EU-miljarden voor Polen in gevaar? Ministerie waarschuwt
- Het ministerie van Digitale Zaken bereidt zich voor op een strijd om de wijziging van de wet op het Nationaal Cybersecuritysysteem te verdedigen. Het ministerie vreest een poging om deze wijziging in de Sejm te ondermijnen.
- Dit is een belangrijke verordening die bedoeld is om bedreigingen voor de staat, waaronder sabotage en terrorisme, te bestrijden. Het zal ook een brede impact hebben op bedrijven. Polen is laat met de invoering ervan – het land is hiervoor aangeklaagd bij het Europees Hof van Justitie (HvJ-EU).
- De adjunct-directeur van het ministerie van Digitale Zaken waarschuwt dat Polen zonder deze wijziging te maken krijgt met hoge boetes en dat de Europese Commissie de betalingen uit het nationale herstelplan voor Polen mogelijk opschort.
- Marcin Wysocki kondigt in een interview met WNP ook de volgende werken van de MC aan: over de wet op cloud computing-normen bij overheidsdiensten en lokale overheden en het project Data Embassys.
Waarom zouden brandweerlieden een premie uit het Cybersecurity Fonds moeten krijgen? Dat wil het ministerie van Digitale Zaken.
- We beginnen dus met een triviale vraag.
Triviaal?
- Ja, het is heel eenvoudig. Enkele tientallen mensen die werken op het hoofdkwartier van de brandweer en mensen die werken bij provinciale eenheden zijn verantwoordelijk voor belangrijke IT-systemen met betrekking tot noodmeldingen. Deze systemen zorgen er bijvoorbeeld voor dat alarmsirenes op het juiste moment worden geactiveerd. Snelle respons op branden, ongevallen en andere dreigingen is afhankelijk van de systemen van de staatsbrandweer.
Moderne reddingssystemen waarvan het menselijk leven en de gezondheid afhangen, zijn grotendeels gebaseerd op de betrouwbaarheid van IT-systemen.
In de toekomst zullen de verantwoordelijken voor deze voorzieningen, conform de Wet Bescherming Bevolking, extra taken krijgen, waaronder de aanleg, ontwikkeling en het onderhoud van het Centraal Register Collectieve Beschermingsvoorzieningen, waarin de gegevens worden verwerkt die nodig zijn om de juiste beslissingen te nemen over het gebruik van beschermings- en schuilplaatsen in crisissituaties. Dit geldt bijvoorbeeld voor storingen, natuurrampen of aanvallen met vernielingsmiddelen. Op locaties zoals de brandweer hebben we specialisten nodig, dus ik ben ervan overtuigd dat we die moeten meefinancieren.
Voor wie is de tegemoetkoming uit het Cybersecurity Fonds bestemd?En waarom worden brandweerlieden wel meegefinancierd, maar de werknemers van het directoraat-generaal voor nationale wegen en autosnelwegen of de Poolse wateren, die ook belangrijke systemen onderhouden, niet?
- Ik denk dat de kwestie van het supplement waar u naar vraagt een van de redenen is waarom de werkzaamheden om het nationale cybersecuritysysteem aan te passen niet zo effectief zijn als het zou moeten zijn.
Het is niet ik die de vraag stelt, maar de minister van Infrastructuur bij de consultatie over dit wetsvoorstel.
- We implementeren de NIS2-richtlijn en andere ministeries vragen om aanpassing van de wet op de bijzondere regels voor de beloning van mensen die taken uitvoeren op het gebied van cybersecurity. Hieraan zou een apart project gewijd moeten worden – en dat zal misschien ook gebeuren. We worden benaderd door veel instellingen die ook van mening zijn dat zij onder een dergelijke uitkering zouden moeten vallen. Naar mijn mening is het in de toekomst noodzakelijk om een transparante gradatie op te stellen en de financieringsmogelijkheden te bekijken.
Het ministerie van Financiën is vooralsnog niet akkoord met een verhoging van het Cybersecurityfonds met 250 miljoen PLN per jaar.
