Rządowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych przewiduje możliwość wydawania przez Pełnomocnika Rządu ds. Cyberbezpieczeństwa „poleceń zabezpieczających” nakazujących np. wprowadzenie „reguły ruchu sieciowego zakazującego połączeń z określonymi adresami IP lub nazwami URL” lub „zakaz korzystania z określonego sprzętu lub oprogramowania”. Polecenia te będą mogły być wydawane między innymi:
– przedsiębiorcom o szczególnym znaczeniu gospodarczo-obronnym, o których mowa w art. 3 ustawy z dnia z dnia 23 sierpnia 2001 r. o organizowaniu zadań na rzecz obronności państwa realizowanych przez przedsiębiorców, czyli na przykład przedsiębiorcom telekomunikacyjnym takim jak Orange Polska, T-Mobile Polska, Netia, Polkomtel, Telefonia Dialog, EmiTel, Exatel, Multimedia Polska, TTcomm, TK Telekom czy nadawcom takim jak Telewizja Polska i Polskie Radio (pełna lista jest tu, nic nie stoi na przeszkodzie, by wciągnąć na nią również Polsat czy TVN);
– podmiotom, o których mowa w art. 4 pkt 1-16 ustawy o krajowym systemie cyberbezpieczeństwa, czyli na przykład dostawcom usług cyfrowych, przez które rozumie się internetowe platformy handlowe (wszelki handel i usługi z umowami zawieranymi na stronie internetowej, czyli również usługi hostingu), wyszukiwarki internetowe oraz usługi przetwarzania w chmurze;
– krajowym instytucjom płatniczym.
„Polecenia zabezpieczające” będą mogły być wydawane w przypadku wystąpienia „incydentu krytycznego”, czyli incydentu skutkującego „znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi”, klasyfikowanego przez właściwy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (są trzy – jeden prowadzony przez Szefa ABW, jeden przez Ministra Obrony Narodowej i jeden przez państwowy instytut badawczy NASK).
Da to możliwość nakazania zablokowania dostępu do dowolnego serwera, strony internetowej czy usługi, zarówno głównym operatorom telekomunikacyjnym, jak i dostawcom hostingu, operatorom płatności lub samym właścicielom stron czy usług. Decyzją urzędnika, od której nie będzie przysługiwać odwołanie do sądu, bo takiej procedury nie przewidziano. Wystarczy uznanie przez odpowiedni państwowy zespół, że wystąpił „incydent krytyczny”. Bo na przykład zagrożone zostały czyjeś interesy gospodarcze w wyniku ujawnienia jakichś niewygodnych informacji. Za niezastosowanie poleceń zabezpieczających ma grozić kara pieniężna, jeszcze nie wiadomo w jakiej wysokości, bo tu w projekcie wydaje się być luka.
Może intencje są dobre i chodzi tylko o szybkie reagowanie na cyberataki. Ale „dobrymi chęciami piekło jest wybrukowane”.

Rz\u0105dowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpiecze\u0144stwa oraz ustawy \u2013 Prawo zam\u00f3wie\u0144 publicznych<\/a> przewiduje mo\u017cliwo\u015b\u0107 wydawania przez Pe\u0142nomocnika Rz\u0105du ds. Cyberbezpiecze\u0144stwa „polece\u0144 zabezpieczaj\u0105cych”<\/em> nakazuj\u0105cych np. wprowadzenie „regu\u0142y ruchu sieciowego zakazuj\u0105cego po\u0142\u0105cze\u0144 z okre\u015blonymi adresami IP lub nazwami URL”<\/em> lub „zakaz korzystania z okre\u015blonego sprz\u0119tu lub oprogramowania”<\/em>. Polecenia te b\u0119d\u0105 mog\u0142y by\u0107 wydawane mi\u0119dzy innymi:
\n– przedsi\u0119biorcom o szczeg\u00f3lnym znaczeniu gospodarczo-obronnym, o kt\u00f3rych mowa w art. 3 ustawy z dnia z dnia 23 sierpnia 2001 r. o organizowaniu zada\u0144 na rzecz obronno\u015bci pa\u0144stwa realizowanych przez przedsi\u0119biorc\u00f3w, czyli na przyk\u0142ad przedsi\u0119biorcom telekomunikacyjnym takim jak Orange Polska, T-Mobile Polska, Netia, Polkomtel, Telefonia Dialog, EmiTel, Exatel, Multimedia Polska, TTcomm, TK Telekom czy nadawcom takim jak Telewizja Polska i Polskie Radio (pe\u0142na lista jest tu<\/a>, nic nie stoi na przeszkodzie, by wci\u0105gn\u0105\u0107 na ni\u0105 r\u00f3wnie\u017c Polsat czy TVN);
\n– podmiotom, o kt\u00f3rych mowa w art. 4 pkt 1-16 ustawy o krajowym systemie cyberbezpiecze\u0144stwa, czyli na przyk\u0142ad dostawcom us\u0142ug cyfrowych, przez kt\u00f3re rozumie si\u0119 internetowe platformy handlowe (wszelki handel i us\u0142ugi z umowami zawieranymi na stronie internetowej, czyli r\u00f3wnie\u017c us\u0142ugi hostingu), wyszukiwarki internetowe oraz us\u0142ugi przetwarzania w chmurze;
\n– krajowym instytucjom p\u0142atniczym.
