Pełna wypowiedź
4 min czytania · podświetlone fragmenty wybrał model jako kluczowe
Pani Marszałek! Wysoka Izbo! Po przeprowadzeniu prac w komisji, których efektem jest procedowany dzisiaj projekt z druku nr 2139, mamy dziś kolejne czytanie projektu ustawy o cyberbezpieczeństwie. Kierunek projektu pozostaje niezmienny. Zagrożenia, na które odpowiedziało Ministerstwo Cyfryzacji, są realne i nie zniknęły w toku prac parlamentarnych. To, co się zmieniło, to precyzja i rzetelność przepisów, tak aby nikt już nie miał wątpliwości, czego państwo oczekuje i jakie narzędzia oferuje w zamian. Cyfrowa infrastruktura jest obecnie fundamentem naszego codziennego funkcjonowania obok energii, wody czy transportu. Skoro państwo od lat ma narzędzia do ochrony dróg, sieci energetycznych czy kolei, musi mieć też narzędzia do ochrony ich cyfrowych odpowiedników. Wielu obywateli wciąż myśli, że świat działa tak, jak 20 czy 40 lat temu, że pociąg jedzie, bo maszynista widzi zielone światło, że elektrownią steruje człowiek przy konsoli albo że szpital to papierowe historie chorób. To już nie jest prawda. Współczesna kolej działa dzięki cyfrowym systemom sterowania ruchem. Jedno włamanie do oprogramowania może zatrzymać całą linię kolejową, nawet jeśli wszystkie tory są fizycznie sprawne. Elektrownie i elektrociepłownie zarządzane są przez rozbudowane systemy informatyczne, które można zakłócić albo wyłączyć z drugiego końca świata. Szpitale opierają się na cyfrowych systemach obrazowania dokumentacji i dostępu do badań. Wyobraźmy sobie taką sytuację, która zresztą wydarzyła się w Europie: sprzęt działa, rezonans pracuje, lekarz jest na dyżurze, pacjent czeka na wyniki, ale nie da się odtworzyć wyników badań, nie widać tomografii, nie widać rezonansu czy zdjęcia rentgenowskiego. Nie ma leczenia, bo ktoś zablokował dostęp do systemu. I o tym jest m.in. ta ustawa. I nie jest to scenariusz filmu o genialnym hakerze, tylko to jest realne zagrożenie dla życia i zdrowia pacjenta w danym momencie. Dlatego ta ustawa jest potrzebna i dlatego w toku prac komisji nie zmieniliśmy jej celu, ale zadbaliśmy o to, by była maksymalnie jasna i zrozumiała dla podmiotów, które będą ją stosować. Projekt wdraża unijną dyrektywę NIS 2 i wprowadza nową logikę systemu. Odchodzimy od wąskiego podziału na operatorów usług kluczowych i dostawców usług cyfrowych, a przechodzimy do szerszej kategorii podmiotów kluczowych i ważnych. Obejmuje ona m.in. energetykę, transport, ochronę zdrowia, bankowość, wodę, usługi IT, pocztę czy część sektora żywnościowego. W komisji szczególnie zadbaliśmy o to, aby ten zakres był jednoznacznie opisany, tak aby każdy podmiot mógł łatwo zrozumieć, czy podlega ustawie i jakie obowiązki z niej wynikają. Chodziło o rozwianie wątpliwości interpretacyjnych, zanim staną się one źródłem oporu wobec stosowania zapisów ustawy, czyli wobec prawa. Przypomnijmy, że wymagania nakładane na podmioty to w żadnym wypadku nie jest biurokracja dla samej biurokracji. To czynnik decydujący o tym, czy przy cyberataku instytucja wstanie w kilka godzin, czy nie będzie działać przez tygodnie. Najbardziej krytyczne podmioty będą objęte obowiązkiem audytów bezpieczeństwa. I tu znowu komisja zadbała o jasność przepisów, tak aby audyty były realnym sprawdzeniem bezpieczeństwa, a nie dokumentem składanym do segregatora. Ustawa tworzy sieć sektorowych CSIRT-ów, wyspecjalizowanych zespołów reagowania, które mają nie tylko reagować na incydenty, ale też ostrzegać, doradzać, pomagać w usuwaniu podatności. Dzięki ustawie o cyberbezpieczeństwie procedura zgłaszania incydentów uprości się. Powstanie jedno, centralne miejsce w państwie do obsługi zgłoszeń, dzięki czemu pozbędziemy się chaosu. Dużo uwagi poświęciliśmy też łańcuchom dostaw i sieciom nowej generacji, w tym 5G. Tam, gdzie istnieje ryzyko celowego wprowadzenia ukrytych podatności, państwo polskie musi mieć narzędzie reakcji. Komisja doprecyzowała procedurę uznania dostawcy za dostawcę wysokiego ryzyka. Zadbaliśmy też o to, aby ewentualne wycofanie sprzętu odbywało się stopniowo bez destabilizacji usług. Ustawa przewiduje skuteczny, ale i proporcjonalny system nadzoru i sankcji. W komisji wyraźnie podkreśliliśmy, że to nie jest system do karania dla zasady, tylko narzędzie, które ma skłaniać do odpowiedzialnego traktowania bezpieczeństwa. Na koniec trzeba powiedzieć wprost. Jesteśmy spóźnieni z wdrażaniem NIS 2 i grożą nam realne konsekwencje finansowe. Ale jeszcze większym zagrożeniem byłoby dalsze funkcjonowanie z przestarzałymi narzędziami wobec nowoczesnych zagrożeń. Dlatego w pracach komisji zadbaliśmy też o to, by ten projekt był nie tylko skuteczny, ale też zrozumiały i możliwy do zaakceptowania ponad podziałami, tak aby mógł wejść w życie jak najszybciej, bez dalszych sporów i ryzyka weta. Cyberbezpieczeństwo to warunek sprawnych usług publicznych i nowoczesnej gospodarki. Jako klub Lewicy w pełni popieramy ustawę o cyberbezpieczeństwie. Bardzo dziękuję. Przebieg posiedzenia