi się nie podoba, więc jej nie używam, bo ona ewidentnie sugeruje jednak całą tę falę dyskusji, która miała miejsce przy ACTA 1 czy przy ACTA bez numerku, tę pierwszą dyskusję – to powiedziałbym, że jesteśmy w takim etapie legislacyjnym w Unii Europejskiej, że nie możemy faktycznie przesądzić, w jaki sposób te przepisy zostaną uchwalone przez Parlament Europejski. Jak państwo wiedzą, sprawozdanie na temat tych przepisów, które Komisja przygotowała, zostało odrzucone przez Parlament, więc posłowie wrócą jeszcze raz do tych przepisów. Polskie stanowisko, stanowisko polskiego rządu jest takie, żeby traktować w sposób maksymalnie zrównoważony prawa zarówno wydawców, jak i tych platform, które są pośrednikami treści. I wydaje nam się, że ta konstrukcja przepisów, która była przyjęta przez Radę, a którą można było… To znaczy jesteśmy w stanie wyinterpretować te przepisy w taki sposób, by nie ograniczać, by nie doprowadzić do cenzury internetu. Jeśli one przejdą w takim kształcie, jaki jest zgodny ze stanowiskiem rządu, to według nas nie powinny mieć znaczącego wpływu na poziom zarządzania treściami w internecie. Problem jest tylko taki, że ta dyskusja jest wciąż otwarta i ewidentnie wciąż ścierają się te 2 grupy interesów. Jednak uważamy, że ten wątek z perspektywy samego bezpieczeństwa mimo wszystko nie powinien mieć wpływu na wdrożenie tych naszych przepisów i samej dyrektywy NIS. Dziękuję.

Przewodniczący Andrzej Misiołek:

Dziękuję bardzo.

Pan senator Peczkis.

Senator Grzegorz Peczkis:

Ja mam 2 pytania, 2 wątpliwości.

Pierwsza dotyczy tego, że w zasadzie, jeśli spojrzeć np. na to, co w Senacie się dzieje na biurkach bardzo ważnych osób, tych, które odpowiadają za prawo polskie, za państwo polskie, to widać, że funkcjonujemy, opierając się na standardach, systemach operacyjnych typu Windows, które są ogólnoświatowe i w zasadzie bez względu na to, co sobie tutaj teraz uchwalimy, nie mamy wpływu na algorytmy tych programów. Mało tego, nawet jeśli wiemy, zdajemy sobie sprawę z jakichś luk w tych konkretnych systemach, to również nie mamy na to wpływu. Czyli albo jesteśmy użytkownikiem tego programu, decydujemy się na ten konkretny system operacyjny, albo możemy go ewentualnie nie mieć – to jest nasz wybór. Innymi słowy, obawiam się, Panie Ministrze, że to, co my tutaj teraz tworzymy, zgłaszanie incydentów… No, możemy je zgłaszać. A jaki wpływ pan minister ma nawet na to, czy Microsoft w kolejnym programie… czy wypuści jakąś poprawkę, która uwzględni to, co pan minister chce przekazać? No, obawiam się, że ten wpływ jest niewielki. Jeśli się mylę, to uprzejmie proszę, żeby mnie poprawić. Bo te u nas to są, cokolwiek by mówić, jedne z najważniejszych komputerów w państwie polskim. Jak bywam w ministerstwach, też widzę, że one funkcjonują, cały czas opierając się na tym konkretnym, jednym systemie, o którym prasa fachowa wypowiada się w sposób jednoznaczny: jest pełen dziur. I teraz tak: my z nim funkcjonujemy, bo jako naród nie wypracowaliśmy żadnego innego systemu, i ja to doskonale rozumiem. Tylko że zgłaszamy incydenty, jest lista kar dla przedsiębiorców. Jak pan chce ukarać np. Microsoft za to, że jest luka w systemie, którą my wyłapiemy? To po pierwsze.

