Europa bez Huawei? – komentarz

224
Kinga Pawłowska-Nojszewska, radczyni prawna KIKE

Jak sygnalizowaliśmy w grudniu, Stany Zjednoczone zakazały sprzedaży produktów Huawei. Przedstawiciele administracji USA argumentowali, że wynika to z troski o bezpieczeństwo narodowe. Twierdzili też, że produkty chińskiego przedsiębiorcy mogą służyć do szpiegowania. O komentarz w tej poprosiliśmy Kingę Pawłowską-Nojszewską , radczynię prawną Krajowej Izby Komunikacji Ethernetowej.

Przypomnijmy, że już pod koniec listopada Amerykańska Komisja ds. Łączności (Federal Communications Commission, FCC) zakazała sprzedaży sprzętu Huawei, ale nie tylko. Sankcją objęto też produkty ZTE, Hikvision, Dahua i Hytera. FCC argumentuje, że wydany zakaz ma na celu obronę interesu narodowego USA. Doniesienia sugerowały też, że zakazy mogą pójść jeszcze dalej. Więcej na ten temat pisaliśmy tutaj.

Wśród operatorów telekomunikacyjnych należących do sektora małych i średnich przedsiębiorstw pojawiły się też realne obawy, że podobne zakazy mogą pojawić się też w Europie i Polsce, szczególnie że wciąż nie znamy ostatecznej wersji ustawy o krajowym systemie cyberbezpieczeństwa.

Kinga Pawłowska-Nojszewska i Karol Skupień na Lokalnym Zjeździe MiŚOT w Poznaniu

Komentarz Kingi Pawłowskiej-Nojszewskiej, radczyni prawnej KIKE:

Faktem jest, że Stany Zjednoczone zakazały sprzedaży telekomunikacyjnego sprzętu Huawei na swoim terytorium. Choć działania Stanów Zjednoczonych niewątpliwie wywierają wpływ na sytuację biznesową i prawną w Europie, do tytułowego formalnego rozwodu Huawei z Europą, na wzór Waszyngtonu, jest bardzo daleko.

Powód jest prosty: w czasie, gdy Waszyngton wchodził coraz głębiej w wojnę handlową z Chinami (a w 2019 r. przyjął pierwsze regulacje wymierzone w Huawei), w Brukseli uchwalono kilka aktów prawnych nakierowanych na zapewnienie cyberbezpieczeństwa w UE. Jednym z tych aktów jest rozporządzenie Rady 2019/796. Z jego przepisów można wyciągnąć następujący wniosek: dopóki Huawei nie przeprowadzi cyberataku na państwo członkowskie UE lub instytucje UE (ani nie pomoże w jego przeprowadzeniu), dopóty może mieć dostęp do europejskiego rynku. 

5G Toolbox – każde państwo działa niezależnie

Sytuacja na poziomie poszczególnych państw członkowskich jest bardziej zniuansowana, ponieważ po kolei wdrażają one tzw. 5G Toolbox. Dokument ten otwiera drogę państwom członkowskim do oceny ryzyka związanego z profilami dostawców sprzętu i oprogramowania. Rozwiązania ujęte w 5G Toolbox są jednak dalekie od najnowszych rozwiązań amerykańskich: po pierwsze, dokument ten uznaje za możliwą kwalifikację dostawcy sprzętu i/lub oprogramowania za dostawcę wysokiego ryzyka, ale wynikające z takiej kwalifikacji restrykcje powinny dotyczyć „kluczowych zasobów” sieciowych, a nie  w ogóle sprzętu telekomunikacyjnego produkowanego przez takiego dostawcę. Po drugie, 5G Toolbox nie definiuje restrykcji, jakie państwa członkowskie powinny zastosować. Istnieje tu zatem szerokie pole do dyskusji w każdym państwie członkowskim z osobna.

Nowa wersja KSC – stan na październik 2022

W Polsce 5G Toolbox ma zostać wdrożone nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Prace nad nią trwają od 2020 r. W październiku 2022 r. na stronie Rządowego Procesu Legislacyjnego opublikowano ósmy już projekt tej ustawy. Dotychczas rozbieżności, które były przedmiotem obrad Stałego Komitetu Rady Ministrów nie zostały rozstrzygnięte przez Komitet Rady Ministrów do spraw Bezpieczeństwa Narodowego i Spraw Obronnych, co zostało zaplanowane jeszcze w marcu 2021 r.

