Przedsiębiorca telekomunikacyjny świadczący usługi dla mniej niż 6. tys. abonentów poniesie koszt realizacji obowiązków z zakresu obronności i bezpieczeństwa równoważny wartości rentowności tego przedsiębiorstwa oszacowany na poziomie 5 proc. Mniejsi przedsiębiorcy będą ponosić koszty w praktyce przekraczające ich możliwości. Skutkiem nowych regulacji może być to, że w ciągu najbliższych dwóch lat, znaczna część spośród małych przedsiębiorców telekomunikacyjnych będzie miała poważne problemy finansowe.
Przepisy kilkunastu ustaw nakładają na przedsiębiorców telekomunikacyjnych obowiązki z zakresu obronności i bezpieczeństwa. Znaczna część tych obowiązków realizowana jest wyłącznie na rzecz administracji rządowej, ale na koszt przedsiębiorcy komunikacji elektronicznej. Już bardzo szacunkowa analiza pozwala wyciągnąć wnioski, że część przedsiębiorców telekomunikacyjnych nie będzie w stanie zrealizować nałożonych obowiązków, ze względu na zbyt duże koszty.
Szacujemy, że koszt realizacji ustawowych obowiązków z zakresu obronności i bezpieczeństwa nałożonych na przedsiębiorcę telekomunikacyjnego, w tym tych określonych w projektowanej zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa, to około 20. tys. zł miesięcznie.
Ile to kosztuje?
Zespół SayF oraz Stowarzyszenie Bezpieczeństwa Informacji w Telekomunikacji podjęły próbę oszacowania kosztów realizacji obowiązków z zakresu obronności i bezpieczeństwa przez operatorów, wskazania sposobu ich realizacji oraz rekomendacji działań podejmowanych przez przedsiębiorców oraz administrację rządową w celu ograniczenia ich negatywnych skutków obciążeń tymi obowiązkami.
Przedsiębiorcy telekomunikacyjni są jedyną grupa przedsiębiorców, na których spoczywa bardzo dużo obowiązków nałożonych przepisami ustawowymi. Część obowiązków wynika ze specyfiki prowadzonej działalności lub dotyczą wszystkich przedsiębiorców, na przykład obowiązki wynikające z przepisów prawa pracy, ochrony praw konsumentów, przepisów o ochronie danych osobowych itp.
Jest jednak dość duża grupa obowiązków nakładanych na przedsiębiorców telekomunikacyjnych, które realizowane są one na rzecz podmiotów administracji rządowej na koszt przedsiębiorcy telekomunikacyjnego. Należą do nich obowiązki z zakresu obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, a także obowiązki związane ze zwalczaniem nadużyć w komunikacji elektronicznej, blokowanie nielegalnych stron hazardowych, itp.
Wejście w życie ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa spowoduje powstanie kolejnych bardzo kosztownych obowiązków spoczywających na przedsiębiorcach telekomunikacyjnych. Poniżej przedstawiamy szacunkowe koszty, jakie przedsiębiorca telekomunikacyjny musi ponieść w związku z realizacja ustawowych obowiązków.
Przykładowe koszty jakie przedsiębiorca telekomunikacyjny musi ponieść aby wywiązać się z nałożonych obowiązków:
- obowiązki na rzecz obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego wynikające z ustawy Prawo komunikacji elektronicznej: zapewnienie warunków kontroli informacji przesyłanej w sieci telekomunikacyjnej wykonywanej przez sąd, prokuratora, Policję, Biuro Nadzoru Wewnętrznego, Straż Graniczną, Inspektorat Wewnętrzny Służby Więziennej, Służbę Ochrony Państwa, Agencję Bezpieczeństwa Wewnętrznego, Służbę Kontrwywiadu Wojskowego, Żandarmerię Wojskową, Centralne Biuro Antykorupcyjne i Krajową Administrację Skarbową. Z realizacją tych obowiązków wiąże się konieczność zapewnienia warunków ochrony informacji niejawnych potwierdzonych Świadectwem Bezpieczeństwa Przemysłowego co najmniej II stopnia, a szacunkowy koszt ich realizacji to co najmniej 12 tys. zł miesięcznie;
- gromadzenie, przechowywanie, zabezpieczenie i udostępnianie danych stanowiących tajemnicę komunikacji elektronicznej to co najmniej 1,5 tys. zł miesięcznie;
- blokowanie połączeń, stron internetowych zgodnie z decyzją Prezesa UKE (w ciągu 6. godzin od ogłoszenia takiej decyzji) – trudne do oszacowania, ale koszty ponoszone w związku z gotowością do działań to co najmniej kilkaset złotych miesięcznie;
- realizacja obowiązków wynikających z przepisów o zwalczaniu nadużyć w komunikacji elektronicznej – to kolejne co najmniej 1,5 tys. zł miesięcznie;
- obowiązki wynikające ze znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa – ostateczne koszty będzie można oszacować po wejściu w życie ustawy o zmianie ustawy o KSC, ale już teraz można okręlić przedział takich kosztów. Zapewne nie będzie to mniej niż 5 tys. zł miesięcznie, a może nawet do 35 tys. zł miesięczne.
Z pełna odpowiedzialnością można przyjąć, że koszt realizacji wyżej opisanych obowiązków to co najmniej 20 tys. zł miesięcznie.
Kto za to zapłaci?
