Европейские ограничения и сомнения
Предложение о поправке к Закону о национальной системе кибербезопасности, представленной Министерством оцифровки, направлено на реализацию директивы NIS2. Это юридический закон ЕС, который вводит единую рамку безопасности в киберпространстве Секторы важны и ключ к обеспечению непрерывности функционирования польской и европейской экономики. Наиболее противоречивым элементом предлагаемого изменения является институт поставщиков с высоким уровнем риска — согласно проекту, важные и ключевые организации должны будут избавиться от всех компонентов ИКТ, которые поступают от организации, признанного таким поставщиком. Важно отметить, что министр оцифровки, который может выносить этот тип решения, должен руководствоваться не только техническими параметрами, которые связаны с безопасностью, но и нетехническими критериями, такими как состояние происхождения поставщика. Это кажется интуитивно понятным для нас — в конце концов, с нашей точки зрения государства, естественно, «рискованно», что может повлиять на нашу (кибер) безопасность.
Однако, что важно с точки зрения законодательного процесса, хотя эта процедура была включена в нашу местную реализацию директивы NIS2, она никоим образом не показывает. Размещать его в польском акте так называют Goldplicing (позолота), которое включает в себя «добавление» дополнительных обязательств в законах, перенесших в Европейские правила польского правопорядка. Стоит отметить, что, хотя это нежелательное явление — как создание экономической «Европы многих скоростей», где единый европейский рынок соответствует внутренним нормативным барьерам — это не запрещено. В частности, сама директива NIS2 указывает на то, что государства -члены могут предоставить дополнительные, дальнейшие, дальнейшие правила кибербезопасности.
Однако, хотя внедрение дополнительных правил по сравнению с европейскими правилами не запрещено, следует отметить, что существуют значительные ограничения в том, как государство -член ЕС может ввести барьеры на рынке Европейского союза. Прежде всего, следует подчеркнуть, что внутренние ограничения на запуск продуктов на европейский рынок или SO Службы информационного общества (и, таким образом, в разговорной речи, услуги, предоставляемые в Интернете), должны быть уведомлены в Европейской комиссии на этапе проекта (до того, как парламент примет их), и после того, как уведомление по уведомлению должно быть приостановлено не менее трех месяцев, чтобы дать комитетам и другим странам время прочитать их и представить какие -либо комментарии. В этом случае важно, чтобы последствия отсутствия уведомлений и нарушения трехмесячного периода, называемого «стойким», — непредвзятые положения, которые должны быть уведомлены, не могут применяться к предпринимателям каким -либо образом. Такие неизвестные положения также могут быть источником затрат на казначейство, поскольку природные и юридические лица, которые понесли расходы в связи с введением национальных положений, могут применяться к компенсации для SO Законодательный беззаконность.
В настоящее время Министерство оцифровки не предоставляет уведомление в сфере запланированной поправки к Закону KSC, хотя нет никаких сомнений в том, что положения, касающиеся поставщиков высокого риска, соответствуют определению технических положений, которые должны быть уведомлены. Эффекты такого решения могут быть чрезвычайно важными — мы помним всю историю отсутствия уведомления Закона об азартных играх относительно одноразовых бандитов и абсолютного юридического хаоса в этом отношении, который мы чувствуем по сей день.
Набор инструментов как инжирный лист
Тем не менее, следует отметить, что он защищает министерство оцифровки, что институт поставщиков с высоким уровнем риска, хотя и отсутствует в каком -либо нормативном акте, который в настоящее время применяется в Европейском союзе, в документах ЕС. Это о так называемом Toolbox 5G, то есть руководящие принципы, выпущенные Агентством Европейского Союза по кибербезопасности (ENISA), которые содержат советы и передовые практики для обеспечения критической безопасности, наиболее важные функции, связанные с работой сети 5G. Они не являются юридическим актом, поэтому у них нет обязательной силы, но они являются важным намеком при создании национальных кадров кибербезопасности.
