Miliardi UE per la Polonia a rischio? Il Ministero avverte
- Il Ministero degli Affari Digitali si sta preparando a una battaglia per difendere l'emendamento alla legge sul Sistema Nazionale di Sicurezza Informatica. Il Ministero teme un tentativo di indebolirlo in seno al Sejm.
- Si tratta di un regolamento importante che dovrebbe contribuire a contrastare le minacce allo Stato, tra cui sabotaggio e terrorismo. Avrà anche un impatto significativo sulle aziende. La Polonia è in ritardo nell'adozione: è stata citata in giudizio presso la Corte di Giustizia Europea (CGUE) per questo.
- Il vicedirettore del Ministero degli Affari Digitali avverte che senza questa modifica la Polonia dovrà pagare multe salate e la Commissione Europea potrebbe sospendere i pagamenti del Piano nazionale di ripresa per la Polonia.
- Marcin Wysocki, in un'intervista al WNP, annuncia anche i prossimi lavori del MC: sulla legge sugli standard del cloud computing nell'amministrazione e negli enti locali e sul progetto delle ambasciate dei dati.
Perché i vigili del fuoco dovrebbero ricevere bonus dal Fondo per la sicurezza informatica? Questo è ciò che vuole il Ministero degli Affari Digitali.
- Quindi iniziamo con una domanda banale.
Banale?
- Sì, è molto semplice. Diverse decine di persone che lavorano presso la sede centrale dei Vigili del Fuoco e nelle unità provinciali sono responsabili dei principali sistemi informatici relativi alla notifica delle emergenze. Questi sistemi garantiscono, ad esempio, l'attivazione tempestiva delle sirene di allarme. La risposta rapida a incendi, incidenti e altre minacce dipende dai sistemi dei Vigili del Fuoco dello Stato.
Il moderno sistema di soccorso da cui dipendono la vita e la salute umana si basa in larga misura sull'affidabilità dei sistemi informatici.
In futuro, ai responsabili, ai sensi della legge sulla protezione della popolazione, saranno affidati compiti aggiuntivi, tra cui la creazione, lo sviluppo e la manutenzione del Registro Centrale dei Dispositivi di Protezione Collettiva, in cui verranno elaborati i dati necessari per prendere le decisioni appropriate in merito all'uso di luoghi di protezione e nascondigli in situazioni di crisi. Ciò riguarda guasti, calamità naturali o attacchi con mezzi distruttivi. In luoghi come i Vigili del Fuoco, abbiamo bisogno di specialisti, quindi sono convinto che dovremmo cofinanziarli.
Chi dovrebbe ricevere l'indennità del Cybersecurity Fund?E perché cofinanziare i vigili del fuoco, ma non i dipendenti della Direzione generale per le strade nazionali e le autostrade o delle acque polacche, che si occupano anche della manutenzione degli impianti chiave?
- Credo che la questione dell'integrazione di cui mi occupi sia una delle ragioni per cui i lavori di modifica del Sistema nazionale di sicurezza informatica non siano efficaci come dovrebbero.
Non sono io a chiederlo, ma il Ministro delle Infrastrutture durante le consultazioni su questo disegno di legge.
Stiamo implementando la direttiva NIS2 e altri ministeri stanno chiedendo modifiche alla legge sulle norme specifiche per la remunerazione di chi svolge mansioni nel campo della sicurezza informatica. Un progetto separato dovrebbe essere dedicato a questo aspetto, e forse lo sarà. Riceviamo richieste da molte istituzioni che ritengono di dover beneficiare di tale indennità. A mio avviso, in futuro sarebbe necessario predisporre una gradazione trasparente, per valutare le possibilità di finanziamento.
Per ora, il Ministero delle Finanze non accetta di aumentare il Fondo per la sicurezza informatica di 250 milioni di PLN all'anno.
- Convinceremo il Ministero delle Finanze a cambiare idea, perché riteniamo che sia sbagliato fare simili commenti sulla Legge sul Sistema Nazionale di Sicurezza Informatica. 250 milioni di PLN rappresentano poco più della metà dei costi annuali derivanti dalla valutazione dell'impatto delle normative sull'attuazione della modifica alla Legge sul Sistema Nazionale di Sicurezza Informatica (KSC). La legge prevede lo sviluppo di Gruppi di Risposta agli Incidenti di Sicurezza Informatica (CSIRT) per i singoli settori, la piattaforma S46 e menziona progetti formativi.
Cosa succederà ora con la modifica della legge sul sistema nazionale di sicurezza informatica?E quando finirà il percorso del governo verso la proposta di legge? MC ha annunciato che la proposta di legge sarà presentata al Sejm entro la fine di giugno.
- Il progetto è stato presentato alla Commissione permanente del Consiglio dei ministri. Credo che verrà adottato dal governo nella prima o seconda settimana di luglio.
Quali difficoltà potrebbe ancora incontrare il progetto in sede di Consiglio dei Ministri?
