EU-Milliarden für Polen gefährdet? Ministerium warnt

• Das Ministerium für digitale Angelegenheiten bereitet sich auf einen Kampf vor, um die Novelle des Gesetzes über das nationale Cybersicherheitssystem zu verteidigen. Das Ministerium befürchtet einen Versuch, das Gesetz im Sejm zu untergraben.
• Es handelt sich um eine wichtige Regelung, die dazu beitragen soll, Bedrohungen für den Staat, einschließlich Sabotage und Terrorismus, zu bekämpfen. Sie wird auch weitreichende Auswirkungen auf Unternehmen haben. Polen hat die Regelung erst spät umgesetzt und wurde deswegen vor dem Europäischen Gerichtshof (EuGH) verklagt.
• Der stellvertretende Direktor des Ministeriums für digitale Angelegenheiten warnt, dass Polen ohne diese Änderung mit hohen Geldstrafen rechnen müsse und die Europäische Kommission die Zahlungen aus dem Nationalen Wiederaufbauplan für Polen aussetzen könnte.
• Marcin Wysocki kündigt in einem Interview mit WNP auch die nächsten Arbeiten des MC an: am Gesetz über Cloud-Computing-Standards in der Verwaltung und in lokalen Regierungen sowie am Projekt „Datenbotschaften“.

Warum sollen Feuerwehrleute Prämien aus dem Cybersicherheitsfonds erhalten? Das fordert das Digitalministerium.

- Beginnen wir also mit einer trivialen Frage.

Trivial?

Ja, ganz einfach. Mehrere Dutzend Mitarbeiter der Feuerwehrzentrale und der Provinzeinheiten sind für die wichtigsten IT-Systeme im Zusammenhang mit der Alarmierung im Notfall verantwortlich. Diese Systeme sorgen beispielsweise dafür, dass die Alarmsirenen rechtzeitig aktiviert werden. Eine schnelle Reaktion auf Brände, Unfälle und andere Bedrohungen hängt von den Systemen der Landesfeuerwehr ab.

Das moderne Rettungssystem, von dem Leben und Gesundheit von Menschen abhängen, basiert maßgeblich auf der Zuverlässigkeit von IT-Systemen.

Künftig werden den Verantwortlichen im Rahmen des Bevölkerungsschutzgesetzes zusätzliche Aufgaben übertragen, darunter der Aufbau, die Weiterentwicklung und die Pflege des Zentralregisters kollektiver Schutzeinrichtungen. Darin werden die notwendigen Daten für die richtige Entscheidung über die Nutzung von Schutz- und Versteckmöglichkeiten in Krisensituationen verarbeitet. Dies betrifft Ausfälle, Naturkatastrophen oder Angriffe mit Zerstörungsmitteln. In Bereichen wie der Feuerwehr brauchen wir Spezialisten, daher bin ich überzeugt, dass wir sie kofinanzieren sollten.

Wer sollte die Zuwendung aus dem Cybersecurity Fund erhalten?

Und warum werden Feuerwehrleute mitfinanziert, nicht aber Mitarbeiter der Generaldirektion für Nationalstraßen und Autobahnen oder der polnischen Gewässer, die auch wichtige Systeme warten?

- Ich denke, dass die Frage der Ergänzung, nach der Sie fragen, einer der Gründe dafür ist, dass die Arbeit an der Änderung des Nationalen Cybersicherheitssystems nicht so effektiv ist, wie sie sein sollte.

Nicht ich frage, sondern der Infrastrukturminister im Rahmen der Beratungen zu diesem Gesetzentwurf.

Wir setzen die NIS2-Richtlinie um, und andere Ministerien fordern Änderungen am Gesetz über Sonderregelungen für die Vergütung von Mitarbeitern im Bereich Cybersicherheit. Dem sollte – und wird es vielleicht auch – ein eigenes Projekt gewidmet werden. Viele Institutionen wenden sich an uns, die ebenfalls der Meinung sind, dass sie von einer solchen Leistung abgedeckt werden sollten. Meiner Meinung nach wäre es in Zukunft notwendig, eine transparente Abstufung vorzubereiten und die Finanzierungsmöglichkeiten zu prüfen.

Das Finanzministerium ist derzeit nicht damit einverstanden, den Cybersicherheitsfonds jährlich um 250 Millionen PLN zu erhöhen .

