Okazuje się, iż zakres projektowanej nowelizacji przepisów odnośnie cyberbezpieczeństwa jest tak szeroki, iż zaczynają poważnie obawiać się jej producenci leków. Jej uchwalenie bowiem może doprowadzić wręcz do przerw w wytwarzaniu i dostawach farmaceutyków.
Czego zatem obawiają się producenci farmaceutyków w kontekście nowej ustawy o cyberbezpieczeństwie?
Sektor farmaceutyczny poważnie obawia się skutków ubocznych nowej ustawy o cyberbezpieczeństwie, opracowywanej przez Kancelarię Premiera RP. I to pomimo tego, że nowe przepisy dotyczyć będą głównie sektora telekomunikacyjnego i informatycznego.
Konkretnie odnośnie powyższego przedstawiciele sektora farmaceutycznego mają na myśli polecenie zabezpieczające, które będzie mógł wydać minister ds. informatyzacji (obecnie rolę tę spełnia premier rządu) w przypadku wystąpienia incydentu krytycznego. Owo polecenie zabezpieczające dotyczy bowiem nie tylko telekomów i podmiotów krajowego systemu cyberbezpieczeństwa, lecz również i przedsiębiorstw o szczególnym znaczeniu gospodarczo-obronnym (a takimi przedsiębiorstwami są producenci i dystrybutorzy leków).
Takie polecenie zabezpieczające nakłada na tego typu przedsiębiorstwa różne obowiązki, jak chociażby zakaz korzystania z określonego sprzętu lub oprogramowania. Intencją autorów projektu ustawy o cyberbezpieczeństwie było zmniejszeniu skutków incydentu krytycznego lub zapobieżenie jego rozprzestrzenianiu się.
Jak zauważa doktor Aleksandra Musielak, ekspert ds. gospodarki cyfrowej w Konfederacji Lewiatan (do tego zrzeszenia należy między innymi Polski Związek Pracodawców Przemysłu Farmaceutycznego), przedstawiciele farmacji obawiają się, iż zastrzeżony w ten sposób producent może okazać się jedynym dostawcą specjalistycznych urządzeń lub ich części. Zakaz może bowiem objąć urządzenia lub części do urządzeń sterujących linią produkcyjną. W konsekwencji doprowadzić to może do zaprzestania produkcji, a w dłuższej perspektywie – bezpośrednie zagrożenie ograniczenia dostępności leków dla pacjentów, a tym samym zagrożenie bezpieczeństwa lekowego państwa.
Co jeszcze wiadomo o zastrzeżeniach przedstawicieli przemysłu farmaceutycznego?
Przedstawiciele Konfederacji Lewiatan przekazali swe zastrzeżenia do osób w Kancelarii Premiera RP, opracowujących nowe przepisy w zakresie cyberbezpieczeństwa. W swym piśmie pisali oni, iż: „Obawiamy się sytuacji, w której wskazanie któregoś z wiodących producentów urządzeń elektronicznych sparaliżuje dostęp do produktów tego producenta, a też pośrednio do innych, bazujących na jego podzespołach”.
Poza tym nie bez znaczenia jest również i to, że w produkcji leków są mocno wyśrubowane wymagania ze strony poszczególnych organów, w tym chociażby Głównego Inspektora Farmaceutycznego. To już bowiem sprawia, iż mamy do czynienia z dość wąską grupą niszy producentów automatyki i elektroniki przemysłowej dla przemysłu farmaceutycznego.
Nie bez znaczenia jest również i to, że w przypadku konieczności wymiany sprzętu, jego cena może drastycznie wzrosnąć, ze względu na dodatkowy popyt wygenerowany wydaniem polecenia zabezpieczającego. To zaś sprawi, iż dojść może do utrudnień ciągłości działania i wzrostu kosztów produkcji. Istnieje bowiem całkiem realne zagrożenie, iż konkurencyjne zamienniki w ogóle nie będą istnieć, co zmusi do zaprzestania produkcji. Wówczas, poza dużymi stratami finansowymi sektora producentów farmaceutyków, możemy mieć do czynienia z sytuacją bezpośredniego zagrożenia ograniczenia dostępności leków dla pacjentów.
Ważnym jest też bowiem, iż w odróżnieniu od zapisów dotyczących dostawców wysokiego ryzyka (HRV), od których operatorzy telekomunikacyjni kupują sprzęt do budowy sieci, w przypadku polecenia zabezpieczającego nie przewidziano okresu karencji na wymianę zakazanych urządzeń i oprogramowania – podlega ono natychmiastowej wykonalności.
Dlatego też przedstawiciele Konfederacji Lewiatan sugerują wprowadzenie do projektu nowych przepisów o cyberbezpieczeństwie dodatkowego zapisu z określeniem czasu, w jakim dany przedsiębiorca będzie zobowiązany wycofać się z wykorzystywania danego sprzętu lub oprogramowania.
Poza tym, zdaniem przedstawicieli Konfederacji Lewiatan, modyfikacji ulec powinien również przepis zabraniający korzystania z określonego sprzętu lub oprogramowania. Powinien on bowiem mieć formę zalecenia, a nie sztywnego zakazu bądź winien również nakazywać wskazanie przez odpowiedniego ministra alternatywnego rozwiązania. W obecnym kształcie ów przepis może być bardzo trudno wykonalny, a poza tym obwarowany został horrendalnie wysoką karą w postaci 3% światowego obrotu danego przedsiębiorstwa.
Co jeszcze należy wiedzieć o nowych rozwiązaniach z zakresu cyberbezpieczeństwa?
Generalnie samo pojęcie polecenia zabezpieczającego pojawiło się już we wcześniejszych wersjach projektu ustawy o cyberbezpieczeństwie, jednak dotychczas krytyczne uwagi na ten temat dotyczyły ryzyka wyłączenia Internetu, ponieważ polecenie zabezpieczające może nakazać operatorom ograniczenie ruchu sieciowego z określonego adresu IP lub stron WWW. Zwracano wówczas uwagę na możliwość ingerencji państwa w dostępność serwisów internetowych, chociażby w czasie kampanii wyborczej.
Wówczas Janusz Cieszyński, sekretarz stanu w Kancelarii Prezesa Rady Ministrów, twierdził, iż projektowane rozwiązania mają charakter wyjątkowy i będą nader rzadko wykorzystywane, nigdy nie ograniczając się do ograniczania swobód obywatelskich.
Podsumowując, projektowane przepisy nowej ustawy o cyberbezpieczeństwie są na tyle szerokie i rozbudowane, iż dotykają przeróżnych dziedzin życia społecznego i gospodarczego. Istnieje duże prawdopodobieństwo, iż dotkną swym działaniem również przedstawicieli branży producentów farmaceutyki, na co przedstawiciele tej branży zwracają uwagę już na etapie projektu. Czy i jak ich uwagi zostaną zauważone, a przepisy zmienione, tego na obecnym etapie prac nie wiadomo.