Bezpieczne sieci to bezpieczne państwo
Dyskusja wokół nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wciąż bywa prowadzona tak, jakby dotyczyła wyłącznie sektora telekomunikacyjnego lub regulacji o charakterze technicznym. To zasadniczy błąd. W rzeczywistości mówimy o fundamentach bezpieczeństwa narodowego państwa. O infrastrukturze, bez której nie funkcjonują dziś ani administracja publiczna, ani służby, ani nowoczesna gospodarka - pisze Michał Kanownik, prezes Związku Cyfrowa Polska.
Sieci mobilne, zarówno 4G, 5G, jak i przyszłe generacje, nie są wyłącznie narzędziem komunikacji konsumenckiej. Stanowią krytyczną infrastrukturę państwa, porównywalną w swojej wadze z sieciami energetycznymi, systemami transportowymi czy infrastrukturą wodną. Muszą zatem podlegać adekwatnym ramom prawnym oraz rygorystycznym standardom bezpieczeństwa.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) stanowi element odpowiedzi na tę zmianę cywilizacyjną. To właśnie KSC daje nam ramy organizacyjne dla zapewnienia bezpieczeństwa sieci i systemów informatycznych w Polsce, zwłaszcza tych kluczowych dla funkcjonowania państwa i gospodarki. Ramy, które łączą administrację publiczną, operatorów usług kluczowych, dostawców usług cyfrowych oraz zespoły reagowania na incydenty, określając ich obowiązki w zakresie zapobiegania, wykrywania i reagowania na cyberzagrożenia.
Sieci mobilne kręgosłupem państwa
Współczesne państwo opiera swoje funkcjonowanie na łączności bezprzewodowej. To za jej pośrednictwem działają systemy zarządzania kryzysowego, komunikacja służb ratunkowych, kolei, energetyki czy administracji publicznej. Sieci mobilne obsługują również przemysł, logistykę, systemy sterowania ruchem, a także naszą infrastrukturę obronną.
Nie jest to wizja przyszłości, lecz rzeczywistość. Dlatego pytanie nie brzmi dziś, „czy” sieci mobilne są elementem infrastruktury krytycznej, ale jak skutecznie je chronić. W świecie rosnących napięć geopolitycznych, wojny hybrydowej i coraz bardziej licznych i zaawansowanych cyberataków, brak odpowiednich narzędzi prawnych oznacza realne ryzyko dla ciągłości działania państwa.
Szczególną rolę odgrywają tzw. mission critical networks, czyli sieci wykorzystywane w obszarach, gdzie niezawodność i bezpieczeństwo mają znaczenie absolutnie fundamentalne. Mówimy tu o łączności dla służb publicznych, o systemach kolejowych, energetyce, wojsku, infrastrukturze krytycznej, a także o szybko rozwijających się zastosowaniach takich jak drony czy autonomiczne systemy transportowe. W tych obszarach nie istnieje akceptowalny poziom ryzyka wynikający z kompromisów bezpieczeństwa. Awaria, ingerencja zewnętrzna lub utrata kontroli nad siecią nie oznacza jedynie problemów technicznych, lecz może prowadzić do zagrożenia życia, destabilizacji gospodarki lub paraliżu państwa. Dlatego państwo ma obowiązek stawiać najwyższe wymagania bezpieczeństwa wobec infrastruktury, na której opiera się funkcjonowanie kluczowych usług publicznych i nasze wspólne bezpieczeństwo narodowe.
Czytaj też w LEX: Zarządzanie ciągłością działania w urzędzie >
Zaufani dostawcy są warunkiem bezpieczeństwa
Skoro sieci mobilne są infrastrukturą krytyczną, naturalną konsekwencją jest konieczność korzystania z zaufanych i bezpiecznych dostawców technologii. To standard przyjęty w wielu państwach Unii Europejskiej i poza nią. Mechanizmy identyfikacji i wykluczania dostawców wysokiego ryzyka (DWR) nie są przejawem dyskryminacji czy protekcjonizmu, lecz elementem racjonalnej polityki bezpieczeństwa.
Państwo ma prawo, a wręcz obowiązek, eliminować z kluczowej infrastruktury rozwiązania, które mogą stanowić zagrożenie dla bezpieczeństwa narodowego. Dotyczy to zwłaszcza systemów, które są głęboko zintegrowane z siecią i mają dostęp do wrażliwych danych lub mechanizmów sterujących. Nowelizacja KSC tworzy transparentne, oparte na obiektywnych kryteriach ramy do podejmowania takich decyzji, zgodnie z unijnymi standardami i praktyką innych krajów.
Czytaj też w LEX: Nowe zasady zarządzania bezpieczeństwem informacji - czyli co zmieni projektowana nowelizacja UKSC? >
Mamy sprawdzone alternatywy
Często podnoszonym argumentem przeciwko regulacjom dotyczącym dostawców wysokiego ryzyka jest rzekomy brak realnych alternatyw technologicznych. To narracja niezgodna z faktami. Na rynku funkcjonują zaufani i bezpieczni dostawcy, którzy dysponują zarówno technologią, jak i skalą produkcji umożliwiającą sprawną modernizację sieci.
Co więcej, doświadczenia państw, które przeprowadziły proces szeroko zakrojonej wymiany infrastruktury ze względów bezpieczeństwa, pokazują coś jeszcze istotniejszego: wymiana sprzętu nie tylko zwiększa bezpieczeństwo, ale często prowadzi do poprawy jakości sieci. W wielu przypadkach odnotowano lepszą wydajność, większą niezawodność oraz niższe zużycie energii, co ma znaczenie zarówno ekonomiczne, jak i środowiskowe. Modernizacja sieci jest zatem inwestycją, a nie kosztem – inwestycją w bezpieczeństwo, jakość i odporność infrastruktury.
Czytaj też w LEX: Nowelizacja UKSC w praktyce – przewodnik po kluczowych zmianach i obowiązkach >
Warto również jasno podkreślić, że zagrożenia cybernetyczne nie dotyczą wyłącznie sieci 5G. Ataki wymierzone są dziś także w systemy starszych generacji. Podobnie będzie w przyszłości. Wraz z rozwojem 6G pojawią się nowe wektory zagrożeń. Dlatego podejście regulacyjne musi być technologicznie neutralne i długofalowe, obejmując całość ekosystemu łączności. Nowelizacja ustawy o KSC odpowiada na tę potrzebę. Nie jest reakcją na chwilową modę technologiczną, lecz próbą zbudowania trwałych fundamentów bezpieczeństwa cyfrowego państwa. Fundamentów, które będą chronić Polskę niezależnie od tego, jak szybko zmieniać się będą technologie.
Czytaj też w LEX: Harmonogram wdrożenia UKSC – przegląd obowiązków i terminy ich realizacji >
Bezpieczeństwo nie znosi zwłoki
Na wprowadzenie tych narzędzi czekamy już ponad sześć lat. W tym czasie krajobraz zagrożeń cyfrowych uległ radykalnej zmianie na niekorzyść państw, które pozostają bezbronne regulacyjnie. Każde kolejne opóźnienie to realne zwiększenie ryzyka dla infrastruktury, gospodarki i obywateli. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa nie jest więc kwestią wyboru czy preferencji. To konieczność wynikająca z odpowiedzialności za bezpieczeństwo państwa. Dziś o bezpieczeństwie kraju decyduje bezpieczeństwo jego sieci. W świecie, w którym cyberprzestrzeń stała się pełnoprawnym polem konfliktu, nie stać nas na brak zdecydowanych i systemowych rozwiązań.
Autor: Michał Kanownik, prezes Związku Cyfrowa Polska
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