Wir werden das Finanzministerium überzeugen, seine Meinung zu ändern, da wir solche Kommentare zum Gesetz über das nationale Cybersicherheitssystem für falsch halten. 250 Millionen PLN sind etwas mehr als die Hälfte der jährlichen Kosten, die sich aus der Bewertung der Auswirkungen der Vorschriften auf die Umsetzung der Novelle des KSC-Gesetzes ergeben. Das Gesetz sieht die Entwicklung von Computer Security Incident Response Teams (CSIRT) für einzelne Sektoren und die S46-Plattform vor und erwähnt Bildungsprojekte.

Wie geht es weiter mit der Novelle des Gesetzes über das nationale Cybersicherheitssystem?

Und wann endet der Weg der Regierung zum Gesetzentwurf? MC kündigte an, dass der Gesetzentwurf bis Ende Juni dem Sejm vorgelegt werde.

- Der Entwurf wurde dem Ständigen Ausschuss des Ministerrats vorgelegt. Ich gehe davon aus, dass die Regierung ihn in der ersten oder zweiten Juliwoche annehmen wird.

Auf welche Schwierigkeiten könnte das Projekt im Ministerrat noch stoßen?

- Der erste Punkt, den wir besprochen haben, ist die Kostendiskussion. Der zweite Punkt betrifft die Elemente, die über die Mindestumsetzung der NIS2-Richtlinie hinausgehen könnten. Der Minister für Entwicklung und Technologie wurde beauftragt, darauf aufmerksam zu machen. Die übrigen Fragen scheinen mir bereits geklärt zu sein.

Also bleiben Lieferanten mit hohem Risiko im Projekt?

Ich glaube schon, und Ministerpräsident Gawkowski zeigt diesbezüglich große Entschlossenheit. Es geht um die Sicherheit des Staates, um seine grundlegenden Interessen in diesem Bereich. Und ich glaube nicht, dass irgendjemand die Abschaffung dieses Verfahrens fordern könnte.

Der Premierminister hat also die digitalen Verräter in der Regierung besänftigt ?

- Er hat die Menschen nicht beruhigt, sondern vielmehr von der Wichtigkeit dieser Entscheidungen überzeugt.

Die Bedeutung der Problematik der Hochrisikolieferanten zu erklären, ist eine große Herausforderung, da viele Argumente zur Staatssicherheit gemäß dem Gesetz zum Schutz geheimer Informationen als Verschlusssache eingestuft werden. Dies stellt eine ständige Kommunikationsschwierigkeit dar, beispielsweise für Geheimdienste, die zwar Lösungsansätze vorschlagen, diese aber beispielsweise in Parlamentsausschusssitzungen nicht energisch genug verteidigen können. Die Offenlegung ihrer Argumente wird bestraft, sodass sie oft einfach schweigen oder „Tomate“ sagen müssen.

Erwarten Sie einen heftigen Kampf im Sejm über diese Bestimmungen?

Im Sejm wird es sicherlich einen Kampf darum geben. Das haben wir bereits in der Diskussion nach der Enthüllung von Ministerpräsident Donald Tusk gesehen. Wir beobachten auch die Bemühungen der Lobby, den Inhalt dieses Projekts zu verunglimpfen.

Bedeutung?

Einer dieser hartnäckigen Mythen betrifft den Ausschluss eines Hardware- oder Softwarelieferanten aufgrund nichttechnischer Gründe. Diese werden als „politisch“ bezeichnet. In der Praxis betreffen sie jedoch das Risikomanagement, unter anderem im Zusammenhang mit der Bedrohung durch Terrorismus oder Sabotage. Dieses Risiko resultiert aus dem Einfluss eines Drittlandes auf den dort tätigen Geräte- oder Softwarehersteller, sei es durch Gesetze oder durch direkte Maßnahmen.

Kritiker argumentieren, dass dies eine Überregulierung sei.

Polens diesbezügliche Maßnahmen wurden bereits in 21 Ländern gesetzlich verankert und werden in zwölf Ländern bereits angewendet. Darüber hinaus identifiziert die Europäische Kommission im Rahmen der geplanten IKT-Toolbox zahlreiche Sicherheitsherausforderungen, nicht nur in 5G-Netzen, sondern auch in Bereichen wie Telemedizingeräten, Drohnen und Sicherheitssystemen (z. B. Flughafengates).

