Zwiększenie cyberbezpieczeństwa osłabi konkurencyjność

Możliwość komentowania Zwiększenie cyberbezpieczeństwa osłabi konkurencyjność została wyłączona Aktualności, Prawo i Podatki

Podniesienie poziomu krajowego cyberbezpieczeństwa stanowi wyzwanie, zarówno dla sektora publicznego, jak i prywatnych przedsiębiorców. Zdaniem Konfederacji Lewiatan model realizacji zadań państwa w tym obszarze, zaproponowany w projekcie ustawy o krajowym systemie cyberbezpieczeństwa, może okazać się jednak mało efektywny i zbyt ingerujący w działalność firm. Pracę nad nowymi przepisami rozpoczął Senat. 

– Mamy wątpliwości, czy projektowane rozwiązania przyczynią się do podniesienia poziomu cyberbezpieczeństwa, czy zakres przewidzianych rozwiązań nie wprowadza niekontrolowanego wpływu państwa na przedsiębiorstwa. Obawiamy się negatywnego oddziaływania nowych regulacji na konkurencyjność gospodarki – mówi dr Aleksandra Musielak, ekspertka Konfederacji Lewiatan.

Zdaniem Lewiatana podmiot pełniący funkcję zespołu ds. bezpieczeństwa komputerowego i reagowania na incydenty (CSIRT), powinien realizować wyłącznie zadania o charakterze publicznym i niekomercyjnym. Jego funkcjonowanie na rynku konkurencyjnym, budzi istotne wątpliwości, szczególnie w sytuacji, gdy możliwość pozyskiwania (z mocy prawa) informacji od innych podmiotów stawia go w uprzywilejowanej pozycji.

Pracodawcy mają też inne zastrzeżenia do projektu ustawy:

  •  Brak ograniczenia zakresu uprawnień organów nadzoru i kontroli wyłącznie do obszaru związanego bezpośrednio ze świadczeniem usług kluczowych.
  • Bardzo szerokie uprawnienia, CSIRT-ów w zakresie możliwości żądania od operatorów telekomunikacyjnych udostępnienia informacji dotyczących ich działalności oraz przyjętych rozwiązań organizacyjno-technicznych.
  • Brak jednego punktu zgłoszeń incydentów na poziomie krajowym, do którego można byłoby zgłaszać incydenty. Takie rozwiązanie wydaje się efektywniejsze, niż zaproponowany, dość skomplikowany model zgłaszania poszczególnych kategorii incydentów w Polsce.
  • – Brak jednoznacznego i nie budzącego wątpliwości określenia odpowiedzialności za obsługę incydentu poważnego – z jednej strony odpowiedzialność za obsługę incydentu spoczywa na operatorze, z drugiej projekt ustawy przewiduje wprost uprawnienia CSIRT w zakresie obsługi incydentów poważnych. Nie wskazuje przy tym zasad przejmowania przez CSIRT incydentów do obsługi oraz przyznaje mu pewne uprawnienia „władcze” wobec operatora (np. wezwanie za pośrednictwem organu właściwego operatora do usunięcia podatności, żądanie informacji itd.). Tym samym, CSIRT miałby możliwość ingerencji w działalność operatora z pominięciem jakiejkolwiek odpowiedzialności  za podejmowane wobec niego działania.
  • Opóźnienia w publikacji kluczowych aktów wykonawczych.

 

Konfederacja Lewiatan