Министерство предупреждает: миллиарды ЕС для Польши под угрозой

• Министерство цифровых дел готовится к борьбе за поправку к закону о Национальной системе кибербезопасности. Министерство опасается попытки ее подрыва в Сейме.
• Это важный регламент, который должен помочь бороться с угрозами государству, включая саботаж и терроризм. Он также окажет широкое влияние на компании. Польша опоздала с его принятием — за это на нее подали в Европейский суд (CJEU).
• Заместитель директора Министерства цифровых технологий предупреждает, что без этой поправки Польше грозят высокие штрафы, а Европейская комиссия может приостановить выплаты по Национальному плану восстановления Польши.
• Марцин Высоцки в интервью WNP также анонсирует следующие работы МК: над законом о стандартах облачных вычислений в администрации и органах местного самоуправления и над проектом посольств данных.

Почему пожарные должны получать бонусы из Фонда кибербезопасности? Этого хочет Министерство цифровых дел.

- Итак, начнем с тривиального вопроса.

Тривиально?

- Да, очень просто. Несколько десятков человек, работающих в Главном штабе пожарной службы, и люди, работающие в провинциальных подразделениях, отвечают за ключевые ИТ-системы, связанные с оповещением о чрезвычайных ситуациях. Эти системы обеспечивают, например, включение сирен тревоги в нужный момент. Быстрое реагирование на пожары, аварии и другие угрозы зависит от систем Государственной пожарной службы.

Современная система спасения, от которой зависят жизнь и здоровье людей, во многом основана на надежности ИТ-систем.

В будущем ответственным за них лицам, в соответствии с законом о защите населения, будут предоставлены дополнительные обязанности, в том числе по строительству, развитию и поддержанию Центрального регистра объектов коллективной защиты, в котором будут обрабатываться данные, необходимые для принятия правильных решений относительно использования средств защиты и укрытий в кризисных ситуациях. Это касается аварий, стихийных бедствий или атак с применением средств поражения. В таких местах, как Пожарная часть, нам нужны специалисты, поэтому я убежден, что мы должны их софинансировать.

Кто должен получать пособие из Фонда кибербезопасности?

И почему нужно софинансировать пожарных, но не сотрудников Главного управления национальных дорог и автомагистралей или Польских вод, которые также обслуживают ключевые системы?

- Я думаю, что проблема дополнения, о котором вы спрашиваете, является одной из причин, по которой работа по внесению изменений в Национальную систему кибербезопасности не столь эффективна, как должна быть.

Это не я спрашиваю, а министр инфраструктуры, участвующий в консультациях по этому законопроекту.

- Мы внедряем директиву NIS2, и другие министерства просят внести изменения в закон об особых правилах вознаграждения лиц, выполняющих задачи в сфере кибербезопасности. Этому должен быть посвящен отдельный проект - и, возможно, будет. К нам обращается много учреждений, которые также считают, что на них должна распространяться такая льгота. По моему мнению, в будущем необходимо будет подготовить прозрачную градацию, рассмотреть возможности финансирования.

На данный момент Министерство финансов не согласно увеличивать Фонд кибербезопасности на 250 млн злотых в год.

- Мы убедим Министерство финансов изменить свое мнение, поскольку считаем неправильным делать такие комментарии по Закону о национальной системе кибербезопасности. 250 миллионов злотых - это чуть больше половины годовых расходов, полученных в результате оценки влияния нормативных актов на реализацию поправки к Закону о KSC. Закон предполагает разработку групп реагирования на инциденты в сфере компьютерной безопасности (CSIRT) для отдельных секторов, платформы S46, а также упоминает образовательные проекты.

Что будет дальше с поправкой к Закону о национальной системе кибербезопасности?

И когда закончится путь правительства к законопроекту? MC объявил, что законопроект будет внесен в Сейм до конца июня.

- Проект передан в Постоянный комитет Совета министров. Думаю, он будет принят правительством в первую или вторую неделю июля.

С какими трудностями проект может еще столкнуться в Совете министров?

- Первый пункт, который мы обсудили, это разговор о расходах. Второй - это те элементы, которые могут выйти за рамки минимальной реализации директивы NIS2, на них министру развития и технологий было поручено обратить внимание. Остальные вопросы, как мне кажется, уже решены.

То есть поставщики с высоким уровнем риска остаются в проекте?

