Ostateczny zakres strategii zależeć będzie od uzgodnień w ramach rządu
„Ministerstwo Cyfryzacji opracowało projekt Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2025-2029, który przekazany został do konsultacji z innymi resortami i instytucjami poziomu krajowego. Obecnie trwa konsolidacja zgłaszanych uwag” - przekazało PAP biuro prasowe resortu.
W kolejnym etapie planowane jest przekazanie projektu do wykazu prac legislacyjnych Rady Ministrów, a proces legislacji prowadzi Departament Cyberbezpieczeństwa MC, nadzorowany przez wiceministra cyfryzacji Michała Olszewskiego.
Resort przypomniał, że zakres strategii jest określony w art. 69 ustawy o krajowym systemie cyberbezpieczeństwa. Wskazano w nim, że strategia musi uwzględniać m.in. cele i priorytety w zakresie cyberbezpieczeństwa, podmioty zaangażowane we wdrażanie strategii, czy środki potrzebne na jej realizację.
„Jednocześnie projekt uwzględnia zmiany technologiczne, prawne, jak również w środowisku bezpieczeństwa, jakie zaszły w ostatnich latach”. W treści projektu ujęte są zarówno inicjatywy obecnie realizowane, przygotowywane, jak również dopiero planowane do realizacji. Ostateczny zakres strategii zależeć będzie od uzgodnień w ramach rządu.
PUODO ma zastrzeżenia do projektu – w tle ochrona numerów PESEL
Uwagi do projektu opublikował w ubiegłym tygodniu Prezes Urzędu Ochrony Danych Osobowych (PUODO). Wskazał, że rozwiązania mające zapewnić cyberbezpieczeństwo mogą być wprowadzane jedynie w oparciu o wyraźną podstawę prawną. „Trzeba więc zmienić przepisy i to tak, by były dostosowane do szybko zmieniających się rozwiązań technologicznych” – podkreślił PUODO
Resort cyfryzacji powinien dokonać analizy już istniejących przepisów, zawierających rozwiązania „wadliwe z punktu widzenia ochrony danych”, co według prezesa może „negatywnie wpłynąć na zachowanie cyberbezpieczeństwa państwa”. W tym kontekście PUODO wskazał na rejestry publiczne, np. rejestr ksiąg wieczystych, w których dostępne są dane osobowe, w tym numer PESEL; a także na podpisy elektroniczne, w których numer PESEL wykorzystywany jest w formie identyfikatora.
„Numerem PESEL można zidentyfikować konkretną osobę. Dlatego możliwość jego nieuprawnionego użycia powinna zostać uznana za cyberzagrożenie dla praw i wolności obywateli. Kwestia ta ma znaczenie także w związku z przewidywanym w rozporządzeniu eIDAS2 europejskim portfelem tożsamości cyfrowej oraz pojęciem certyfikatu podpisu elektronicznego. Prawodawca rozważyć powinien zmianę prawa w celu dostosowania polskich przepisów do wymogów wynikających z tego rozporządzenia” - wskazał PUODO.
Dodał, że zmianę przepisów MC powinno poprzedzić analizą ryzyka dla przetwarzanych danych, w tym przeprowadzić test prywatności. „Cyberbezpieczeństwo wiąże się z użyciem nowych technologii, a te z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób”.
PUODO ma zastrzeżenia do przetwarzania danych biometrycznych
Według PUODO projekt strategii powinien regulować zagadnienie przetwarzania danych biometrycznych, których użycie dla celów identyfikacyjnych jest coraz bardziej powszechne (zalicza się do nich m.in. odcisk palca, tęczówka i siatkówka oka, wizerunek twarzy - PAP).
Prezes UODO zwrócił także uwagę na ryzyka związane z użyciem sztucznej inteligencji w kontekście cyberbezpieczeństwa. Według niego MC powinno uwzględnić w strategii rozwiązania „zapobiegjące kradzieży tożsamości technologiami śledzącymi czy podszywaniem się pod osoby przy użyciu narzędzi sztucznej inteligencji”.
Ministerstwo Cyfryzacji przekazało, że przyjęcie strategii odbędzie się w ramach uchwały Rady Ministrów i planowane jest w tym roku, a dokładny termin zależy od toku prac rządowych.
Poprzednia strategia cyberbezpieczeństwa RP, na lata 2019-2024, została przyjęta w 2019 r. Jej głównym celem było podniesienie poziomu odporności na cyberzagrożenia oraz poziomu ochrony informacji w sektorach publicznym, militarnym i prywatnym.
Polecany artykuł:
