Dariusz Szostek
Minął rok od artykułu dotyczącego cyberbezpieczeństwa w uczelniach wyższych i projektu zmian w prawie. Na szczęście dla nas projekt nie został do chwili obecnej uchwalony, a co za tym idzie regulacje nie weszły w życie (mimo, że termin implementacji minął w październiku 2024 r.).
Czy czas ten został dobrze spożytkowany? Niestety nie. Środowisko akademickie w dalszym ciągu bardzo dalekie jest od spełnienia wymogów przewidywanych w projekcie ustawy o krajowym systemie cyberbezpieczeństwa. Ale nie mogło stać się inaczej. Zauważamy bowiem olbrzymi dług technologiczny na wielu uczelniach, niewystarczające środki finansowe, brak kompleksowej wiedzy w tym obszarze, ale też nonszalanckie traktowanie problemu cyberbezpieczeństwa przez niektórych rektorów oraz kanclerzy, i wreszcie wiarę, że jakoś to będzie. Latem zeszłego roku niektóre uczelnie (podlegające ministrowi nauki) otrzymały zwiększoną subwencję na działania w obszarze cyberbezpieczeństwa. Czy środki te wykorzystano właściwie? Czy zwiększyło się w tym zakresie cyberbezpieczeństwo uczelni? A może tylko zmniejszono nieco dług technologiczny, „zasypano” dziury budżetowe w potrzebach działów IT, czy też stworzono zespoły do reagowania w zakresie cyberzagrożeń? Czy przeszkolono pracowników akademickich z zakresu cyberbezpieczeństwa i wdrożono odpowiednie procedury zarządzania cyberbezpieczeństwem oraz stworzono polityki bezpieczeństwa oparte na właściwych normach, wymagając ich realizacji od pracowników? Nie mnie oceniać. To domena odpowiednich podmiotów kontrolnych, w tym także Najwyższej Izby Kontroli.
Niestety, uczelnie podlegające innym niż MNiSW resortom miały i mają gorzej, gdyż nie otrzymały żadnego wsparcia, żadnych dodatkowych środków. Stało się to kolejnym zaczynem środowiskowej dyskusji o odmiennym traktowaniu różnych uczelni w zakresie cyberbezpieczeństwa.
W tym roku dodatkowego wsparcia na poprawę cyberbezpieczeństwa nie otrzymały żadne uczelnie. Ale też nieco się zmieniło. Rok temu temat ten praktycznie nie był poruszany poza gronem specjalistów. W ciągu tego roku stał się on co najmniej istotny, a na niektórych uczelniach (zwłaszcza z silnymi technicznymi wydziałami) i w instytutach (przede wszystkim technicznych) podjęto działania zwiększające bezpieczeństwo oraz cyberbezpieczeństwo. Zwiększyła się świadomość władz uczelni co do konieczności dbania o cyberbezpieczeństwo, chociaż niestety dla niektórych decydentów (rektorów) nie zmieniło się nic, pomimo coraz poważniejszych ataków na infrastrukturę i systemy informatyczne (bo przecież jakoś to będzie), a wielu uczelnianych dyrektorów IT oraz cyberbezpieczeństwa w dalszym ciągu obawia się informować rektora o ataku i zagrożeniu dla uczelnianych systemów informatycznych.
Ten rok pokazał nam, że środowisko akademickie nie jest przygotowane – i nie będzie w najbliższym czasie – na spełnienie wymogów cyberbezpieczeństwa przewidywanych w u.k.s.c. I kwestię tę podnoszą nie tylko rektorzy, nieświadomi swoich przyszłych obowiązków, ale specjaliści cyberbezpieczeństwa wdrażający je na najbardziej poważnie traktujących cyberbezpieczeństwo uczelniach i instytutach. Powodów jest wiele. Przede wszystkim są to: potężny dług technologiczny, olbrzymi obszar wymagający zabezpieczeń, brak specjalistów na odpowiednim poziomie w zakresie zarządzania cyberbezpieczeństwem (z chlubnymi wyjątkami), brak środków na cyberbezpieczeństwo (poza jednorazowym dofinasowaniem części uczelni), brak wypracowania systemowego podejścia do cyberbezpieczeństwa, podległość instytucji akademickich różnym resortom, brak świadomości, ignorancja.