- Il primo punto di cui abbiamo discusso è la questione dei costi. Il secondo riguarda quegli elementi che potrebbero andare oltre l'attuazione minima della direttiva NIS2, su cui il Ministro dello Sviluppo e della Tecnologia è stato incaricato di richiamare l'attenzione. Le restanti questioni mi sembrano già state risolte.
Quindi i fornitori ad alto rischio restano nel progetto?
- Credo di sì e c'è una forte determinazione da parte del Primo Ministro Gawkowski in questo senso. Si tratta di una questione di sicurezza dello Stato, dei suoi interessi fondamentali in quest'area. E non credo che nessuno possa effettivamente postulare l'abolizione di questa procedura.
Quindi il Primo Ministro ha placato i traditori digitali nel governo?
- Non si limitò a pacificare, ma piuttosto a convincere le persone dell'importanza di queste decisioni.
Spiegare l'importanza della questione dei fornitori ad alto rischio è così difficile che molte argomentazioni relative alla sicurezza dello Stato sono classificate come informazioni riservate ai sensi della Legge sulla protezione delle informazioni classificate. Questa è una difficoltà permanente nella comunicazione, ad esempio, per i servizi speciali che postulano alcune soluzioni, ma non riescono a difenderle con sufficiente fermezza, ad esempio durante le riunioni delle commissioni parlamentari. Rivelare le proprie argomentazioni è penalizzato, quindi spesso devono semplicemente tacere o dire "pomodoro".
Vi aspettate una dura lotta nel Sejm su queste disposizioni?
- Ci sarà sicuramente una battaglia per questo al Sejm, lo abbiamo già visto durante la discussione dopo la denuncia del Primo Ministro Donald Tusk. Stiamo anche osservando gli sforzi della lobby, che sta lavorando per svilire il contenuto di questo progetto.
Senso?
- Uno di questi miti fondamentali che persistono è la questione dell'esclusione di un fornitore di hardware o software per motivi non tecnici. Questi sono definiti "politici". Tuttavia, nella pratica, riguardano la gestione del rischio correlato, tra l'altro, alla minaccia di terrorismo o sabotaggio. E questo rischio deriva dall'influenza di un Paese terzo sul produttore di dispositivi o software che opera in quel Paese, sia per legge che per azioni intraprese direttamente.
I critici sostengono che si tratta di una regolamentazione eccessiva.
- L'iniziativa della Polonia in materia è già stata adottata come soluzione normativa in 21 Paesi ed è già applicata in 12 di essi. Inoltre, la Commissione europea, attraverso il previsto pacchetto di strumenti ICT, individua numerose sfide per la sicurezza, non solo nelle reti 5G, ma anche in settori come i dispositivi di telemedicina, i droni e i sistemi di sicurezza (ad esempio, i gate aeroportuali).
Scommetterei una grossa tavoletta di cioccolato che in futuro, le motivazioni non tecniche per escludere i fornitori ad alto rischio diventeranno la norma nell'UE, anche al di fuori delle reti di telecomunicazioni, in settori selezionati come quello energetico. E allora ricominceremo questo impegnativo processo di modifica dei regolamenti.
Chi spinge per l'eliminazione delle premesse non tecniche?
Huawei ha fatto questa affermazione durante le consultazioni pubbliche. L'azienda non si è espressa direttamente ultimamente, ma ci sono altre entità che chiedono esattamente la stessa cosa: eliminare le cosiddette premesse non tecniche, definite "politiche" per puro disgusto, e affermare che si tratta di un'invenzione polacca e di una regolamentazione eccessiva. E noi ci siamo già detti che non è così.
Mi aspetto anche che il Sejm torni su queste argomentazioni, così come sui postulati che, con il pretesto di introdurre la trasparenza, renderanno la procedura amministrativa per un fornitore ad alto rischio praticamente impraticabile. Probabilmente ci saranno voci che diranno che le nostre consultazioni sono troppo brevi. Tuttavia, sono convinto che la riserva di idee che avrebbe potuto essere sollevata per mettere a tacere i denti, ovvero rendere questa procedura inutile, si sia esaurita. E la legge deve semplicemente essere adottata. Presumo che ciò accadrà entro la fine dell'anno.
E se non fosse così?
- Siamo uno dei 19 paesi che non hanno recepito la direttiva NIS2 , se non lo faremo pagheremo delle sanzioni.
E probabilmente non esiste modo più stupido di spendere denaro pubblico che pagare multe per il mancato recepimento di una direttiva così importante.
La Commissione europea ci chiede ogni mese a che punto siano i lavori. Anche perché la modifica alla legge KSC è una pietra miliare per il Piano Nazionale di Ricostruzione. La mancanza di modifiche potrebbe avere conseguenze davvero gravi per lo Stato polacco.
Diciamolo senza mezzi termini: KSC o blocco dei soldi da KPO?
- La Commissione ci avverte che è necessario rispettare determinati traguardi e che l'effettivo trasferimento delle successive tranche di finanziamento e la loro liquidazione dipendono dal loro raggiungimento.