Ich würde eine große Tafel Schokolade darauf wetten, dass nichttechnische Gründe für den Ausschluss risikoreicher Anbieter künftig in der EU zum Standard werden, auch außerhalb von Telekommunikationsnetzen, in ausgewählten Sektoren wie dem Energiesektor. Und dann würden wir diesen anspruchsvollen Prozess der Neuregelung der Vorschriften erneut starten.

Wer drängt auf die Streichung nichttechnischer Prämissen?

Huawei hat diese Behauptung in öffentlichen Konsultationen aufgestellt. Das Unternehmen hat sich in letzter Zeit nicht direkt geäußert, aber es gibt andere Unternehmen, die genau das Gleiche fordern – die Streichung der sogenannten nichttechnischen Prämissen, die aus Ekel als „politisch“ bezeichnet werden, und die Feststellung, dass es sich um eine polnische Erfindung und Überregulierung handele. Und wir haben uns bereits gesagt, dass dies nicht der Fall ist.

Ich erwarte auch, dass der Sejm auf diese Argumente zurückkommt, sowie auf Postulate, die unter dem Deckmantel der Transparenz das Verwaltungsverfahren für Hochrisikolieferanten praktisch unmöglich machen. Es wird wahrscheinlich Stimmen geben, die behaupten, unsere Konsultationen seien zu kurz. Ich bin jedoch überzeugt, dass der Ideenpool, der hätte genutzt werden können, um dieses Verfahren zunichtezumachen, erschöpft ist. Das Gesetz muss einfach verabschiedet werden. Ich gehe davon aus, dass dies noch vor Jahresende geschehen wird.

Was ist, wenn nicht?

- Wir sind eines von 19 Ländern, die die NIS2-Richtlinie nicht umgesetzt haben. Wenn wir es nicht tun, müssen wir Strafen zahlen.

Und es gibt wahrscheinlich keine dümmere Art, öffentliche Gelder auszugeben, als Geldbußen für die Nichtumsetzung einer so wichtigen Richtlinie zu zahlen.

Die Europäische Kommission fragt uns jeden Monat nach dem Stand der Arbeiten. Auch weil die Novelle des KSC-Gesetzes einen Meilenstein für den Nationalen Wiederaufbauplan darstellt. Das Ausbleiben einer Novelle könnte schwerwiegende Folgen für den polnischen Staat haben.

Sagen wir es ganz deutlich: Entweder KSC oder das Geld von KPO blockieren?

- Die Kommission weist uns darauf hin, dass Meilensteine ​​erreicht werden müssen und dass die tatsächliche Übertragung der nächsten Finanzierungstranchen und deren Abwicklung davon abhängt, ob wir diese erreichen.

Wird dies für die Abgeordneten ein Argument für ein schnelles Verfahren sein?

- Dies sollte für sie ein Argument sein, dass es für Polen sehr schlimm enden könnte, wenn sie den Stimmen der Kritiker dieses Gesetzes unkritisch Gehör schenken.

Ministerium für Digitale Angelegenheiten entwickelt Cloud-Computing-Standards in der Verwaltung und in Datenbotschaften

An welchen anderen Sicherheitsprojekten arbeitet MC?

- Wir bereiten derzeit einen Verordnungsentwurf zu Cloud-Computing-Standards in der Verwaltung vor. Wir wollen, dass die neue Verordnung im Gegensatz zum vorherigen Beschluss des Ministerrats auch für lokale Behörden verbindlich ist.

Wir sollten uns auch auf die Entwicklung einer staatlichen Cloud konzentrieren und Regeln schaffen, die die Migration der wichtigsten Daten in eine kommerzielle Cloud in einem anderen europäischen Land ermöglichen, beispielsweise bei unmittelbarer Kriegsgefahr . Wir sollten uns an den Erfahrungen der Ukraine orientieren, die angesichts des Krieges gezwungen war, wichtige Daten aus staatlichen Registern zu übertragen. Dies entsprach nicht der ukrainischen Gesetzgebung, bis der lokale Ministerrat ein entsprechendes Dekret erließ – übrigens sechzehn Tage nach der bewaffneten Aggression der Russischen Föderation in der Ukraine.