Zdecydowana większość przedsiębiorców telekomunikacyjnych, szczególnie mikro, małych i średnich, świadczy usługi telekomunikacyjne indywidualnym użytkownikom końcowym. Na potrzeby niniejszych szacunków można przyjąć, że przedsiębiorca telekomunikacyjny świadczy usługi dla jednego użytkownika końcowego za 65 zł miesięcznie. Zakłada się, że rentowność przedsiębiorcy świadczącego usługi wynosi od 2 do 6 proc. Mali przedsiębiorcy na ogół osiągają większy wskaźnik rentowności, więksi nieco mniejszy. Dla naszych rozważań przyjęliśmy rentowność wynosząca 5 proc., co stanowi zysk z usług telekomunikacyjnych w wysokości 3,25 zł miesięcznie od jednego abonenta (od jednego zakończenia sieci telekomunikacyjnej).
Z pobieżnej analizy wynika, że przedsiębiorca telekomunikacyjny musi świadczyć usługi co najmniej dla 6 153 zakończeń sieci, aby zrekompensować poniesione koszty na realizację ustawowych obowiązków na rzecz administracji publicznej. Dopiero po przekroczeniu tej granicy ma szanse na osiągnięcie zysku z działalności telekomunikacyjnej.
PKE i obowiązki
Obowiązki przedsiębiorcy telekomunikacyjnego z zakresu obronności i bezpieczeństwa zawarte w PKE pozornie są takie same, jakie były nakładane przepisami ustawy z dnia 16 lipca 2024 r. Prawo telekomunikacyjne.
PKE wprowadza obowiązek ustalenia wspólnie z uprawnionym podmiotem sposobu realizacji kontroli informacji (zapewnienia dostępu i utrwalania) w ciągu 24 godzin od dostarczenia właściwego zapotrzebowania. Oznacza to, że przedsiębiorca telekomunikacyjny musi utrzymywać w gotowości do działania personel potrafiący ocenić wymagania zawarte w tym zapotrzebowaniu, a to generuje dodatkowe koszty.
PKE nakłada obowiązek gromadzenia, przechowywania i udostępniania danych, o których mowa w art. 43 ust. 1 pkt 1 lit. a tiret drugie PKE. To też generuje dodatkowe koszty. Szczegółowo te zagadnienia opisaliśmy w jednym z artykułów na ISPortal.
Kolejny obowiązek określony w PKE w odmienny sposób niż to było w Prawie telekomunikacyjnym, to konieczność blokowania połączeń lub stron internetowych nie później niż w ciągu 6 godzin od ogłoszenia decyzji Prezesa UKE.
Te zmiany generują koszty po stronie przedsiębiorcy telekomunikacyjnego. Jednak znaczne koszty przedsiębiorca telekomunikacyjny będzie musiał ponieść realizując obowiązki określone w znowelizowanej ustawie o Krajowym Systemie Cyberbezpieczeństwa, która ma obowiązywać od połowy 2025 r.
Jak żyć?
Działania przedsiębiorcy telekomunikacyjnego mogą przyjąć jedną w poniższych form:
- Nic nie robić i liczyć, że nie będzie kontrolowany np. przez UKE lub nie będzie potrzeby realizować tych obowiązków. Działanie obciążone bardzo dużym ryzykiem bardzo dużych kar finansowych lub nawet sankcji karnych, a po wejściu w życie nowelizacji ustawy o KSC praktycznie niemożliwe.
- Zlecić realizację niektórych obowiązkom podmiotom zewnętrznym specjalizującym się w realizacji tych obowiązków. Pamietać należy, że takie powierzenie nie zwalnia powierzającego z odpowiedzialności za skutki realizacji powierzonych obowiązków.
- Wspólnie z innymi przedsiębiorcami realizować niektóre obowiązki ustawowe.
Administracja rządowe, w pierwszej kolejności Minister Cyfryzacji powinien poddać szczegółowej analizie poruszone wyżej zagadnienia i ocenić wpływ ustawowych obowiązków nałożonych na przedsiębiorców telekomunikacyjnych na funkcjonowanie rynku telekomunikacyjnego.
W tym celu należy oszacować koszty realizacji obowiązków nakładanych na przedsiębiorców telekomunikacyjnych ze wskazaniem tych kosztów, które są ponoszone w związku z realizacją zadań wyłącznie na rzecz administracji rządowej.
Następnie przeanalizować przepisy, szczególnie właśnie te, które nakładają obowiązki na rzecz administracji publicznej.
Kolejnym krokiem powinna być szczegółowa analiza obowiązkow przedsiębiorców z zakresu bezpieczeństwa pod katem ich przydatności dla beneficjentów tych obowiązków (sądom, prokuratorom, uprawnionym podmiotom), możliwości realizacji tych obowiązków przez przedsiębiorców komunikacji elektronicznej.
Skutkiem takich działań powinno być opracowanie przepisów regulujących sprawy obronności i bezpieczeństwa w komunikacji elektronicznej w najszerszym możliwym zakresie począwszy od ochrony praw użytkowników końcowych poprzez cyberbepieczeństwo, zapewnienie możliwości kontroli informacji przesyłanej w sieci telekomunikacyjnej do świadczenia rzeczowego na rzecz podmiotów realizujących zadania z zakresu obronności i bezpieczeństwa.
W związku z tym, że wiele z wymienionych wyżej obowiązków realizowane są na rzecz administracji rządowej, nie potrzebnych do prawidłowej działalności przedsiębiorcy, to realizacja tych obowiązków powinna być finansowana z budżetu państwa.
