Interpelacja w sprawie cyberbezpieczeństwa i bezpieczeństwa transportu kolejowego w kontekście problemów z pociągami Impuls produkowanymi przez firmę Newag SA
Data wpływu: 2025-01-13
Co to jest interpelacja? To formalne pytanie posła do organu władzy (np. ministra) w konkretnej sprawie publicznej.
Przeglądaj też tematy interpelacji, profile posłów i druki sejmowe.
Posłanka pyta o postępy śledztwa dotyczącego potencjalnych zagrożeń dla infrastruktury krytycznej związanych z awariami pociągów Newag Impuls. Interpelacja koncentruje się na cyberbezpieczeństwie, ewentualnym rozszerzeniu kwalifikacji prawnej czynu oraz identyfikacji odpowiedzialnych podmiotów, w tym potencjalnego zaangażowania obcych państw.
HTML źródłowy dostępny także bez JavaScript
Interpelacja w sprawie cyberbezpieczeństwa i bezpieczeństwa transportu kolejowego w kontekście problemów z pociągami Impuls produkowanymi przez firmę Newag SA Interpelacja nr 7395 do ministra sprawiedliwości w sprawie cyberbezpieczeństwa i bezpieczeństwa transportu kolejowego w kontekście problemów z pociągami Impuls produkowanymi przez firmę Newag SA Zgłaszający: Paulina Matysiak Data wpływu: 13-01-2025 Szanowny Panie Ministrze, w związku z ujawnieniem potencjalnych zagrożeń dla infrastruktury krytycznej państwa, związanych z wykryciem mechanizmów celowo wywołujących awarię w systemach sterowania taborem kolejowym firmy Newag, składam niniejszą interpelację dotyczącą działań podejmowanych przez organy państwowe w tej sprawie.
Analizy techniczne wykonane przez ekspertów ds. cyberbezpieczeństwa wskazały na obecność funkcji w kodzie oprogramowania, które ograniczały działanie systemów sterowania w pociągach eksploatowanych przez polskich przewoźników. Prokuratura Regionalna w Krakowie prowadzi śledztwo (sygn. 2004-1.Ds.8.2023), którego celem jest wyjaśnienie tej sprawy. Szczególny niepokój budzi fakt, że wykryte modyfikacje oprogramowania prowadziły do nieplanowanych zatrzymań składów kolejowych firmy Newag na podstawie odczytu bieżącej lokalizacji geograficznej (koordynaty GPS). Awarie były wynikiem zapisów w kodzie oprogramowania.
W kontekście obecnej sytuacji geopolitycznej naszego kraju oraz znaczenia infrastruktury krytycznej (w tym również kolejowej) dla bezpieczeństwa państwa, bezwzględnie konieczne wydaje się kompleksowe wyjaśnienie tych, jak i wszystkich podobnych im incydentów. Szczególnej uwagi wymaga weryfikacja potencjalnych zagrożeń dla ciągłości funkcjonowania transportu kolejowego w czasie krytycznym bądź w chwili zagrożenia oraz wykluczenie ewentualnej możliwości wykorzystania wykrytych podatności przez podmioty zewnętrzne działające na szkodę Polski.
Mając na uwadze powyższe oraz kierując się troską o bezpieczeństwo obywateli i infrastruktury krytycznej państwa oraz działając na podstawie art. 14 ust. 1 pkt 7 ustawy z dnia 9 maja 1996 r. o wykonywaniu mandatu posła i senatora (t.j. Dz. U. z 2022 r. poz. 1339), proszę o udzielenie odpowiedzi na następujące pytania: Śledztwo Prokuratury Regionalnej w Krakowie o sygnaturze 2004-1.Ds.8.2023 prowadzone jest w sprawie awarii pociągów firmy Newag pod kątem art. 269 § 1 K.k., art. 286 § 1 K.k. i art. 287 § 1 K.k. Czy rozważano rozszerzenie kwalifikacji prawnej o art. 165 § 1 pkt 4 K.k.
(sprowadzenie niebezpieczeństwa dla życia lub zdrowia wielu osób w związku z zakłóceniem funkcjonowania systemu teleinformatycznego)? Czy powołano niezależnych biegłych do oceny materiału dowodowego, w tym technicznej analizy mechanizmów celowo wywołujących awarię w systemach sterowania pociągów? Czy śledztwo obejmuje ustalenie etapu cyklu produkcji i życia oprogramowania, na którym możliwe było zapisanie kodu celowo wywołującego awarię w systemach sterowania pociągów? Czy w toku śledztwa zidentyfikowano podmioty odpowiedzialne za wprowadzenie mechanizmów ograniczających działanie oprogramowania?
Czy rozważane są hipotezy dotyczące ich wykorzystania przez podmioty zagraniczne w działaniach wymierzonych w infrastrukturę krytyczną Polski? Z wyrazami szacunku Paulina Matysiak Posłanka na Sejm RP
Posłanka Paulina Matysiak interweniuje w sprawie nieprawidłowości w studiach podyplomowych dających kwalifikacje nauczycielskie, gdzie uczelnie oferują programy niespełniające standardów, a absolwenci są wprowadzani w błąd. Pyta o działania ministerstw w celu zapewnienia odpowiedniego nadzoru i ochrony słuchaczy przed nieuczciwymi praktykami.