Czy wejście w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa i przypisanie uczelni do pomiotów kluczowych (z bardzo wysokimi wymaganiami dotyczącymi cyberbezpieczeństwa) lub do podmiotów ważnych (z tylko niewiele mniejszymi wymaganiami) spowoduje, że uczelnie się niej dostosują? Obawiam się, że nie, gdyż dla wielu z nich jest to po prostu nieosiągalne. Z drugiej strony brak podwyższenia bezpieczeństwa i cyberbezpieczeństwa na uczelniach oraz w instytutach naukowych stwarza istotne zagrożenie bezpieczeństwa państwa, szczególnie tam, gdzie prowadzone badania naukowe dotyczą bezpieczeństwa, ale także innowacji o znaczeniu strategicznym.
Jedną z inicjatyw środowiska akademickiego, m.in. KRASP i Zespołu ds. cyberbezpieczństwa, była dyskusja, a w konsekwencji skierowane do ministra cyfryzacji stanowisko Rady do spraw Cyfryzacji, dotyczące konieczności systemowego wsparcia cyberbezpieczeństwa sektora naukowo-badawczego w Polsce. Warto wskazać kilka tez tego dokumentu: „Z uwagi na aktualnie stosunkowo niski poziom cyberbezpieczeństwa w sektorze naukowo-badawczym, a także dotychczasowe nieuwzględnienie tego sektora w wysiłkach państwa na rzecz zwiększenia cyberbezpieczeństwa sieci i systemów teleinformatycznych sektora naukowo-badawczego, po stronie polskich uczelni i ośrodków naukowo-badawczych pojawia się istotna luka kompetencji i dostępnych środków finansowych, która uniemożliwia im osiągnięcie oczekiwanego przepisami i adekwatnego do skali zagrożeń poziomu zabezpieczeń. W opinii Rady ds. Cyfryzacji konieczne jest pilne podjęcie wspólnych działań międzyresortowych, zmierzających do systemowego wsparcia cyberbezpieczeństwa sektora naukowo-badawczego. Działania te powinny objąć m.in. przygotowanie Strategii cyberbezpieczeństwa w uczelniach wyższych, a także stworzenie dedykowanego programu „Cyberbezpieczna Uczelnia” jako odrębnego funduszu dla wsparcia uczelni. Wsparcie finansowe z zasady obejmowałoby konieczność alokowania środków wyłącznie na rozwój zdolności, zakup sprzętu i oprogramowania podnoszących poziom cyberbezpieczeństwa uczelni. Z uwagi na kierunek, w jakim zmierzają regulacje prawne w zakresie cyberbezpieczeństwa, w ramach programu premiowane byłoby tworzenie uczelnianych i regionalnych Security Operations Centers (SOC). Potrzebne jest także przeprowadzenie analizy wykonalności dla stworzenia i udostępnienia podmiotom akademickim publicznego rozwiązania klasy SIEM, co znacznie mogłoby wpłynąć na optymalizację wydatków publicznych. Konieczne jest również uwzględnienie uczelni wyższych wśród podmiotów uprawnionych do korzystania ze wsparcia Funduszu Cyberbezpieczeństwa, a także przeznaczenie środków finansowych na wypracowanie kompleksowych wytycznych dla uczelni wyższych w zakresie podniesienia kompetencji w obszarze cyberbezpieczeństwa. Należy pilnie wesprzeć działania, które postuluje projekt nowelizacji UKSC, w tym dot. tworzenia CSIRT sektorowego do spraw nauki i badań naukowych”.
Do chwili obecnej nie padły żadne oficjalne deklaracje decydentów dotyczące przedstawionych postulatów.