- Wij zullen het ministerie van Financiën van gedachten doen veranderen, omdat wij van mening zijn dat dergelijke opmerkingen over de Wet op het Nationaal Cybersecuritysysteem onjuist zijn. 250 miljoen PLN is iets meer dan de helft van de jaarlijkse kosten die voortvloeien uit de beoordeling van de impact van regelgeving op de implementatie van de wijziging van de KSC-wet. De wet gaat uit van de ontwikkeling van Computer Security Incident Response Teams (CSIRT) voor individuele sectoren, het S46-platform, en maakt melding van educatieve projecten.
Hoe staat het nu met de wijziging van de Wet Nationaal Cybersecuritysysteem?En wanneer eindigt het regeringstraject naar het wetsvoorstel? MC kondigde aan dat het wetsvoorstel eind juni bij de Sejm zou worden ingediend.
- Het project is ingediend bij het Permanent Comité van de Raad van Ministers. Ik verwacht dat het in de eerste of tweede week van juli door de regering zal worden goedgekeurd.
Welke moeilijkheden kan het project nog in de Ministerraad tegenkomen?
- Het eerste punt dat we hebben besproken, is het gesprek over de kosten. Het tweede punt betreft de elementen die mogelijk verder gaan dan de minimale implementatie van de NIS2-richtlijn; de minister van Ontwikkeling en Technologie had de taak om daar aandacht voor te vragen. De overige kwesties lijken mij al opgelost.
Zodat leveranciers met een hoog risico in het project blijven?
- Ik denk van wel, en premier Gawkowski heeft een sterke vastberadenheid in dit opzicht. Dit is een kwestie van staatsveiligheid, van fundamentele belangen op dit gebied. En ik denk niet dat iemand de afschaffing van deze procedure effectief zou kunnen bewerkstelligen.
De premier heeft dus de digitale verraders in de regering gepacificeerd ?
- Hij probeerde de mensen niet zozeer te sussen, maar vooral te overtuigen van het belang van deze beslissingen.
Uitleggen hoe belangrijk de kwestie van risicovolle leveranciers is, is zo'n uitdaging dat veel argumenten over staatsveiligheid geclassificeerde informatie zijn in de zin van de Wet Bescherming Persoonsgegevens. Dit is een permanent communicatieprobleem, bijvoorbeeld bij speciale diensten die wel oplossingen aandragen, maar deze niet krachtig genoeg kunnen verdedigen, bijvoorbeeld tijdens vergaderingen van parlementaire commissies. Het onthullen van hun argumenten wordt bestraft, waardoor ze vaak gewoon moeten zwijgen of "tomaat" moeten zeggen.
Verwacht u een heftige strijd binnen de Sejm over deze bepalingen?
- Er zal zeker strijd over zijn in de Sejm, we hebben het al gezien tijdens de discussie na de onthullingen van premier Donald Tusk. We zien ook de inspanningen van de lobby, die de inhoud van dit project lelijk probeert te maken.
Betekenis?
- Een van die hardnekkige basismythes is de kwestie van het uitsluiten van een hardware- of softwareleverancier op basis van niet-technische premissen. Deze worden "politieke premissen" genoemd. In de praktijk gaat het echter om risicomanagement met betrekking tot onder andere de dreiging van terrorisme of sabotage. Dit risico is het gevolg van de invloed van een derde land op de fabrikant van apparaten of software die in dat land actief is, hetzij via wetgeving, hetzij via rechtstreekse acties.
Critici beweren dat er sprake is van overregulering.
- Wat Polen op dit gebied doet, is al in 21 landen wettelijk vastgelegd en wordt in 12 daarvan al toegepast. Daarnaast identificeert de Europese Commissie, via de geplande ICT Toolbox, tal van beveiligingsuitdagingen, niet alleen in 5G-netwerken, maar ook op gebieden zoals telegeneeskunde, drones en beveiligingssystemen (bijvoorbeeld gates op luchthavens).