Sarà questo un argomento che spingerà i parlamentari a procedere rapidamente?
- Questo dovrebbe essere un argomento a loro favore, perché ascoltare acriticamente le voci dei critici di questa legge potrebbe avere conseguenze molto negative per la Polonia.
Il Ministero degli Affari Digitali svilupperà standard di cloud computing nelle ambasciate amministrative e di datiA quali altri progetti di sicurezza sta lavorando MC?
- Siamo in fase di preparazione di una bozza di regolamento sugli standard del cloud computing nell'amministrazione. Vogliamo che il nuovo regolamento, a differenza della precedente delibera del Consiglio dei Ministri, sia vincolante anche per gli enti locali.
Dovremmo inoltre concentrarci sullo sviluppo di un cloud governativo e sulla creazione di regole che consentano la migrazione dei dati più importanti verso un cloud commerciale in un altro Paese europeo, ad esempio in caso di imminente minaccia di guerra . Dovremmo prendere esempio dall'esperienza dell'Ucraina, costretta a trasferire dati importanti dai registri statali a causa della guerra, cosa che non era conforme alla legislazione ucraina fino all'emissione del relativo decreto da parte del Consiglio dei Ministri locale, avvenuta, tra l'altro, sedici giorni dopo l'aggressione armata della Federazione Russa in Ucraina.
Vorrei che nessuno tremasse se la Polonia si trovasse in una situazione simile. Anche le ambasciate di dati sono un progetto importante. Si tratta di garantire la sicurezza e la disponibilità dei dati statali in situazioni di crisi, ad esempio creando copie di backup nelle missioni diplomatiche.
Un progetto simile esisteva già nel semestre precedente, ma a oggi non è stato ancora realizzato.
- Questa idea è molto buona, ma dobbiamo garantire che non vi siano normative che ne impediscano l'attuazione. Stiamo anche cercando di rispondere a sfide come la mancanza di energia elettrica per i data center delle missioni diplomatiche.
Oltre ai data center tradizionali, stiamo introducendo la possibilità di fornire il backup in un cloud pubblico o privato in un altro paese dello Spazio economico europeo.
Quando saranno presentate soluzioni concrete in termini di standard del cloud computing?
- Presumo che il Ministro degli Affari Digitali presenterà la prima versione del progetto quest'anno. Sarà certamente una sfida elaborare questo progetto, sarà necessario conciliare gli interessi e le voci di molti stakeholder. Anche questo sarà un confronto, tra gli altri, tra i nostri imprenditori e gli hyperscaler su come dovremmo sviluppare le nostre competenze, capacità e come intendiamo la sovranità digitale.
Il Vice Primo Ministro parla molto di sovranità digitale. E il Vice Ministro Rosiński ha promesso durante il Congresso Economico Europeo che il Ministero svilupperà soluzioni a supporto degli imprenditori polacchi.
- E naturalmente, progettiamo soluzioni di questo tipo. Negli "Standard per la sicurezza informatica del cloud computing", allegato alla risoluzione WIIP (infrastruttura IT statale comune - ndr), sono previsti livelli specifici che indicano quando i dati devono essere trattati nello Spazio Economico Europeo e quando in Polonia. Proporremo soluzioni simili nella legge.
Non è che cambieremo le proporzioni del mercato dei servizi cloud. Ci concentreremo invece sull'elaborare i dati più importanti in Polonia. Si tratta anche di ampliare le nostre competenze in questo settore.
E perché il Ministero sta costruendo un altro CSIRT per 10 milioni di PLN ?
- Ottima domanda. Attualmente, nel sistema KSC sono presenti circa 400 operatori di servizi chiave, supportati da CSIRT a livello nazionale, ad esempio nel CSIRT NASK o nel CSIRT GOV in ABW. Dopo la modifica, la portata aumenterà significativamente: parliamo di diverse migliaia o addirittura di diverse decine di migliaia di entità. Per questo motivo stiamo creando un sistema di CSIRT settoriali, che fungerà da supporto ai singoli settori, proprio come fa oggi il team della PFSA (Autorità polacca di vigilanza finanziaria - nota editoriale) per il settore finanziario o il Centro di sanità elettronica per il settore sanitario.
Il CSIRT Cyfra di cui mi stai chiedendo è uno di questi team. Nel settore delle infrastrutture digitali, gestito dal mio team, attualmente abbiamo meno di 10 entità. Con l'entrata in vigore delle nuove normative, saranno inclusi anche i fornitori di servizi cloud e gli imprenditori del settore delle comunicazioni elettroniche, il che aumenterà significativamente la portata: ci saranno già diverse decine di entità. Ciò giustifica l'istituzione di un team dedicato. Team simili saranno creati in altri ministeri, ad esempio presso il Ministero del Clima e dell'Ambiente. Il loro compito sarà quello di supportare gli imprenditori e di alleggerire il lavoro dei CSIRT a livello nazionale.
wnp.pl