Druga sprawa. Jak już nawet pan wyłapie incydenty, które skataloguje jako bardzo poważne, krytyczne itd… Np. ktoś, wykorzystując naszą naiwność, pobiera od nas nasze dane, a później je sprzedaje. Jest taka firma Facebook, ostatnio miała taką wpadkę, że sprzedała dane wielu milionów swoich użytkowników. No i co się stało? No, przyjeżdża właściciel czy założyciel tej firmy, pan Zuckerberg, i mówi: przepraszam, no faktycznie, coś takiego miało miejsce. Jakie państwo macie argumenty, jakie państwo macie narzędzia do realizowania tego? Bo mamy sytuację krytyczną – to była sytuacja krytyczna, bezwzględnie, Amerykanie to ustalili – i z tym nic nie da się zrobić. Realnie w zglobalizowanym świecie Europa nie jest najsilniejszym ośrodkiem. Mało tego, Unia Europejska nie ma na to kompletnie żadnego wpływu, bo to są de facto instytucje prywatne.

I jeszcze jedna sprawa, ostatnia… Czyli to drugie pytanie jest takie: jaki państwo macie realnie wpływ na to, żeby dany incydent ukarać? Bo znamy osobę, która to spowodowała, znamy firmę, mamy adresy i im włos z głowy nie spada.

I trzecia sprawa to sprawa tych tzw. programów anty… To się…

(Głos z sali: Antywirusowych.)

Tak, antywirusowych. I znowu to są programy, które są tworzone w bardzo konkretnych państwach.

(Głos w sali: Np. w Rosji.)

Tak. To są programy, które są tworzone w bardzo konkretnych państwach. I ja również widuję w ministerstwie program tworzony w Rosji czy programy tworzone w państwie Izrael. Przecież państwo nie znacie tych systemów, nie znacie ich algorytmów, nie da się, bo one są ukryte, ich przejrzeć. Mimo to posługujemy się nimi w dobrej wierze, że one nas przed czymś chronią. To pytanie: czy one nas chronią, czy raczej oddają kontrolę nad naszym komputerem, nad naszymi informacjami w ręce kogoś innego? I czy państwo ten problem jakkolwiek próbowaliście analizować? Dziękuję.

Przewodniczący Andrzej Misiołek:

Proszę, Panie Ministrze, o ustosunkowanie się.

Podsekretarz Stanu w Ministerstwie Cyfryzacji Karol Okoński:

Dobrze.

Panie Przewodniczący! Wysoka Komisjo! Panie Senatorze!

Po kolei. Na pana pytanie postawione w ten sposób, czy mamy wpływ na Microsoft, kiedy wyda kolejną łatkę albo jak zaprojektuje dany system, oczywiście wprost… Tzn. my jako Polska, czy tym bardziej my jako ministerstwo nie mamy na to wpływu. Niemniej skala tej organizacji i to, że oni faktycznie co dzień wydają nowy build, nową wersję oprogramowania i śledzą błędy, oraz z racji właśnie skali wykorzystania oprogramowania muszą upewnić się, że… Luka w tym programie faktycznie ma później kaskadowy wpływ na miliony, miliony instytucji na świecie. W tym sensie dojrzałość tej organizacji według mnie w jakiś sposób powoduje, że ona musi w swojej analizie ryzyka procesu wytwarzania oprogramowania te sprawy uwzględniać i wydawać duże środki na to, żeby zachować najwyższy poziom bezpieczeństwa.

