Pełna wypowiedź
6 min czytania · podświetlone fragmenty wybrał model jako kluczowe
Procedujemy dziś nad projektem ustawy o cyberbezpieczeństwie. Kiedy pada słowo ˝cyber˝, wiele osób wyobraża sobie albo informatyka w bluzie z kapturem, albo serwery z mrugającymi diodami - coś dalekiego od codziennego życia, od rzeczywistości. Ale prawda jest zupełnie inna. Dziś cyberbezpieczeństwo to nowa służba publiczna, jak straż pożarna, z tą różnicą, że pożary, które gasi, pojawiają się w systemach informatycznych, niemniej ich skutki dotykają ludzi tak samo realnie jak ogień w budynku mieszkalnym. Cyfrowe środowisko to infrastruktura wpisana w naszą codzienność. To dziś podstawa tak samo ważna jak prąd, woda czy transport. Skoro państwo od lat ma narzędzie do ochrony np. dróg, to musi też mieć narzędzia, żeby zabezpieczyć ich cyfrowe odpowiedniki. Wielu obywateli wciąż myśli, że pewne usługi funkcjonują tak jak 20 czy 30 lat temu, że pociąg jedzie, bo maszynista widzi zielone światło, że elektrownią steruje człowiek przy konsoli, że szpitale mają papierowe kartoteki. To już nie jest prawda. Współczesna kolej działa dzięki cyfrowym systemom sterowania ruchem. Jedno włamanie do oprogramowania może zatrzymać całą linię, nawet jeśli wszystkie tory są fizycznie sprawne. Elektrownie i elektrociepłownie nie działają na prostych przełącznikach. Sterują nimi rozbudowane systemy informatyczne, które można zakłócić lub wyłączyć kodem wysłanym z drugiego końca świata. Wyobraźmy sobie taką sytuację. Ktoś blokuje szpitalny system dostępu do badań obrazowych. Nagle lekarze nie widzą tomografii, nie mogą odtworzyć wyników rezonansu, nie widać zdjęć RTG. Sprzęt działa, rezonans pracuje, lekarz jest na dyżurze, pacjent czeka na konsultację, ale leczenia wdrożyć się nie da, bo badanie jest, ale nie można go niestety otworzyć. To nie jest abstrakcyjny atak hakerski, to jest realne ryzyko dla zdrowia i życia. Tylko w 2025 r. do jednego z krajowych zespołów reagowania zgłoszono ponad 200 tys. incydentów, ponad dwa razy więcej niż rok wcześniej. To pokazuje skalę problemu. Zmienia się też charakter zagrożeń. Przestępcy, grupy powiązane z państwami trzecimi, a czasem nawet zwykły wandalizm uderzają nie tylko w firmy, ale w szkoły, szpitale, samorządy, infrastrukturę krytyczną. Naszym obowiązkiem jest odpowiedzieć na to nie publicystyką, ale prawem i instytucjami. Projekt, nad którym dziś debatujemy, wdraża unijną dyrektywę NIS 2. Obejmuje nie tylko energetykę, transport, bankowość, ochronę zdrowia czy zaopatrzenie w wodę, ale również zarządzanie usługami IT, pocztę czy część sektora żywnościowego. Według szacunków chodzi o dziesiątki tysięcy podmiotów publicznych i prywatnych, które realnie wpływają na bezpieczeństwo państwa i ciągłość usług. Te podmioty nie pozostają z tą ustawą same. Ustawa wymaga od nich zbudowania sensownego systemu zarządzania ryzykiem, ale wskazuje też, co to konkretnie znaczy. Chodzi o politykę bezpieczeństwa informacji, inwentaryzację najważniejszych systemów i danych, regularne robienie i testowanie kopii zapasowych, stosowanie aktualizacji bezpieczeństwa, uwzględnianie cyberwymogów w umowach z dostawcami, cykliczne szkolenia personelu. To nie jest biurokracja dla samej biurokracji. To jest dokładnie to, co decyduje o tym, czy po ataku organizacja wstanie w ciągu godzin, czy padnie na tygodnie. Najbardziej krytyczne podmioty będą miały obowiązek przeprowadzania regularnych audytów bezpieczeństwa, tak jak dziś audytuje się finanse czy BHP. W razie potrzeby organy nadzoru będą mogły zlecić audyt doraźny. Chodzi o to, żeby nie udawać, że wszystko działa, tylko realnie sprawdzić, czy procedury i zabezpieczenia są wdrożone, czy też leżą gdzieś w segregatorze. Ten projekt wzmacnia również infrastrukturę państwa po stronie instytucji. Ustawa tworzy sieć sektorowych zespołów reagowania na incydenty, które będą czymś w rodzaju wyspecjalizowanych straży pożarnych dla poszczególnych branż. Mają nie tylko gasić pożary, gdy wybuchną, ale informować o nowych zagrożeniach, pomagać w łataniu podatności, szkolić i doradzać. Z punktu widzenia przedsiębiorcy czy szpitala oznacza to, że nie zostaje sam ze