Ich möchte, dass niemand zögert, wenn Polen in eine solche Situation gerät. Datenbotschaften sind ebenfalls ein wichtiges Projekt. Dabei geht es darum, die Sicherheit und Verfügbarkeit staatlicher Daten in Krisensituationen zu gewährleisten, beispielsweise durch die Erstellung von Sicherungskopien in diplomatischen Vertretungen.

Ein entsprechendes Vorhaben gab es bereits in der Vorperiode, es wurde jedoch bis heute nicht umgesetzt.

- Diese Idee ist sehr gut, aber wir müssen sicherstellen, dass es keine Vorschriften gibt, die ihre Umsetzung verhindern. Wir versuchen auch, auf Herausforderungen wie den Strommangel in Rechenzentren diplomatischer Vertretungen zu reagieren.

Zusätzlich zu herkömmlichen Rechenzentren führen wir die Möglichkeit ein, Backups in einer öffentlichen oder privaten Cloud in einem anderen Land des Europäischen Wirtschaftsraums bereitzustellen.

Wann liegen konkrete Lösungen in Sachen Cloud-Computing-Standards auf dem Tisch?

Ich gehe davon aus, dass der Digitalminister noch in diesem Jahr die erste Version des Projekts vorstellen wird. Die Umsetzung dieses Projekts wird sicherlich eine Herausforderung sein, da die Interessen und Stimmen vieler Interessengruppen in Einklang gebracht werden müssen. Dies wird erneut ein Dialog zwischen unseren Unternehmern und Hyperscalern darüber sein, wie wir unsere Kompetenzen und Fähigkeiten ausbauen und wie wir digitale Souveränität verstehen.

Der stellvertretende Premierminister spricht viel über digitale Souveränität. Und Vizeminister Rosiński versprach während des Europäischen Wirtschaftskongresses, dass das Ministerium Lösungen entwickeln werde, die polnische Unternehmer unterstützen.

Und natürlich entwickeln wir solche Lösungen. In den „Cloud Computing Cybersecurity Standards“, die einen Anhang zur WIIP-Resolution (gemeinsame staatliche IT-Infrastruktur – Anm. d. Red.) bilden, gibt es konkrete Ebenen, die festlegen, wann Daten im Europäischen Wirtschaftsraum und wann in Polen verarbeitet werden dürfen. Wir werden im Gesetz ähnliche Lösungen vorschlagen.

Es ist nicht so, dass wir die Marktverhältnisse im Cloud-Services-Markt verändern werden. Stattdessen werden wir uns darauf konzentrieren, sicherzustellen, dass die wichtigsten Daten in Polen verarbeitet werden. Dabei geht es auch darum, unsere eigenen Kapazitäten in diesem Bereich auszubauen.

Und warum baut das Ministerium ein weiteres CSIRT für 10 Millionen PLN ?

Das ist eine sehr gute Frage. Derzeit gibt es im KSC-System etwa 400 Schlüsseldienstanbieter, die von nationalen CSIRTs unterstützt werden, z. B. vom CSIRT NASK oder CSIRT GOV in der ABW. Nach der Novelle wird sich der Umfang deutlich erhöhen – wir sprechen von mehreren oder sogar mehreren zehntausend Unternehmen. Deshalb schaffen wir ein System sektoraler CSIRTs, die einzelne Branchen unterstützen – so wie es heute das Team der PFSA (Polnische Finanzaufsichtsbehörde – Anm. d. Red.) für den Finanzsektor oder das E-Health-Zentrum für den Gesundheitssektor tut.

Das CSIRT Cyfra, nach dem Sie fragen, ist eines dieser Teams. Im Bereich der digitalen Infrastruktur, den mein Team leitet, haben wir derzeit weniger als zehn Einheiten. Nach Inkrafttreten der neuen Vorschriften werden auch Cloud-Dienstleister und Unternehmen der elektronischen Kommunikation einbezogen, was den Umfang deutlich erhöhen wird – es wird bereits mehrere Dutzend Unternehmen geben. Dies rechtfertigt die Einrichtung eines eigenen Teams. Ähnliche Teams werden auch in anderen Ministerien eingerichtet, beispielsweise im Ministerium für Klima und Umwelt. Ihre Aufgabe wird es sein, Unternehmen zu unterstützen und die Arbeit der CSIRTs auf nationaler Ebene zu entlasten.