- Я так считаю, и премьер-министр Гавковски полон решимости в этом отношении. Это вопрос государственной безопасности, ее основных интересов в этой области. И я не думаю, что кто-то может эффективно постулировать отмену этой процедуры.

Значит, премьер-министр усмирил цифровых предателей в правительстве?

- Он не столько умиротворял, сколько убеждал людей в важности этих решений.

Объяснение важности вопроса о высокорисковых поставщиках является настолько сложной задачей, что многие аргументы, касающиеся государственной безопасности, являются секретной информацией в соответствии с Законом о защите секретной информации. Это постоянная трудность в общении, например, спецслужб, которые постулируют какие-то решения, но не могут их достаточно убедительно защитить, например, на заседаниях парламентских комитетов. Раскрытие аргументов, которые у них есть, наказывается, поэтому им часто приходится просто молчать или говорить «помидор».

Ожидаете ли вы ожесточенной борьбы в Сейме по поводу этих положений?

- За это, безусловно, будет борьба в Сейме, мы уже видели это во время обсуждения после разоблачения премьер-министра Дональда Туска. Мы также наблюдаем усилия лобби, которое работает над тем, чтобы сделать содержание этого проекта уродливым.

Значение?

- Одним из таких основных мифов, который продолжает существовать, является вопрос исключения поставщика оборудования или программного обеспечения из-за нетехнических предпосылок. Их называют «политическими». Однако на практике они касаются управления рисками, связанными, среди прочего, с угрозой терроризма или саботажа. И этот риск возникает из-за влияния третьей страны на производителя устройств или программного обеспечения, работающего в этой стране, будь то через закон или посредством действий, осуществляемых напрямую.

Критики утверждают, что это чрезмерное регулирование.

- То, что делает Польша в этом вопросе, уже принято в качестве законодательного решения в 21 стране и уже применяется в 12 из них. Кроме того, Европейская комиссия посредством запланированного ICT Toolbox выявляет множество проблем безопасности не только в сетях 5G, но и в таких областях, как устройства телемедицины, беспилотники и системы безопасности (например, ворота аэропортов).

Я бы поставил большую плитку шоколада, что в будущем нетехнические основания для исключения поставщиков с высоким риском станут стандартом в ЕС, также за пределами телекоммуникационных сетей, в отдельных секторах, таких как энергетика. И тогда мы начнем этот требовательный процесс внесения поправок в правила заново.

Кто настаивает на удалении нетехнических помещений?

- Huawei сделала это заявление в ходе публичных консультаций. Компания в последнее время не высказывалась напрямую, но есть и другие субъекты, которые просят ровно о том же - удалить так называемые нетехнические помещения, которые ради отвращения называют "политическими", и заявляют, что это польское изобретение и чрезмерное регулирование. И мы уже сказали себе, что это не так.

Я также ожидаю, что Сейм вернется к этим аргументам, а также постулатам, которые под видом введения прозрачности сделают административную процедуру для высокорискованного поставщика практически невыполнимой. Вероятно, раздадутся голоса, говорящие о том, что наши консультации слишком коротки. Однако я убежден, что пул идей, которые можно было бы выдвинуть, чтобы выбить зубы, т. е. сделать эту процедуру бесполезной, исчерпан. И закон просто необходимо принять. Я предполагаю, что это произойдет до конца года.

А что если нет?

- Мы являемся одной из 19 стран, которые не внедрили директиву NIS2 . Если мы этого не сделаем, нам придется платить штрафы.

И, наверное, нет более глупого способа потратить государственные деньги, чем платить штрафы за невыполнение столь важной директивы.

Европейская комиссия спрашивает нас каждый месяц, каков прогресс в работе. Также потому, что поправка к Закону KSC является важной вехой для Национального плана реконструкции. Отсутствие поправки может иметь действительно серьезные последствия для польского государства.

Давайте скажем прямо: либо KSC, либо блокировка денег от KPO?

- Комиссия предупреждает нас, что необходимо выполнить определенные этапы, и фактическая передача последующих траншей финансирования и их урегулирование зависят от того, достигнем ли мы их.

Станет ли это аргументом для депутатов в пользу ускорения процедуры?

- Это должно стать для них аргументом в пользу того, что некритическое прислушивание к голосам критиков этого законопроекта может закончиться для Польши очень плохо.