Kolejne pytanie: czy znajdziemy inny system, który byłby alternatywą? Sam pan odpowiedział, że będzie to trudne. Bo można np. mówić o systemach, które byłyby bezpieczniejsze, ale wtedy napotykamy na bariery związane z kompetencjami, i to zarówno po stronie administratorów systemu, jak i jeśli chodzi o oprogramowanie czy aplikacje, które są dla danego systemu operacyjnego po prostu przygotowywane. To, co jedynie możemy robić, to wydawanie na poziomie instytucji rządowych pewnych zaleceń co do konfiguracji tych systemów operacyjnych no i też w sposób maksymalny wpływanie na poziom kompetencji w tych instytucjach czy poziom zarządzania oprogramowaniem, w szczególności tak, by dopilnować przynajmniej tego, żeby zawsze mieć najbardziej aktualną wersję systemu i stosować regularne upgrade’y. Tutaj nie ma prostego rozwiązania oprócz tego właśnie, żeby zależnie od systemu dostosowywać… Jeśli chodzi o masowe wykorzystania, to w tym momencie trudne wydaje się znalezienie alternatywy i musimy dbać po prostu o to, żeby w maksymalny sposób wpływać na ustandaryzowanie i zagwarantowanie, że mamy możliwie najbezpieczniejszą konfigurację tego rozwiązania.

Jeśli chodzi o systemy specjalistyczne, to tu jest większy poziom wpływu na to. Wtedy wchodzą w grę aplikacje dedykowane czy tzw. hardening systemu, który polega na po prostu wyłączeniu pewnych funkcji systemu operacyjnego, które są zbędne, a w których może być jakaś podatność na zagrożenia. Tylko że to wymaga już specjalistycznej wiedzy i dostosowania ich do konkretnych zastosowań biznesowych.

To, co jest ważne, to to, że poszczególne CSIRT, jak również organy właściwe mogą wydawać swoje rekomendacje dla generalnie obywateli czy dla poszczególnych sektorów i mogą ostrzegać przed pewnymi niebezpiecznymi zachowaniami czy pewnymi podatnościami, incydentami, w szczególności też podkreślać wagę instalowania jakiejś konkretnej poprawki, która jest przygotowana przez producenta.

To, na co też chciałbym zwrócić uwagę, to to, że te kary, o których mówimy w naszej ustawie, to nie są kary nakładane na producentów oprogramowania, ale to są kary związane z niedochowaniem tych procedur czy tych przepisów, które opisujemy w ustawie, w szczególności są to kary za niezgłoszenie incydentu w odpowiednim interwale czasowym, które mają zmobilizować poszczególnych uczestników tego systemu do tego, żeby maksymalnie szybko wymieniali się informacjami.

Jeśli w konsekwencji analizy incydentu wyszłoby, że powodem tego incydentu jest czyjeś świadome działanie, to wtedy wkracza czy ABW, jeśli chodzi o jakieś działania antyterrorystyczne czy związane wprost z bezpieczeństwem narodowym, czy Policja, czy organy ścigania, by w kolejnym kroku dociec tego, kto powinien ponieść konsekwencje stworzenia tego zagrożenia czy incydentu. I tym samym odpowiadam też częściowo na kolejne pytanie, zwracając uwagę na to, że ta ustawa nie nakłada nowych obowiązków związanych z walką z cyberprzestępczością, dlatego że kiedy mówimy, że dotykamy tutaj kwestii stwierdzenia czyjejś winy czy świadomego działania, to wtedy za pośrednictwem poszczególnego CSIRT angażowane są po prostu konkretne służby, które rozpoczynają swoje działania operacyjne i swoją procedurę zgodnie z bieżącymi przepisami.

Jeśli chodzi o to, o czym pan wspomniał odnośnie do Facebooka, to tutaj akurat większe nadzieje w związku z tym incydentem czy wyciekiem danych wiązałbym z wdrożeniem czy to przez Facebook, czy przez inne instytucje przepisu związanego z rozporządzeniem ogólnym o ochronie danych osobowych. Tam te kwestie są bardziej precyzyjnie regulowane, łącznie również z karami wprost nakładanymi na te instytucje, które nie dochowały należytej staranności. Działania edukacyjne, czy te Ministerstwa Cyfryzacji, czy te prezesa Urzędu Ochrony Danych Osobowych, w zakresie edukacji obywateli i ich świadomości, samoświadomości, jak ważne są ich dane, czego nie robić, w jakiejś przyszłości, z racji nawet tego, ile w tym momencie, z naszej perspektywy nawet zbyt dużego, jest szumu informacyjnego wokół RODO… No, jest przynajmniej jeden pozytywny aspekt tego całego wdrożenia, tzn. to, że na pewno wzrost świadomość obywateli co do wykorzystania ich danych osobowych i wzrost skrupulatności, jak zakładamy, będzie osiągnięty i poprzez wzmacnianie pewnymi działaniami edukacyjnymi będzie też przeciwdziałał pewnym próbom właśnie wyłudzenia tych informacji w przyszłości przez poszczególne przedsiębiorstwa.