Ik zou er een flinke reep chocolade om verwedden dat in de toekomst niet-technische gronden voor het uitsluiten van risicovolle leveranciers standaard zullen worden in de EU, ook buiten de telecommunicatienetwerken, in bepaalde sectoren zoals de energiesector. En dan zouden we dit veeleisende proces van regelgevingswijziging opnieuw starten.
Wie dringt aan op het verwijderen van niet-technische premissen?
- Huawei heeft deze bewering gedaan tijdens openbare consultaties. Het bedrijf heeft zich de laatste tijd niet rechtstreeks uitgesproken, maar er zijn andere partijen die precies hetzelfde eisen: het schrappen van de zogenaamde niet-technische premissen, die uit afschuw "politiek" worden genoemd, en het stellen dat dit een Poolse uitvinding en overregulering is. En we hebben al tegen onszelf gezegd dat dit niet het geval is.
Ik verwacht ook dat de Sejm op deze argumenten terugkomt, en dat ze poneert dat, onder het mom van transparantie, de administratieve procedure voor een risicovolle leverancier praktisch onhaalbaar wordt. Er zullen waarschijnlijk stemmen opgaan die beweren dat onze consultaties te kort zijn. Ik ben er echter van overtuigd dat de ideeën die geopperd hadden kunnen worden om deze procedure te forceren, oftewel nutteloos te maken, uitgeput zijn. En de wet moet gewoon worden aangenomen. Ik ga ervan uit dat dit voor het einde van het jaar zal gebeuren.
En wat als dat niet zo is?
- Wij zijn een van de 19 landen die de NIS2-richtlijn niet hebben geïmplementeerd. Als we dat niet doen, zullen we boetes moeten betalen.
En er is waarschijnlijk geen dommere manier om overheidsgeld te besteden dan het betalen van boetes voor het niet omzetten van zo'n belangrijke richtlijn.
De Europese Commissie vraagt ons maandelijks naar de voortgang van de werkzaamheden. Ook omdat de wijziging van de KSC-wet een mijlpaal is voor het Nationaal Wederopbouwplan. Het uitblijven van een wijziging kan zeer ernstige gevolgen hebben voor de Poolse staat.
Laten we het botweg zeggen: kiest u voor KSC of blokkeert u het geld van KPO?
- De Commissie waarschuwt ons dat er mijlpalen moeten worden gehaald en dat de daadwerkelijke overdracht van de volgende financieringstranches en de afwikkeling daarvan afhankelijk zijn van het behalen van die mijlpalen.
Zal dit voor parlementsleden een argument zijn om snel te handelen?
- Dit zou voor hen een argument moeten zijn dat het onkritisch luisteren naar de stemmen van critici van dit wetsvoorstel heel slecht kan aflopen voor Polen.
Het ministerie van Digitale Zaken gaat cloud computing-standaarden ontwikkelen in bestuurs- en data-ambassadesAan welke andere beveiligingsprojecten werkt MC?
- We zijn bezig met het voorbereiden van een ontwerpverordening inzake cloud computing-normen in het bestuur. We willen dat de nieuwe verordening, in tegenstelling tot de eerdere resolutie van de Ministerraad, ook bindend is voor lokale overheden.
We zouden ons ook moeten richten op de ontwikkeling van een overheidscloud en het opstellen van regels die de migratie van de belangrijkste gegevens naar een commerciële cloud in een ander Europees land mogelijk maken, bijvoorbeeld in een situatie van dreigende oorlog . We zouden moeten voortbouwen op de ervaring van Oekraïne, dat gedwongen werd belangrijke gegevens uit staatsregisters over te zetten in het licht van de oorlog, wat niet in overeenstemming was met de Oekraïense wetgeving totdat het desbetreffende decreet werd uitgevaardigd door de lokale ministerraad, wat overigens zestien dagen na de gewapende agressie van de Russische Federatie in Oekraïne plaatsvond.