W dyskusji wśród specjalistów ds. cyberbezpieczeństwa pojawia się coraz więcej pytań. Skoro uczelnie oraz instytuty nie są w stanie spełnić wysokich wymogów cyberbezpieczeństwa, to czy powinny stać się podmiotami kluczowymi lub ważnymi? W projekcie u.k.s.c przesądzono, że tak. Ale to nie wynika z obowiązku implementacji dyrektywy NIS2. Ta w tym zakresie pozostawia swobodę państwom członkowskim. Z tego też powodu Zespół KRASP ds. Cyberbezpieczeństwa przygotował stanowisko o zmianę projektu ustawy w tym zakresie, przedstawiając trzy podstawowe postulaty.
„1. Podniesienie poziomu cyberbezpieczeństwa polskich uczelni czy instytutów jest bardzo ważne i systemowo kluczowe oraz celowe. Wydaje się jednak, iż zgodnie z założeniami dyrektywy NIS2 warto się zastanowić nad miarkowaniem ryzyka związanego z działaniem poszczególnych uczelni wyższych a co za tym idzie oczekiwań wobec nich, w określania poziomu bezpieczeństwa i cyberbezpieczeństwa jakie powinny spełnić. Wskazuje na taką możliwość chociażby art. 2 ust. 5 pkt. a dyrektywy NIS2, zgodnie z którym państwa członkowskie nie mają obowiązku, a jedynie mogą z własnej woli rozszerzyć stosowanie dyrektywy na instytucje edukacyjne, szczególnie (i tu jest istotne ostatnie zdanie przepisu) gdy prowadzą one działalność badawczą o krytycznym znaczeniu (a nie każdą działalność).
2. Drugim postulatem jest implementacja definicji „organizacja badawcza” do polskiego prawa (nowelizacji u.k.s.c.) zgodnie z literalnym brzmienie definicji zaproponowanej w dyrektywie (Zgodnie z dyrektywą NIS2 „organizacja badawcza” to podmiot, którego głównym celem jest prowadzenie badań stosowanych lub eksperymentalnych prac rozwojowych z myślą o wykorzystaniu wyników tych badań do celów komercyjnych, z wyłączeniem instytucji edukacyjnych). Takie ujęcie z jednej strony zabezpiecza interesy państwa w szczególności badania naukowe o istotnym, krytycznym działaniu, ale także badania stosowane oraz eksperymentalne badania rozwojowe, z drugiej strony nie obejmowałaby badań np. dotyczących sztuki, literatury czy innych nie mających wpływu na cyberbezpieczeństwo państwa czy też inne mające krytyczne znaczenie dla państwa.
3. Trzecim postulatem jest możliwość wyodrębnienia części organizacyjnych uczelni, które podlegałyby pod u.k.s.c. Polskie uczelnie są różnej wielkości, począwszy od małych, przez średnie po bardzo duże. Podobnie jak przedsiębiorcy. Tyle że zgodnie z projektem u.k.s.c. za podmioty ważne lub kluczowe podlegają wyłącznie średni i duzi przedsiębiorcy (chyba że przepis stanowi inaczej). Uczelnie wszystkie, także niepubliczne niezależnie od wielkości. Podmioty bardzo duże (przedsiębiorcy) będący podmiotami kluczowymi w chwili obecnej coraz częściej wyodrębniają fragmenty swojego przedsiębiorstwa, które z mocy przepisów prawa wymagają bardzo poważnych zabezpieczeń oraz wysokiego poziomu zarządzania bezpieczeństwem i cyberbezpieczeństwem jako odrębny podmiot prawa, pozostawiając składniki majątku nie związane z usługami kluczowymi czy ważnymi w odrębnej masie (odrębny podmiot prawa). Niestety uczelnie nie mają możliwości takiej optymalizacji bezpieczeństwa. Postulujemy zmianę prawa, tak aby uczelnie mogły wyodrębniać usługi będące kluczowymi lub ważnymi, czy też badania naukowe stosowane i eksperymentalne badania rozwojowe w jednostkach wewnętrznych w odniesieniu do których miałyby zastosowanie wymagania dla podmiotów kluczowych lub ważnych a nie do całych uczelni. Inaczej ujmując postulujemy, aby umożliwić uczelniom stosowanie w poszczególnych jednostkach zróżnicowanego zakresu u.k.s.c. zależnie od prowadzonej przez te jednostki działalności, tak jakby były wydzielonymi podmiotami prawa”.