Jeśli chodzi o programy antywirusowe – no, tutaj padł przykład Kaspersky’ego czy jakiegoś innego oprogramowania, które mogłoby być źródłem informacji dla obcych służb – to też zwracam uwagę na to, że nasza ustawa wprowadza jeden mechanizm, na razie w sposób taki dosyć, powiedziałbym, delikatny, jakkolwiek też z konkretną przesłanką zastosowania. Mianowicie jeśli zostanie stwierdzone w danej rekomendacji pełnomocnika do spraw cyberbezpieczeństwa, że dane oprogramowanie może rodzić pewne ryzyka wycieku danych, to pełnomocnik może wydać rekomendację, na którą, zgodnie ze znowelizowanym przepisem prawa zamówień publicznych, zamawiający będzie mógł się powołać, wykluczając dany podmiot z postępowania czy po prostu odrzucając tę ofertę, która zostanie złożona. Tak więc tworzymy pewien wstępny mechanizm reagowania na takie sytuacje. A w dłuższej perspektywie… Zakładamy, że wspólne prace na poziomie całej Unii Europejskiej nad przepisami związanymi z cyberbezpieczeństwem, Cybersecurity Act, które w części dotyczą procesu certyfikacji, mogą doprowadzić czy mogłoby doprowadzić – i taki jest też nasz, polski punkt widzenia – do wprowadzenia systematycznego procesu certyfikacji tych produktów, których użytkownikami są instytucje publiczne, po to, żeby właśnie na samym starcie wpływać na to i dawać większe poczucie pewności zamawiającym, że kupują produkty, które są w jakiś sposób atestowane czy sprawdzone przez państwo. Tak więc zakładam, że w dłuższej perspektywie to jest to kierunkowe działanie. Na razie instytucje będą mogły się posiłkować ewentualnie rekomendacjami wydanymi przez pełnomocnika do spraw cyberbezpieczeństwa. Dziękuję.

Przewodniczący Andrzej Misiołek:

Dziękuję bardzo.

Pan senator. Proszę bardzo.

Senator Rafał Ślusarz:

Panie Przewodniczący! Panie Ministrze!

Ja, jeśli chodzi o tę ustawę, czuję się zwiedziony może pewną drobną sprawą, ale jak się wydaje, kluczową, problemem, wokół którego już troszkę krążymy w związku z pytaniami kolegów, a mianowicie taką sprawą, którą chciałbym przedstawić poprzez pewną analogię. Otóż zagrożenie dla cyberbezpieczeństwa widziałbym jak pewną analogię zagrożenia pożarami. Pożary mogą wybuchać na różnych obszarach, powodując szereg szkód. No, te obszary są poniekąd zidentyfikowane w załączniku: system obrony państwa, system energetyczny, ale też choćby system baz danych pacjentów. No, tych obszarów jest cały szereg. A więc może wybuchać pożar na skutek działania świadomego lub nieświadomego, są pewne szkody, są pewne służby, tak samo, jak mamy straż pożarną. I mamy pewne regulacje prawne o systemie ochrony przeciwpożarowej, mamy ustawę o straży pożarnej. Przyjmując tę analogię, można powiedzieć, że ta nasza ustawa opisuje bardzo drobny fragment zajmowania się tego typu zjawiskiem, a mianowicie tym, czy pożary z należytą częstotliwością są zgłaszane przez odpowiednie służby. Krótko mówiąc, czy ta ustawa nie powinna nosić tytułu: ustawa o krajowym systemie zgłaszania naruszeń systemu cyberbezpieczeństwa? Bo ona nosi bardzo pompatyczny tytuł: ustawa o krajowym systemie cyberbezpieczeństwa. Ja się czuję jakby troszeczkę oszukany tą różnicą między tym, co jest w tytule, a tym, co jest w treści. Bo jeśli ja pójdę do wyborców i powiem, że u nas funkcjonuje krajowy system cyberbezpieczeństwa… No rzeczywiście, w takiej ustawie powinno być zawartych wiele odpowiedzi choćby na kwestie, które poruszył pan senator Peczkis czy które w ogóle były poruszane w debacie. To jest ta wątpliwość, którą pan minister też już podniósł, że czekamy jakby na kolejne rozwiązania, prawda? Ale jak my zatytułujemy tę kolejną ustawę, którą wdrożymy, skoro przyjęliśmy już tak potężną ustawę o krajowym systemie cyberbezpieczeństwa? Dziękuję bardzo.