Но в чем разница между процедурой поставщиков высокого риска и предложениями, содержащимися в наборе инструментов 5G? Во -первых, по его масштабу. Панель инструментов 5G приказывает учитывать при оценке риска нетехнических факторов только для некоторых элементов инфраструктуры, обеспечивающих функционирование сети 5G, то есть критические элементы. В случае положений, предложенных Министерством оцифровки, нет такого ограничения — каждый поставщик, независимо от того, какие продукты он предлагает, его можно считать поставщиком высокого риска, независимо от того, продает ли она электронную няню или часть системы 5G.
Предложение Министерства оцифровки выходит далеко за рамки этого европейского фигового листа, который является набором инструментов 5G. Тем не менее, это не все — в результате с учетом комментариев некоторых сред, подход, вызванный проектом польских правил, должен быть естественным образом расширен в старой сети. Это связано с тем, что, хотя правила никоим образом не ограничивают возможность распознавания организации как поставщика высокого риска, проектор решил указать в приложении к проекту ключевых услуг, который, естественно, будет предметом наблюдения Министерства оцифровки. В ходе работы над проектом этого вложения было указано, что такая услуга представляет собой не только «базовая полоса базовая полоса 5G и другие функции», но и антенны базовых станций, что также означает использование их в сети старшего поколения. Таким образом, ясно, что фиговый лист, который является источником этих правил, слишком мал, чтобы покрыть дальние планы министерства.
Действовать вопреки регулированию ЕС
Также не следует забывать, что правовая система — это просто система, она состоит из многих элементов, которые должны гармонизировать друг с другом. В этом контексте стоит отметить, что само оцифровываемого Министерства оцифровки переходит в параллельные два закона — поправку к Закону KSC, а также Закон о сестринском акте о сертификации кибербезопасности. Сертификация кибербезопасности состоит в проверке данного продукта с точки зрения его «стеснения» или не допускает утечки данных, независимо от того, правильно ли он защищен от внешних помех или может манипулировать. Это Nomen Omen, «Сертификат качества», который показывает, что дизайн и принципы функционирования заданного компонента ИКТ гарантируют, что он не генерирует риск по плохому дизайну.
Подход, основанный на сертификации, является очевидной тенденцией, которая имеет свои источники как в экономических реалиях, так и в юридических правилах ЕС. Компоненты ИКТ играют все более важную роль в нашей жизни, используя в новых областях. Подход, основанный на сертификации, отвечает на эту высоту, предоставляя безопасную ориентир для пользователей продукта. Это явление также имеет свое отражение в законе. Закон ЕС уже предусматривает сертификацию кибербезопасности, и этот подход разрабатывается в одном из ключевых новых актов ЕС — Закона о кибер -устойчивости (CRA). Регламент находится на последнем этапе законодательной работы (возможно, оно будет завершено во время президентства польского президентства в Совете ЕС) и устанавливает основные рамки того, как продукты ИКТ должны получить сертификат безопасности.
Процедура распознавания в качестве поставщика высокого риска, предложенная Министерством оцифровки, просто противоречит запланированной регуляции CRA. Это связано с тем, что CRA четко указывает на то, что государства -члены не могут препятствовать разделению продуктов на рынке с цифровыми элементами в соответствии с CRA (статья 4), а также представляет предположение, что продукт безопасен, при условии, что производитель использует процедуры и нормы, указанные в регулировании (статья 18). Более того, CRA предсказывает, что если существует риск кибер потока, генерируемой сертифицированным продуктом, необходимо использовать специальную процедуру для заказа производителя для ремонта, и только после их неэффективности можно исключить продукты с рынка (статья 46). Тем не менее, правительство, кажется, притворяется, что оно не видит этих решений.
Не вылейте ребенка в ванну
Нет сомнений в том, что в нынешней геополитической ситуации кибербезопасность должна быть приоритетом Польши. Однако стоит подчеркнуть, что мы не одинокий остров, и общее пространство для кибербезопасности должно быть построено рядом с европейскими партнерами. Поэтому мы должны считать вместе, что польский законодатель, осведомленное о проблемах кибербезопасности, не будет изливать ребенка ванной, пересекая общий европейский подход, основанный на сертификации и трудных технических доказательствах. Игра против европейской команды может стоить нам — буквально и портативно — много.