skomplikowanym atakiem, tylko ma po drugiej stronie telefon i człowieka, który specjalizuje się w jego sektorze. Uproszczone zostały też same procedury zgłaszania. Powstaje jedno centralne miejsce w państwie, do którego zgłaszamy incydent. Z tego systemu informacja trafia dalej do odpowiednich zespołów reagowania, do organu nadzoru, a nawet, jeśli jest taka potrzeba, do Urzędu Ochrony Danych Osobowych. Z punktu widzenia podmiotu to mniej chaosu i mniej rozproszonych obowiązków, a z punktu widzenia państwa - spójny obraz sytuacji i możliwość szybkiej reakcji. Ustawa daje też państwu narzędzie tam, gdzie ryzyko jest najważniejsze, czyli w łańcuchach dostaw i w sieciach nowej generacji, takich jak 5G. Tam, gdzie sprzęt albo oprogramowanie pochodzą od dostawcy związanego z państwem prowadzącym agresywną politykę w cyberprzestrzeni, musimy mieć możliwość oceny, czy nie wprowadzono celowo ukrytych podatności. Projekt przewiduje przejrzystą procedurę administracyjną uznania takiego podmiotu za dostawcę wysokiego ryzyka. Minister cyfryzacji nie będzie tu arbitralnym politykiem, tylko organem prowadzącym postępowanie dowodowe opierające się na opiniach zespołu ekspertów i Kolegium ds. Cyberbezpieczeństwa. Decyzja będzie zaskarżalna do sądu administracyjnego. Jeżeli ryzyko zostanie potwierdzone, kluczowe podmioty będą miały obowiązek stopniowo wycofać sprzęt lub oprogramowanie takiego dostawcy, w rozsądnych terminach związanych z cyklem życia urządzeń. Chodzi o to, żeby nie budować przyszłości krytycznej infrastruktury na rozwiązaniach, co do których mamy poważne dowody, że mogą być podatne na wykorzystywanie przeciwko nam. Projekt wyposaża też ministra właściwego do spraw informatyzacji w narzędzie natychmiastowej reakcji na najpoważniejsze incydenty - możliwość wydania tzw. polecenia zabezpieczającego. W praktyce może to być nakaz zastosowania konkretnej poprawki, zmiany konfiguracji, czasowego wyłączenia określonego oprogramowania, jeśli wiemy, że właśnie ono jest wykorzystywane do ataku. To jest cyfrowy odpowiednik decyzji o zamknięciu fragmentu budynku podczas pożaru, po to żeby ogień nie przeniósł się dalej. Wszystko to jest osadzone w systemie nadzoru i sankcji, który ma być skuteczny, ale i proporcjonalny. Organy nadzoru dostają katalog środków - od ostrzeżeń i zaleceń, przez decyzje nakazujące usunięcie nieprawidłowości, aż po kary pieniężne dla podmiotów i w skrajnych przypadkach dla osób kierujących podmiotami. Górne granice kar są wysokie, bo mówimy o sytuacjach, w których zaniedbania mogą prowadzić do realnego zagrożenia dla bezpieczeństwa państwa, porządku publicznego czy życia ludzi. Jednocześnie ustawa szczegółowo określa kryteria, jakie organ musi wziąć pod uwagę przy wymierzaniu kary: skalę i czas trwania naruszenia, wcześniejsze zachowanie przed podmiotu, jego współpracę i możliwości finansowe. To nie jest system mający zapełnić budżet, tylko narzędzie, które ma skłonić do poważnego traktowania obowiązków. Trzeba też uczciwie powiedzieć, że jesteśmy spóźnieni z wdrażaniem NIS 2, a Komisja Europejska prowadzi już wobec Polski postępowanie. Grożą nam realne kary finansowe za każdy dzień opóźnienia. Chcę jednak też przypomnieć, że najgorszą karą za brak tej ustawy nie są pieniądze z budżetu, tylko to, że przez ten czas funkcjonujemy z przestarzałymi narzędziami wobec bardzo nowoczesnych zagrożeń. I tak tę ustawę będziemy musieli przyjąć. W interesie Polski jest zrobić to szybko i dobrze, w sposób wzmacniający nasze państwo i nasz system usług publicznych. Na koniec chcę powiedzieć coś, co - mam nadzieję - może być wspólnym mianownikiem ponad podziałami. Niezależnie od tego, czy ktoś definiuje rolę państwa bardziej w kategoriach silnej obrony granic czy sprawnych usług publicznych, czy przestrzeni dla rozwoju rynków, cyberbezpieczeństwo jest dziś warunkiem koniecznym każdego z tych celów. Ta ustawa daje polskiemu państwu narzędzia, których potrzebujemy w XXI w. Dlatego jako klub, z którego wywodzi się minister cyfryzacji odpowiedzialny za ten projekt, opowiadamy się za jego przyjęciem i zapraszamy wszystkie kluby do współpracy przy jego wdrażaniu. Bardzo dziękuję. Przebieg posiedzenia