Przewodniczący Andrzej Misiołek:

Dziękuję bardzo.

Proszę pana ministra o ustosunkowanie się do tej uwagi.

Podsekretarz Stanu w Ministerstwie Cyfryzacji Karol Okoński:

Zacznę od końca. Jeśli chodzi o pytanie o nazwę nowej ustawy, to na razie się powstrzymam od odpowiedzi, bo nie wiem, jaka ona będzie.

Proszę państwa, no, siłą rzeczy będziemy musieli reagować na to, co się dzieje zarówno w Polsce, jak i na poziomie europejskim. W jakiejś tam przyszłości te przepisy pewnie będą nowelizowane. Ale też chciałbym jasno powiedzieć, że to nie jest też tak, że my ją teraz uchwalamy z całą świadomością, że są w niej braki, i mówimy: trudno. Może ja w swoim wystąpieniu na początku za mało to podkreśliłem, ale oprócz takich spraw oczywistych, czyli kwestii zgłoszenia incydentów, której bym nie bagatelizował, bo szybkość reakcji, współpraca poszczególnych służb ma bardzo duże znaczenie w wyeliminowaniu tego incydentu i minimalizacji szkód… Pragnę zwrócić uwagę, proszę państwa, na to, że w zadaniach CSIRT w art. 26 w ustawie oprócz samej kwestii koordynacji czy zarządzania incydentami są też wspomniane inne kwestie i one są też proaktywne. W szczególności wprost wpisujemy w ustawie obowiązek monitorowania zagrożeń, incydentów, czyli mówimy również o aktywnym przyglądaniu się sytuacji, by jak najszybciej wychwycić pewne zagrożenia, zanim one zostaną zgłoszone przez konkretne przedsiębiorstwa. CSIRT będą też prowadzić szacowanie ryzyka związanego z tymi zagrożeniami, które obserwują czy to w innych krajach europejskich, czy u nas. Wydają też komunikaty o zidentyfikowanych zagrożeniach, czyli chodzi właśnie o to, żeby nie czekać, aż ileś instytucji masowo zacznie zgłaszać dany incydent, ale informować maksymalnie szybko, by przeciwdziałać ewentualnym konsekwencjom tego, że ktoś nieświadomy, że ten incydent występuje, uruchomi np. coś, co go wywołuje. CSIRT mogą też, tak jak powiedziałem, współpracować z pełnomocnikiem Rady Ministrów do spraw cyberbezpieczeństwa w obszarze badania urządzeń informatycznych i oprogramowania w celu właśnie samodzielnego rozpoznawania pewnych podatności po to, żeby można było wydać wobec nich np. jakąś rekomendację negatywną. Tak więc to nie jest tylko takie reaktywne czekanie na to, czy ktoś coś zgłosi, i potem upewnienie się, że pilnie się tym zajmiemy, ale tak jak mówiłem, jest też szereg działań wpisanych w ustawę, które wprost nakładają dodatkowe zadania na te CSIRT oraz na organy właściwe w swoich sektorach, po to, żeby maksymalnie jednak proaktywnie i z wyprzedzeniem zajmować się zagadnieniem cyberprzestrzeni. Tak że uważamy jednak bieżący tytuł za uprawniony.