Posłanka Paulina Matysiak wyraża zaniepokojenie planowanymi zmianami organizacyjnymi w Banku Pocztowym SA i Poczcie Polskiej Finanse sp. z o.o., pytając o analizę ryzyka, zgodność z regulacjami i wpływ na pracowników. Pyta, czy Ministerstwo Aktywów Państwowych oceniło wpływ tych zmian na bezpieczeństwo klientów, zarządzanie majątkiem publicznym i stabilność zatrudnienia.
Interpelacja dotyczy nagłego zaprzestania pełnienia funkcji przez polskiego przedstawiciela w Radzie ICAO po zaledwie sześciu miesiącach od powołania, co kompromituje Polskę. Posłowie pytają o przyczyny rezygnacji, uzgodnienia z ministerstwami i krajami CERG oraz o koszty promocji kandydata i przyszłe reprezentowanie Polski w ICAO.
Projekt ustawy ma na celu implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 w sprawie odporności podmiotów krytycznych. Wprowadza zmiany w ustawie o zarządzaniu kryzysowym oraz w niektórych innych ustawach, definiując m.in. pojęcia takie jak 'podmiot krytyczny', 'usługa kluczowa' i 'incydent istotny'. Projekt określa nowe zadania i obowiązki organów właściwych w sprawach zarządzania kryzysowego oraz podmiotów krytycznych, a także zasady sprawowania nadzoru i kontroli. Wprowadza również dokumenty strategiczne takie jak Krajowa Ocena Ryzyka (KOR) i Krajowa Strategia Odporności Podmiotów Krytycznych (KSOPK).
Projekt ustawy wprowadza obowiązek stosowania kas rejestrujących przez przewoźników i operatorów publicznego transportu zbiorowego wykonujących przewozy w transporcie kolejowym od 1 kwietnia 2027 roku. Dodatkowo, warunek otrzymania dopłaty (z art. 55 ust. 11 pkt 2 ustawy o publicznym transporcie zbiorowym) będzie stosowany wobec tych podmiotów również od 1 kwietnia 2027 roku. Ustawa wchodzi w życie z dniem następującym po ogłoszeniu, ale z mocą wsteczną od 1 stycznia 2026 r. Ma to na celu uszczelnienie systemu rozliczeń i ewidencji w transporcie kolejowym.
Projekt ustawy zmienia ustawę o publicznym transporcie zbiorowym, przesuwając termin objęcia przewoźników kolejowych obowiązkiem stosowania kas rejestrujących z 1 stycznia 2026 r. na 1 kwietnia 2027 r. Ma to na celu zharmonizowanie przepisów z regulacjami podatkowymi dotyczącymi automatów vendingowych na pokładach pociągów. Zmiana ta zapobiega sytuacji, w której przewoźnicy byliby zobowiązani do ewidencji sprzedaży za pomocą kas rejestrujących wcześniej, niż wynikałoby to z przepisów podatkowych, unikając tym samym niepotrzebnych kosztów i trudności. Uzasadnieniem jest zapewnienie spójności prawa i uniknięcie obciążania przewoźników dodatkowymi obowiązkami administracyjnymi.
Projekt ustawy wprowadza zmiany w ustawie o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustawach. Zmiany dotyczą definicji podmiotów kluczowych i ważnych, obowiązków tych podmiotów związanych z cyberbezpieczeństwem, w tym terminów na uzupełnienie danych w wykazie i wdrażanie systemów zarządzania bezpieczeństwem informacji. Wprowadzono również mechanizmy wsparcia dla jednostek samorządu terytorialnego w zakresie cyberbezpieczeństwa oraz przesunięto termin możliwości nakładania kar pieniężnych za naruszenia przepisów. Dodatkowo doprecyzowano kwestie dotyczące osób realizujących zadania w CSIRT i podmiotach kluczowych oraz ważnych.
Projekt ustawy nowelizuje ustawę o krajowym systemie cyberbezpieczeństwa oraz szereg innych ustaw, implementując dyrektywę NIS2 (2022/2555) i częściowo stosując rozporządzenie delegowane Komisji (UE) 2024/1366. Celem jest podniesienie poziomu cyberbezpieczeństwa w Polsce poprzez wprowadzenie nowych definicji, rozszerzenie zakresu podmiotów objętych regulacjami (podmioty kluczowe i ważne) oraz doprecyzowanie obowiązków. Ustawa ma na celu dostosowanie polskiego prawa do wymogów unijnych w zakresie cyberbezpieczeństwa, szczególnie w odniesieniu do infrastruktury krytycznej i usług cyfrowych. Wprowadza także zmiany dotyczące prowadzenia wykazu podmiotów kluczowych i ważnych oraz ich obowiązków w zakresie zarządzania cyberbezpieczeństwem.