Министерство цифровых технологий разработает стандарты облачных вычислений в администрации и посольствах данных

Над какими еще проектами в сфере безопасности работает MC?

- Мы находимся на этапе подготовки проекта положения о стандартах облачных вычислений в сфере администрирования. Мы хотим, чтобы новое положение, в отличие от предыдущего постановления Совета министров, было обязательным также для органов местного самоуправления.

Также следует сосредоточиться на разработке правительственного облака и создании правил, которые позволят мигрировать наиболее важные данные в коммерческое облако в другой европейской стране, например, в условиях непосредственной угрозы войны . Следует принять во внимание опыт Украины, которая была вынуждена перенести важные данные из государственных реестров в условиях войны, что не соответствовало украинскому законодательству до тех пор, пока не было принято соответствующее постановление местного Совета министров, что, кстати, произошло через шестнадцать дней после вооруженной агрессии Российской Федерации в Украине.

Я бы не хотел, чтобы чья-то рука дрогнула, если бы Польша оказалась в такой ситуации. Посольства данных — тоже важный проект. Речь идет об обеспечении безопасности и доступности государственных данных в кризисных ситуациях, например, путем создания резервных копий в дипломатических миссиях.

Подобный проект уже существовал в предыдущем семестре, но до сих пор не реализован.

- Эта идея очень хороша, но нам нужно гарантировать, что не будет никаких правил, которые помешали бы ее реализации. Мы также пытаемся реагировать на такие проблемы, как нехватка электроэнергии для дата-центров в дипломатических миссиях.

Помимо традиционных центров обработки данных мы внедряем возможность предоставления резервного копирования в публичном или частном облаке в другой стране Европейской экономической зоны.

Когда будут представлены конкретные решения в отношении стандартов облачных вычислений?

- Я предполагаю, что министр цифровых дел представит первую версию проекта в этом году. Безусловно, будет непросто обработать этот проект, необходимо будет согласовать интересы и голоса многих заинтересованных сторон. Это снова будет разговор, среди прочего, между нашими предпринимателями и гиперскейлерами о том, как нам следует развивать наши компетенции, возможности и как мы понимаем цифровой суверенитет.

Вице-премьер много говорит о цифровом суверенитете. А вице-министр Росиньски пообещал на Европейском экономическом конгрессе , что министерство разработает решения, которые поддержат польских предпринимателей.

- И, конечно, мы разрабатываем такие решения. В «Стандартах кибербезопасности облачных вычислений», которые являются приложением к резолюции WIIP (общая государственная ИТ-инфраструктура - прим. ред.), есть конкретные уровни, которые указывают, когда данные должны обрабатываться в Европейской экономической зоне, а когда в Польше. Мы предложим аналогичные решения в акте.

Мы не собираемся менять пропорции на рынке облачных услуг. Вместо этого мы сосредоточимся на том, чтобы обеспечить обработку наиболее важных данных в Польше. Это также касается расширения наших собственных возможностей в этой области.

И почему министерство строит еще одну CSIRT за 10 миллионов злотых ?

- Это очень хороший вопрос. В настоящее время в системе KSC у нас около 400 ключевых операторов услуг, которые поддерживаются CSIRT национального уровня, например, в CSIRT NASK или CSIRT GOV в ABW. После внесения поправок масштаб значительно увеличится - речь идет о нескольких или даже нескольких десятках тысяч субъектов. Именно поэтому мы создаем систему отраслевых CSIRT, которые будут служить поддержкой для отдельных отраслей - так же, как сегодня это делает команда в PFSA (Польское управление финансового надзора - прим. ред.) для финансового сектора или Центр электронного здравоохранения для сектора здравоохранения.

CSIRT Cyfra, о которой вы спрашиваете, является одной из таких команд. В секторе цифровой инфраструктуры, которым управляет моя команда, в настоящее время у нас менее 10 субъектов. После вступления в силу новых правил туда будут включены поставщики облачных услуг и предприниматели в сфере электронных коммуникаций, что значительно увеличит масштаб — уже будет несколько десятков субъектов. Это оправдывает создание специальной команды. Аналогичные команды будут созданы и в других министерствах, например, в Министерстве климата и окружающей среды. Их задачей будет поддержка предпринимателей и разгрузка работы CSIRT национального уровня.