Przewodniczący Andrzej Misiołek:

Dziękuję bardzo.

Pan senator Czerwiński się zgłaszał.

Senator Jerzy Czerwiński:

Panie Przewodniczący! Wysokie Komisje!

Ja mam kilka pytań szczegółowych, być może odpowiedzi pana ministra na te pytania szczegółowe rozjaśnią mi nieco, jaki jest rzeczywisty cel ustawy.

Pierwsze pytanie… Zacznijmy od końca, będzie prościej. Załącznik nr 2 „Usługi cyfrowe”. A co z bankowością cyfrową? Czy ona się mieści w którejś z tych dziedzin, która tutaj jest? Może w internetowej platformie handlowej? A jeśli nie, to dlaczego państwo opuszczacie cały dział bankowości cyfrowej jako usługi cyfrowej?

Załącznik nr 1 „Sektory i podsektory oraz rodzaje podmiotów”. No, w przypadku każdego takiego wyliczenia zawsze jest niebezpieczeństwo, że coś pominęliśmy. Mam więc pytanie do pana ministra: co z zaporami wodnymi? Który to jest sektor, który podsektor i na podstawie jakiej ustawy będzie zobowiązanie szczególnie do ochrony zapór wodnych? No, ja tego nie widzę, ale być może gdzieś to jest, może nie zauważyłem.

Następna kwestia: pełnomocnik, rozdział 12 art. 61. To jest pełnomocnik, który jest powoływany przez prezesa Rady Ministrów, ale nie wiadomo, gdzie on będzie, w którym z resortów. Czy to wynika z tego, że to jest jeszcze nieustalone, czy to wynika z tego, że to będzie płynne i będzie go można „przesuwać” między poszczególnymi resortami? On ma dość duże znaczenie z punktu widzenia tej ustawy. A dlaczego on nie jest w Kancelarii Prezesa Rady Ministrów jak większość pełnomocników? A może jego pozycja jest taka, że on tam nie może być?

Następna kwestia to dość ciekawy słowniczek, mianowicie są 3 rodzaje incydentu, który jest stopniowany ze względu na, powiedziałbym, sposób zagrożenia czy też stopień zagrożenia: krytyczny, poważny i istotny, a potem są incydenty w podmiocie publicznym i jest zupełnie inne kryterium podziału. No, jeśli są w publicznym, to powinny być też w niepublicznym, jak rozumiem. I jako incydenty w podmiocie publicznym są wymienione te, które ingerują w działanie konkretnie podmiotów z art. 4 pkty 7–15. No dobrze, a jeśli będzie atak na CSIRT MON-owski albo CSIRT NASK-owy, to będzie to atak na podmiot publiczny, czy też nie? Bo ich nie ma w pktach 7–15, nie mieszczą się w tych granicach. Jakbym ja chciał zaatakować jakieś państwo, tobym zaczął od tych, którzy zajmują się cyberbezpieczeństwem, i tam przede wszystkim bym skierował swój atak.

I ostatnia kwestia, związana z tym podziałem na incydenty krytyczne, poważne i istotne. Panie Ministrze, podmiana strony internetowej, strzelam, Ministerstwa Spraw Zagranicznych czy Ministerstwa Spraw Wewnętrznych to jaki to jest rodzaj incydentu zgodnie z tym podziałem? Niech pan to przybliży. Odchodzimy od kwestii, jak mówię, incydentów w podmiotach publicznych, bo tam jest zupełnie inne kryterium. Znamiona którego z tych incydentów atak na stronę internetową danego ministerstwa by wypełnił?

To tyle na wejście, jeśli można.

