W dniu 13 lutego wystosowaliśmy pismo do Prezydenta Karola Nawrockiego w sprawie projektu ustawy o krajowym systemie cyberbezpieczeństwa (KSC).
Jesteśmy głęboko zaniepokojeni kierunkiem, w jakim zmierza projekt KSC – w obecnej formie nie ustanawia on wystarczająco jednoznacznych i egzekwowalnych wymogów bezpieczeństwa dla usług chmurowych, zwłaszcza przy przetwarzaniu danych wrażliwych i z rejestrów publicznych.
Działamy również w odpowiedzi na publiczną dyskusję o suwerenności cyfrowej, w której nawet globalne korporacje próbują przedstawiać własną wizję suwerenności cyfrowej Polski – wizję, która dla osób niezwiązanych z cyfryzacją i sektorem danych może brzmieć przekonująco, ale w praktyce nie chroni danych polskich obywateli.
W obliczu zagrożeń geopolitycznych oraz aktywności zaawansowanych grup cyberprzestępczych, apelujemy o konkretne, skuteczne rozwiązania.
Nasze postulaty zawarte w liście do Pana Prezydenta obejmują m. in.:
🔴 odseparowany reżim dla usług chmurowych z obowiązkiem krajowej certyfikacji cyberbezpieczeństwa;
🔴 lokalizację danych w Polsce lub EOG, a dla danych wrażliwych wyłącznie w Polsce;
🔴 wzmocnienie suwerenności prawnej dostawców i pełną transparentność ich struktury właścicielskiej;
🔴 uszczelnienie łańcucha podwykonawców i utrzymanie odpowiedzialności głównego dostawcy;
🔴 audyt nadzorczy i minimalny udział kryteriów cyberbezpieczeństwa w zamówieniach publicznych (min. 40%).
Deklarujemy pełną gotowość do dalszych konsultacji i działań eksperckich. Naszym celem jest zapewnienie rzeczywistej ochrony danych obywateli i rozwój bezpiecznego, polskiego sektora usług chmurowych.
Źródło grafiki: https://tech.wp.pl/apeluja-do-nawrockiego-jestesmy-zaniepokojeni,7254950234704256a
Pełna treść apelu poniżej
Szanowny Panie Prezydencie,
działając w imieniu Polskiej Chmury Związku Pracodawców, organizacji zrzeszającej wyłącznie przedsiębiorstwa z polskim kapitałem, prowadzące działalność w sektorze usług centrów danych i chmury obliczeniowej, jako uprawnieni do reprezentacji – na podstawie art. 13 ust. 7 Statutu Polskiej Chmury – Członkowie Zarządu, pozwalamy sobie przekazać na Pana ręce stanowisko Związku dotyczące projektu ustawy o krajowym systemie cyberbezpieczeństwa, wraz z konkretnymi postulatami legislacyjnymi.
Przedkładane stanowisko wynika z wieloletniej praktyki naszych członków w świadczeniu usług przetwarzania danych na rzecz podmiotów publicznych oraz podmiotów kluczowych
i ważnych w rozumieniu dyrektywy NIS2. Obserwujemy, że w obecnym kształcie projekt ustawy KSC nie ustanawia wystarczająco jednoznacznych i egzekwowalnych wymogów bezpieczeństwa dla usług chmurowych, w szczególności w odniesieniu do danych z rejestrów publicznych, informacji niejawnych oraz danych wrażliwych. Stan ten rodzi realne ryzyko powierzania przetwarzania danych o fundamentalnym znaczeniu dla bezpieczeństwa Rzeczypospolitej Polskiej i praw podstawowych Obywateli, dostawcom podlegającym jurysdykcjom państw trzecich, w tym reżimom prawnym umożliwiającym eksterytorialny dostęp do danych. Jednocześnie utrwala model zamówień publicznych, w którym przeważa kryterium ceny kosztem mierzalnych kryteriów cyberbezpieczeństwa.
W załączonym dokumencie przedstawiamy pięć szczegółowych postulatów legislacyjnych, których wprowadzenie – w naszej ocenie – w istotny sposób wzmocni bezpieczeństwo krajowego ekosystemu chmurowego. Postulaty obejmują:
- wprowadzenie do ustawy KSC odrębnego reżimu dla usług chmurowych (rozdział 3c) oraz obowiązku korzystania – przy przetwarzaniu danych z rejestrów publicznych, danych wrażliwych i informacji niejawnych – wyłącznie z usług posiadających krajowy certyfikat cyberbezpieczeństwa wraz z obowiązkiem weryfikacji certyfikatu i publikacją wykazu certyfikowanych dostawców w BIP;
- ustanowienie wymogu lokalizacji infrastruktury przetwarzania i przechowywania danych w RP lub EOG, przy czym dla danych z rejestrów publicznych oraz informacji niejawnych i innych prawnie chronionych informacji o istotnym znaczeniu dla bezpieczeństwa narodowego – wyłącznie na terytorium RP;
- wprowadzenie kryteriów suwerenności prawnej dostawcy jako elementu certyfikacji, tj. brak kontroli właścicielskiej spoza EOG, brak podlegania jurysdykcji państwa trzeciego umożliwiającej dostęp do danych z pominięciem procedur z ratyfikowanych umów międzynarodowych oraz transparentna, weryfikowalna struktura właścicielska;
- uszczelnienie łańcucha podwykonawców przez obowiązek spełniania przez podwykonawców tych samych wymogów co dostawca główny, prowadzenie rejestru podwykonawców oraz obowiązek informowania o zmianach z 30-dniowym wyprzedzeniem, z prawem sprzeciwu lub wypowiedzenia umowy bez kosztów, przy zachowaniu pełnej odpowiedzialności dostawcy głównego;
- wzmocnienie egzekucji i zakupów publicznych poprzez coroczne audyty nadzorcze
i kontrole doraźne z możliwością zawieszenia/cofnięcia certyfikatu oraz wprowadzenie w PZP minimalnej wagi kryteriów cyberbezpieczeństwa (40%) i powiązanie udziału/realizacji zamówienia na wrażliwe dane z posiadaniem i utrzymaniem ważnego certyfikatu.
Polska Chmura deklaruje pełną gotowość do udziału w dalszych pracach, konsultacjach eksperckich oraz spotkaniach roboczych dotyczących przedmiotowej regulacji. Jesteśmy przekonani, że nasza wiedza praktyczna może stanowić wartościowy wkład w proces kształtowania przepisów zapewniających adekwatny poziom bezpieczeństwa cyfrowego Rzeczypospolitej Polskiej.
Choć pozytywnie poczytujemy ideę zagadnień poruszanych w przedłożonym Panu Prezydentowi projekcie ustawy o krajowym systemie cyberbezpieczeństwa, których nieobjęcie opieką legislacyjną może istotnie wpłynąć na bezpieczeństwo naszego kraju. Uprzejmie prosimy o analizę przedstawionych postulatów. Pozostajemy do dyspozycji w celu udzielenia dodatkowych wyjaśnień i informacji.