\n„Polecenia zabezpieczaj\u0105ce” b\u0119d\u0105 mog\u0142y by\u0107 wydawane w przypadku wyst\u0105pienia „incydentu krytycznego”<\/em>, czyli incydentu skutkuj\u0105cego „znaczn\u0105 szkod\u0105 dla bezpiecze\u0144stwa lub porz\u0105dku publicznego, interes\u00f3w mi\u0119dzynarodowych, interes\u00f3w gospodarczych, dzia\u0142ania instytucji publicznych, praw i wolno\u015bci obywatelskich lub \u017cycia i zdrowia ludzi”<\/em>, klasyfikowanego przez w\u0142a\u015bciwy Zesp\u00f3\u0142 Reagowania na Incydenty Bezpiecze\u0144stwa Komputerowego (s\u0105 trzy – jeden prowadzony przez Szefa ABW, jeden przez Ministra Obrony Narodowej i jeden przez pa\u0144stwowy instytut badawczy NASK).
\nDa to mo\u017cliwo\u015b\u0107 nakazania zablokowania dost\u0119pu do dowolnego serwera, strony internetowej czy us\u0142ugi, zar\u00f3wno g\u0142\u00f3wnym operatorom telekomunikacyjnym, jak i dostawcom hostingu, operatorom p\u0142atno\u015bci lub samym w\u0142a\u015bcicielom stron czy us\u0142ug. Decyzj\u0105 urz\u0119dnika, od kt\u00f3rej nie b\u0119dzie przys\u0142ugiwa\u0107 odwo\u0142anie do s\u0105du, bo takiej procedury nie przewidziano. Wystarczy uznanie przez odpowiedni pa\u0144stwowy zesp\u00f3\u0142, \u017ce wyst\u0105pi\u0142 „incydent krytyczny”. Bo na przyk\u0142ad zagro\u017cone zosta\u0142y czyje\u015b interesy gospodarcze w wyniku ujawnienia jakich\u015b niewygodnych informacji. Za niezastosowanie polece\u0144 zabezpieczaj\u0105cych ma grozi\u0107 kara pieni\u0119\u017cna, jeszcze nie wiadomo w jakiej wysoko\u015bci, bo tu w projekcie wydaje si\u0119 by\u0107 luka.
\nMo\u017ce intencje s\u0105 dobre i chodzi tylko o szybkie reagowanie na cyberataki. Ale „dobrymi ch\u0119ciami piek\u0142o jest wybrukowane”.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":null,"protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"_links":{"self":[{"href":"https:\/\/sierp.libertarianizm.pl\/index.php?rest_route=\/wp\/v2\/posts\/1745"}],"collection":[{"href":"https:\/\/sierp.libertarianizm.pl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sierp.libertarianizm.pl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sierp.libertarianizm.pl\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/sierp.libertarianizm.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1745"}],"version-history":[{"count":1,"href":"https:\/\/sierp.libertarianizm.pl\/index.php?rest_route=\/wp\/v2\/posts\/1745\/revisions"}],"predecessor-version":[{"id":1746,"href":"https:\/\/sierp.libertarianizm.pl\/index.php?rest_route=\/wp\/v2\/posts\/1745\/revisions\/1746"}],"wp:attachment":[{"href":"https:\/\/sierp.libertarianizm.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1745"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sierp.libertarianizm.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1745"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sierp.libertarianizm.pl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1745"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}