Przewodniczący Andrzej Misiołek:

Dziękuję bardzo.

Proszę pana ministra o ustosunkowanie się do tych uwag.

Podsekretarz Stanu w Ministerstwie Cyfryzacji Karol Okoński:

Dobrze.

Panie Przewodniczący! Wysoka Komisjo! Panie Senatorze!

Jeśli chodzi o bankowość cyfrową czy bankowość elektroniczną, to jest to jedynie sposób świadczenia usług bankowości, więc w tym sensie jak najbardziej jest ona częścią tych instytucji, które są wymienione jako banki krajowe w tym momencie w usługach kluczowych i w sektorze usług finansowych. Tak że jest to jak najbardziej ujęte w ustawie.

Co do…

(Senator Jerzy Czerwiński: Przepraszam, w którym obszarze usług cyfrowych?)

Nie, nie, właśnie nie w usługach cyfrowych, a w bankach krajowych.

(Senator Jerzy Czerwiński: Przez podmiot, tak?)

Tak, przez podmiot, który świadczy usługi, a akurat jednym z kanałów… To, że jest to bankowość internetowa czy mobilna, nie ma znaczenia, tzn. wciąż jest to objęte ustawą.

Jeśli chodzi w ogóle o tę bazę do wyliczeń, to podstawą katalogu usług kluczowych jest sama dyrektywa NIS, tak więc ta nasza lista w dużej mierze jest po prostu implementacją w tym obszarze dyrektywy NIS, zatem w tym sensie jest też usystematyzowana zgodnie z tym, co proponuje Unia Europejska.

Jeśli chodzi o zapory wodne, to przed chwilą się upewniliśmy, że to by był obszar energetyczny, czyli przedsiębiorstw energetycznych.

(Senator Jerzy Czerwiński: Panie Ministrze, konkret, ustawa… W jakim to jest… Rodzaj podmiotu…)

To jest załącznik nr 1 do ustawy, sektor: energia, podsektor: energia elektryczna. Która to jest ustawa, panu senatorowi – do czego się przyznaję – nie odpowiem. Możemy ewentualnie, działając niejako w tle, spróbować to sprawdzić, ale z konsultacji wynikało – stąd ta wiedza – że właśnie zapory wodne… Wynikało to z którychś z tych przepisów, w każdym razie jest to w podsektorze: energia elektryczna.

Jeśli chodzi o pełnomocnika Rady Ministrów do spraw cyberbezpieczeństwa, to decyzję o tym, kto będzie pełnił tę rolę, podejmie prezes Rady Ministrów. Jeszcze jej nie podjął, na pewno czeka na uchwalenie ustawy. I sam fakt takiego uplasowania go, dania mu takiego mandatu, że jest on ponad poszczególnymi ministerstwami, wynikał właśnie z potrzeby zapewnienia zarówno koordynacji, jak i ewentualnie jakiejś ścieżki eskalacji czy ewentualnie wyjaśnienia ewentualnych rozbieżności pomiędzy poszczególnymi ministerstwami. Kto to będzie dokładnie z imienia i nazwiska, tego w tym momencie panu nie powiem, ale jest to osoba w randze sekretarza lub podsekretarza stanu wskazana przez prezesa Rady Ministrów.

(Senator Jerzy Czerwiński: Interesuje mnie, Panie Ministrze, konkretnie, gdzie on będzie w strukturze rządu, a nie to, kto to będzie.)

No więc to jest pozostawione również do decyzji pana premiera.

