Kancelaria Premiera Rady Ministrów opublikowała na stronie Rządowego Procesu Legislacyjnego uwagi i stanowiska zgłoszone w ramach opiniowania Projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych. Na stronie rządowej pojawiła się też nowa wersja projektu.
Istotna jest przede wszystkim zmiana w kwestii dostaw sprzętu dla sieci piątej generacji, do którego to aspektu odnosiły się liczne podmioty. Procedura oceny ryzyka dostawcy sprzętu lub oprogramowania dla podmiotów krajowego systemu cyberbezpieczeństwa opiera się na przepisach Kodeksu postępowania administracyjnego. Będzie też sporządzana opinia przez Kolegium ds. Cyberbezpieczeństwa, która jednak formalnie nie będzie mieć mocy wiążącej.
Minister właściwy ds. informatyzacji będzie mógł wydać decyzję w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka na podstawie poważnego zagrożenia dla bezpieczeństwa narodowego ze strony dostawcy sprzętu lub oprogramowania. Dostawca, wobec którego będzie prowadzone takie postępowanie, zostanie o jego wszczęciu poinformowany. Tryb pozwala też dostawcy na odwołanie się od decyzji.
Ważną kwestią jest też zmiana terminu na wycofanie sprzętu lub oprogramowania od dostawcy sprzętu lub oprogramowania uznanego za dostawcę wysokiego ryzyka.
Nie ma w przygotowywanych przepisach mechanizmu, który natychmiastowo nakazywałby wycofanie sprzętu czy oprogramowania z wysokim ryzykiem. Podmioty krajowego systemu cyberbezpieczeństwa, operatorzy usług kluczowych i przedsiębiorcy telekomunikacyjni będą zobowiązani do wycofania danego sprzętu lub oprogramowania w określonym czasie. Czas też został wydłużony z 5 do 7 lat. Okres ten jest uznawany za średni okres użytkowania sprzętu lub oprogramowania, czyli tzw. cykl życia urządzenia. W związku z tak długim okresem wdrożeniowym decyzji nie są planowane rekompensaty dla operatorów związane z koniecznością wymiany oprogramowania czy sprzętu.
Nowy projekt zmienia też zasady wydawania tzw. ostrzeżeń i poleceń zabezpieczających, gdy stwierdzone zostaje szkodliwe działanie jakiegoś elementu infrastruktury. Chociaż tak jak w wersji poprzedniej ostrzeżenie będzie wydawał pełnomocnik rządu ds. cyberbezpieczeństwa, a polecenia będą miały formę decyzji administracyjnych ministra ds. informatyzacji.