Ik zou willen dat niemands hand trilt als Polen zich in zo'n situatie zou bevinden. Data-ambassades zijn ook een belangrijk project. Het gaat erom de veiligheid en beschikbaarheid van staatsgegevens in crisissituaties te waarborgen, bijvoorbeeld door reservekopieën te maken bij diplomatieke missies.
Er was vorig schooljaar ook al een dergelijk project, maar dat is tot op heden nog niet uitgevoerd.
- Dit idee is heel goed, maar we moeten ervoor zorgen dat er geen regelgeving is die de implementatie ervan in de weg staat. We proberen ook een antwoord te bieden op uitdagingen zoals het gebrek aan stroom voor datacenters bij diplomatieke missies.
Naast de traditionele datacenters introduceren we de mogelijkheid om back-up te bieden in een publieke of private cloud in een ander land van de Europese Economische Ruimte.
Wanneer liggen er concrete oplossingen op het gebied van cloud computing-standaarden op tafel?
- Ik ga ervan uit dat de minister van Digitale Zaken dit jaar de eerste versie van het project zal presenteren. Het zal zeker een uitdaging zijn om dit project te realiseren; het zal nodig zijn om de belangen en stemmen van vele stakeholders te verenigen. Dit zal wederom een gesprek worden, onder andere tussen onze ondernemers en hyperscalers, over hoe we onze competenties en capaciteiten moeten opbouwen en hoe we digitale soevereiniteit moeten begrijpen.
De vicepremier spreekt veel over digitale soevereiniteit. En vicepremier Rosiński beloofde tijdens het Europees Economisch Congres dat het ministerie oplossingen zal ontwikkelen die Poolse ondernemers zullen ondersteunen.
- En natuurlijk ontwerpen wij dergelijke oplossingen. In de "Cloud Computing Cybersecurity Standards", een bijlage bij de WIIP-resolutie (gemeenschappelijke staats-IT-infrastructuur - noot van de redactie), zijn specifieke niveaus opgenomen die aangeven wanneer gegevens binnen de Europese Economische Ruimte verwerkt moeten worden en wanneer binnen Polen. We zullen soortgelijke oplossingen in de wet voorstellen.
Het is niet zo dat we de verhoudingen in de markt voor clouddiensten gaan veranderen. We gaan ons juist richten op het waarborgen dat de belangrijkste data in Polen wordt verwerkt. Het gaat er ook om onze eigen capaciteiten op dit gebied uit te breiden.
En waarom bouwt het ministerie een nieuw CSIRT voor 10 miljoen PLN ?
- Dat is een heel goede vraag. Momenteel hebben we binnen het KSC-systeem ongeveer 400 belangrijke dienstverleners, die worden ondersteund door CSIRT's op nationaal niveau, bijvoorbeeld CSIRT NASK of CSIRT GOV in ABW. Na de wijziging zal de omvang aanzienlijk toenemen - we hebben het over enkele of zelfs enkele tientallen duizenden entiteiten. Daarom creëren we een systeem van sectorale CSIRT's, die individuele sectoren zullen ondersteunen - net zoals het team van de PFSA (Poolse Autoriteit voor Financieel Toezicht - redactionele noot) dat nu doet voor de financiële sector of het e-Health Center voor de zorgsector.
Het CSIRT Cyfra waar u naar vraagt, is zo'n team. In de sector digitale infrastructuur, die mijn team beheert, hebben we momenteel minder dan 10 entiteiten. Na de inwerkingtreding van de nieuwe regelgeving zullen clouddienstverleners en ondernemers in elektronische communicatie daar ook bij betrokken worden, wat de schaal aanzienlijk zal vergroten – er zullen nu al enkele tientallen entiteiten zijn. Dit rechtvaardigt de oprichting van een speciaal team. Soortgelijke teams zullen ook bij andere ministeries worden opgericht, bijvoorbeeld bij het ministerie van Klimaat en Milieu. Hun taak zal zijn om ondernemers te ondersteunen en de CSIRT's op nationaal niveau te ontlasten.
wnp.pl
