Andrzej Sadowski, prezydent Centrum im. Adama Smitha, w rozmowie z PortalemTechnologicznym.pl, bardzo krytykuje projekt ustawy o cyberbezpieczeństwie i doradza, jak go można poprawić.

Trwają intensywne prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która wdraża regulacje unijnej dyrektywy NIS2. Jej celem – przypomnijmy – jest podniesienie poziomu cyberochrony w Europie. Centrum im. Adama Smitha w swoim najnowszym raporcie krytycznie ocenia jej polską wersję projektu. Dlaczego?

Andrzej Sadowski, prezydent Centrum im. Adama Smitha: Pod osłoną implementacji europejskiej dyrektywy wprowadzane są przepisy, które nadają arbitralną i w praktyce niekontrolowaną władzę administracji. Wąska grupa urzędników w oparciu o daleko idące uznaniowe kryteria będzie decydować de facto poza kontrolą sądową, która i tak realnie nie działa o dostępie do rynku. Uznaniowość prawa oraz brak realnej możliwości w przewidywalnym czasie wygrania sporu z urzędem to metoda w pierwszej kolejności na rozszerzenie i tak już rosnącej korupcji w Polsce, a nie wzrost cyberbezpieczeństwa państwa. Unijna dyrektywa o cyberbezpieczeństwie dotyczy przyszłych technologii a rządowa jej implementacja obejmuje również technologie zakupione dawno temu. Czy w zacofanym i tak już mocno cyfrowo państwie polskim wprowadzenie wykraczających poza unijną dyrektywę przepisów przyśpieszą i obniżą koszty absorpcji najnowszych technologi czy wręcz przeciwnie? 

Czy to oznacza, że w ogóle nie powinniśmy zmieniać ustawy o KSC?

Polska jest zobowiązana do implementacji dyrektyw Unii Europejskiej. Jednak pod pretekstem ich wprowadzenia do polskiego systemu prawnego rządzący i biurokracja zwyczajowo wprowadzają więcej obowiązków i ciężarów niż jest to wymagane a sobie przyznają większe kompetencje. Za negatywne konsekwencje oraz większe koszty dodatkowych dopisanych w Polsce do dyrektyw przepisów jak wielokrotnie miało to miejsce w przeszłości zostanie obarczona Unia Europejskiej, na którą rządzący przerzucą później całą odpowiedzialność. Tymczasem implementację dyrektywy unijnej o cyberbezpieczeństwie można i należy przeprowadzić  sposób jak najmniej dotkliwy dla polskiej gospodarki i polskich obywateli.

Czy to jest możliwe?

Nic i nikt nie stoi na przeszkodzie rządowi w Polsce aby dyrektywę wprowadzić tak jak robią to państwa stojące od nas wyżej zarówno w rozwoju gospodarczym, jak i cyfrowym. Skoro państwa te nie chcą sobie szkodzić i blokować swojego rozwoju przyjęły minimalistyczny jej poziom i nie rozszerzają w żaden sposób u siebie zakresu tej dyrektywy to i rząd w Polsce powinien tak postąpić o ile ma uczciwy zamiar wyrwania państwa się z pułapki zacofania cyfrowego. Możemy też wziąć przykład z Izraela skoro i tak rząd kupuje z tego państwa technologie militarne i oprogramowanie. Państwo to uzyskało tak znaczącą przewagę militarną dzięki technologiom. Izrael nie tylko sam jest liderem technologicznym ale absorbuje technologię ze wszystkich możliwych konkurujących ze sobą miejsc i adoptuje na własne potrzeby. Podobną politykę stosowały państwa bloku komunistycznego, które wykradały technologię z wrogiego im tzw. Zachodu. Kluczowa jest bezpiecznego adopcja technologii, a nie samo miejsce jej pochodzenia.

Foto: © Centrum im. Adama Smitha. Autor Mirosław Stelmach.