Takie rozwiązanie wydaje się słuszne, wychodzi naprzeciw interesom bezpieczeństwa państwa, nakładając na niektóre uczelnie i instytuty bardzo wysokie wymagania w zakresie bezpieczeństwa, przy uwolnieniu od jej rygorów przynajmniej części akademickiej działalności, i jest zgodne z prawem europejskim.
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS2) ma charakter minimalny, co oznacza, iż państwa członkowskie mogą ją implementować do krajowych porządków prawnych, zaostrzając wymogi wskazane w dyrektywie. Propozycja uznania uczelni za podmioty kluczowe lub ważne w polskim porządku prawnym mieści się zatem w implementacji.
Nie zmienia to jednak faktu, iż dyrektywa NIS2 nie wymaga uznania uczelni za takie podmioty, chyba że są równocześnie organizacjami badawczymi lub prowadzą działalność (zakres przedmiotowy) kwalifikującą je jako podmiot kluczowy lub ważny. Należy zaznaczyć, iż dyrektywa nie definiuje organizacji badawczej tak, jak polski projekt nowelizacji u.k.s.c. podmiotowo, ale przedmiotowo. Zgodnie z art. 6 pkt. 41 dyrektywy „organizacja badawcza” oznacza podmiot, którego głównym celem jest prowadzenie badań stosowanych lub eksperymentalnych prac rozwojowych z myślą o wykorzystaniu wyników tych badań do celów komercyjnych, z wyłączeniem instytucji edukacyjnych. Oznacza to, iż w ramach podwyższonych wymogów cyberbezpieczeństwa (do poziomu podmiotów ważnych) według dyrektywy powinny dostosować się tylko uczelnie i instytuty prowadzące badania stosowane lub eksperymentalne prace rozwojowe głównie dla celów komercyjnych. Przyjęcie do polskiego porządku prawnego literalnej definicji „organizacji badawczej” mocno zawęziłoby ilość podmiotów zobowiązanych do podniesienia do bardzo wysokiego poziomu wymogów dotyczących cyberbezpieczeństwa.
Z drugiej strony należy pamiętać o brzmieniu art. 2 pkt. 5, zgodnie z którym państwa członkowskie mogą postanowić, że niniejsza dyrektywa ma zastosowanie do instytucji edukacyjnych, zwłaszcza gdy prowadzą one działalność badawczą o krytycznym znaczeniu.
Podsumowując, zgodnie z dyrektywą NIS2 Polska może rozszerzyć zakres ustawy u.k.s.c. o wszystkie uczelnie i instytuty naukowe, co zaproponowano, mimo że na gruncie prawa unijnego nie miała takiego obowiązku.
Skoro jednak nie ma środków, a uczelnie nie są gotowe na wysoki poziom cyberbezpieczeństwa przy braku działań systemowych państwa w zakresie ich wsparcia, może w chwili obecnej byłoby dobrym rozwiązaniem ograniczenie wyższych standardów do organizacji badawczych w znaczeniu unijnym, a co za tym idzie tylko do niektórych polskich uczelni?
Tak czy inaczej nie unikniemy podnoszenia poziomu cyberbezpieczeństwa na uczelniach. Ważne, aby robić to systemowo, w sposób ciągły i tam, gdzie to rzeczywiście ze względów bezpieczeństwa państwa jest ważne. Ile mamy czasu? Czy ustawa zostanie uchwalona jesienią zgodnie z zapowiedziami? Na to pytanie w chwili pisania artykułu nie sposób odpowiedzieć. Tak czy inaczej, swoje kompetencje i cyberberbezpieczeństwo musimy podnosić.
Dr hab. Dariusz Szostek, prof. UŚ, przewodniczący Zespołu KRASP ds. Cyberbezpieczeństwa, dyrektor Międzyuczelnianego Centrum Inżynierii Prawa, Techniki i Kompetencji Cyfrowych Cyber Science (wspólna jednostka PŚ, UŚ, EU Katowice, NASK i Instytutu AI i Cyberbezpieczeństwa Łukasiewicza), prawnik, profesor WPiA UŚ