Jeśli chodzi o słowniczek, to te poszczególne incydenty: krytyczny, poważny, istotny… Konsekwencje zaklasyfikowania incydentu do danej grupy opisuje ustawa w poszczególnych punktach. Akurat to, że jest tu incydent i poważny, i istotny wynika z faktu, że w dyrektywie NIS, i tu musieliśmy być zgodni po prostu z dyrektywą, implementując te przepisy do polskiego prawa… Akurat dla dostawców usług cyfrowych dyrektywa wprost definiuje, jakie są te tzw. kryteria uznania incydentu za istotny. I takim pojęciem się posługuje. I akurat wprost to wynika… zaraz, nawet mam to gdzieś… momencik… ten przepis… miałem chyba gdzieś tutaj… Nie, teraz jednak tego nie mam. W każdym razie to akurat sama Unia narzuciła nam te progi co do tego, kiedy incydent nazywamy istotnym. I to jest kwestia tego typu, że np. przynajmniej jeden z obywateli Unii poniósł stratę w wysokości 1 miliona euro z powodu incydentu w związku ze świadczeniem przez dostawcę usług cyfrowych. Dla incydentów poważnych… Ta klasyfikacja, który incydent uważamy za poważny, będzie ustalona w rozporządzeniu dla danego sektora przygotowanym w porozumieniu z organami właściwymi w danym sektorze. I to rozporządzenie, konkretne wartości w tym momencie… to rozporządzenie jest w trakcie konsultacji międzyresortowych. Mamy w najbliższym czasie konferencję uzgodnieniową i z przyjętych ustaleń będzie jasno wynikało, kiedy incydent jest po prostu uznany w danym sektorze za poważny.

Incydent w podmiocie publicznym to jest incydent de facto inny niż ten opisany wcześniej, a dotyczący podmiotu publicznego, czyli właśnie nie jest zaklasyfikowany jako poważny, istotny… tzn. jako istotny nie może być zaklasyfikowany – jako poważny albo krytyczny. Tak że w tym sensie taka dodatkowa kategoria, o której mówimy… Do niej będzie należał incydent właśnie np. w ministerstwie. Żadne z ministerstw w tym momencie na mocy projektowanych przepisów nie będzie operatorem usługi kluczowej, więc tym samym żadne z nich nie będzie mogło zgłosić incydentu poważnego, ale gdy zgłosi swój incydent, wciąż ten incydent będzie mógł być traktowany przez CSIRT jako incydent krytyczny i zgodnie z tym podlegać odpowiedniemu procesowi zarządzania. Żaden z incydentów np. dotyczący strony internetowej ministerstwa nie będzie podpadał pod incydent poważny w myśl tej ustawy, bo po prostu żadne z ministerstw nie będzie operatorem usługi kluczowej.

(Senator Jerzy Czerwiński: Czyli ten podział nie jest rozłączny?)

Nie, nie jest rozłączny, nie, nie.

Ale jeśli któryś z podmiotów publicznych zostanie uznany, bo takie mogą być, za operatora usługi kluczowej, to oczywiście wtedy stosuje się do niego takie przepisy jak do operatora. Jest tam część wspólna, jeśli chodzi o sposób postępowania.

No nie wiem, wydaje mi się, że odpowiedziałem na wszystkie pytania. Dziękuję.

Przewodniczący Andrzej Misiołek:

Dziękuję bardzo.

Czy jeszcze ktoś z państwa senatorów lub gości chciałby zabrać głos? Nie.

Ponieważ nikt poprawek zaproponowanych przez Biuro Legislacyjne nie podtrzymał, nie przejął, możemy przystąpić do głosowania…

(Głos z sali: Ale nie ma wniosku o przyjęcie bez poprawek.)

Tak. Zgłaszam wniosek o przyjęcie tej ustawy bez poprawek.

Kto jest za? (11)

Kto jest przeciwny? (0)

Kto się wstrzymał? (0)

Dziękuję bardzo.

Na sprawozdawcę proponowałbym pana senatora Potocznego.

Czy pan senator wyrazi zgodę?

(Senator Michał Potoczny: Tak.)

Czyli pan senator Michał Potoczny będzie sprawozdawcą połączonych komisji.

Wszystkim dziękuję bardzo.

(Podsekretarz Stanu w Ministerstwie Cyfryzacji Karol Okoński: Również bardzo dziękuję.)

Zamykam posiedzenie.

(Koniec posiedzenia o godzinie 18 minut 43)