Choć Ministerstwo Cyfryzacji z dumą ogłasza, że „nowe przepisy wzmocnią ochronę przed cyberzagrożeniami”, wczytując się w szczegóły projektu wdrażającego dyrektywę NIS2, trudno oprzeć się wrażeniu, że zamiast cyfrowej twierdzy budujemy papierowy labirynt, dodatkowo rozszerzając, i tak już szerokie, uprawnienia urzędników.
Rządowa strategia walki z cyberzagrożeniami zdaje się opierać na jednym, niepokojącym założeniu: więcej urzędników, więcej kontroli i więcej nakazów to automatycznie więcej bezpieczeństwa.
Resort cyfryzacji zapowiada rewolucję w Krajowym Systemie Cyberbezpieczeństwa (KSC). Cel jest szczytny – ochrona obywateli i instytucji. Jednak środki, jakie mają do tego prowadzić, budzą uzasadnione obawy o wylanie dziecka z kąpielą. Pod płaszczykiem „wzmacniania systemu” kryje się bowiem drastyczne rozszerzenie uprawnień administracji państwowej i nałożenie na przedsiębiorców kagańca nowych obowiązków.
Urzędnik w każdej serwerowni?
Największy niepokój budzi katalog nowych uprawnień dla organów nadzorczych (takich jak KNF, UKE czy odpowiedni ministrowie). Zgodnie z zapowiedziami, organy te będą mogły nie tylko „wydawać ostrzeżenia”, ale również wyznaczać urzędnika monitorującegow podmiotach kluczowych. To brzmi jak ponury żart z wolności gospodarczej – państwo rezerwuje sobie prawo do fizycznego wstawienia „nadzorcy” również do prywatnej firmy, by patrzył jej pracownikom na ręce. W efekcie, zamiast wspierać przedsiębiorców wiedzą i technologią, państwo wybiera rolę policjanta z pałką w postaci urzędnika monitorującego. Co ciekawe, w naszej ocenie obowiązek ustanowienia takiego „nadzorcy” nie wynika z jakichkolwiek przepisów UE i jest to kolejny przykład naszej, krajowej „radosnej twórczości”.
Audyty na rozkaz i koszty bez pokrycia
Kolejnym elementem tej układanki jest uprawnienie do nakazywania przeprowadzenia oceny bezpieczeństwa lub audytu. W praktyce oznacza to, że urzędnik (często bez głębokiej znajomości specyfiki danego biznesu) będzie mógł jednym podpisem zmusić firmę do poniesienia gigantycznych kosztów zewnętrznych audytów.
Komunikat ministerstwa gładko przechodzi nad kwestią finansowania tych zmian. Mowa jest o obowiązku „wprowadzenia rozwiązań technicznych i organizacyjnych odpowiednich do poziomu ryzyka”. Dla sektora MŚP, który również zostanie objęty nowymi regulacjami (dyrektywa NIS2 znacznie rozszerza ten krąg), może to oznaczać konieczność wyboru: albo wydamy krocie na systemy wymagane przez ustawę, albo zamkniemy biznes.
Centralizacja władzy w rękach Pełnomocnika
Nowe przepisy to także bezprecedensowe wzmocnienie pozycji Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa. Będzie on mógł „żądać informacji” nie tylko od organów administracji, ale także ingerować w to, jak działają systemy podmiotów KSC poprzez „wydawanie rekomendacji”. Co więcej, zyskuje uprawnienie do centralnego zakupu oprogramowania.
Rodzi się pytanie o ryzyko monopolizacji i braku elastyczności.Czy centralnie sterowane zakupy oprogramowania i odgórne rekomendacje nadążą za dynamicznie zmieniającym się krajobrazem zagrożeń? Historia polskiej informatyzacji uczy nas, że centralne projekty często kończą się drogimi i niefunkcjonalnymi systemami.
Bezpieczeństwo czy „papierologia”?
Ministerstwo podkreśla konieczność „regularnej oceny ryzyka” i „zarządzania incydentami”. W teorii brzmi to profesjonalnie. W praktyce, dla wielu podmiotów oznacza to konieczność generowania ton dokumentacji, raportów i analiz, które mają zadowolić kontrolerów, a nie realnie zatrzymać cyberatak.
Zamiast elastycznego podejścia opartego na realnym wsparciu, otrzymujemy gorset sztywnych regulacji. Przeregulowanie w tym obszarze jest groźne – jeśli firmy będą musiały skupiać zasoby na obsłudze urzędniczych wymogów, zabraknie im czasu i ludzi na to, co najważniejsze: rzeczywistą walkę z cyberprzestępcami.
Polska z pewnością potrzebuje wyższego poziomu cyberbezpieczeństwa. Ale czy potrzebuje do tego armii urzędników z prawem do wtrącania się w zarządzanie firmami? Nowe przepisy mogą wzmocnić ochronę, ale istnieje duże ryzyko, że wzmocnią głównie biurokrację, dławiąc innowacyjność i elastyczność polskiej gospodarki cyfrowej.