Oznacza to, że istnieją wyjątkowo duże rozbieżności w gronie Rady Ministrów w zakresie kształtu rozwiązań ujętych w projekcie. Niedługo miną trzy lata od czasu rozpoczęcia prac nad projektem, a nie trafił on jeszcze do Sejmu. 

W ramach nowelizacji KSC polski ustawodawca planuje wprowadzenie możliwości, aby właściwy minister mógł, kierując się względami bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, uznać dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Uznanie dostawcy za dostawcę wysokiego ryzyka wiązałoby się z obowiązkiem stopniowego wycofywania z użytkowania wskazanych we właściwej decyzji kategorii (typów) sprzętu lub oprogramowania pochodzącego od takiego dostawcy, przy czym:

– dotyczyłoby to typów (kategorii) sprzętu i oprogramowania pełniącego „funkcje krytyczne” dla bezpieczeństwa sieci i usług,

obowiązek taki spoczywałby na podmiotach wchodzących w skład krajowego systemu cyberbezpieczeństwa oraz na przedsiębiorcach telekomunikacyjnych obowiązanych do tworzenia planu działań w sytuacjach szczególnych zagrożeń (czyli m.in. przedsiębiorców telekomunikacyjnych o rocznych przychodach z tytułu działalności telekomunikacyjnej w wysokości min. 10 mln zł). 

Sprzęt w powszechnym użyciu

Z przeprowadzonego na zlecenie KIKE „Badania dotyczącego skali wykorzystania w sektorze telekomunikacyjnym sprzętu dostawców pochodzących spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego” wynika, że w segmencie małych i średnich przedsiębiorców telekomunikacyjnych wszyscy ankietowani przedsiębiorcy wykorzystują w swojej działalności sprzęt producenta mającego swoją siedzibę poza UE lub USA.

Średnio sprzęt takiego producenta stanowi 80,79% ogólnie wykorzystywanego sprzętu w działalności operatorów telekomunikacyjnych. Przy budowie sieci telekomunikacyjnych 47% małych i średnich operatorów telekomunikacyjnych wykorzystuje urządzenia Huawei. Średni koszt, jaki mały lub średni przedsiębiorca byłby zmuszony ponieść w przypadku konieczności wymiany urządzeń, wynosi 2,99 mln zł. Warto przy tym pamiętać, że wymiana sprzętu wiąże się z wymianą oprogramowania i szkoleniem pracowników, co generuje kolejne koszty. 

Z relacji członków KIKE wynika, że chętnie korzystają oni ze sprzętu Huawei, ponieważ zapewnia on korzystną relację jakości do ceny. Co więcej, wychodzi on naprzeciw potrzebom małych operatorów, tworząc atrakcyjne oferty. W związku z powyższym izba aktywnie przekonuje projektodawcę o potrzebie ograniczenia restrykcji, które mogłyby doprowadzić do istotnego ograniczenia obecności Huawei na polskim rynku. 

Dyrektywa NIS2

Prace nad projektem nowelizacji trwają tak długo, że w Unii uchwalono już nową dyrektywę NIS2, regulującą wspólny wysoki poziom cyberbezpieczeństwa w UE i zastępującą dyrektywę NIS.

Dyrektywa NIS2 oznacza rewolucję w zakresie cyberbezpieczeństwa, w dużej mierze ze względu na wyraźne poszerzenie zakresu podmiotów objętych dyrektywą. Z dyrektywy NIS2 wynika m.in. także i to, że podmioty kluczowe i ważne (czyli zasadniczo podmioty krajowego systemu cyberbezpieczeństwa oraz dostawcy publicznych sieci i usług łączności elektronicznej) powinny samodzielnie zarządzać ryzykiem w swoich sieciach i systemach informatycznych, w sposób adekwatny dla danego podmiotu (art. 21 dyrektywy NIS2).

Nie przewidziano procedury, dającej podstawy do odgórnego uznania dostawcy sprzętu i oprogramowania za dostawcę wysokiego ryzyka przez państwo członkowskie. Co więcej, dyrektywa NIS2 ustanawia procedurę skoordynowanego szacowania ryzyka krytycznych łańcuchów dostaw na poziomie UE (art. 22 NIS2). Takie szacowanie ryzyka może jednak dotyczyć konkretnych krytycznych usług ICT, systemów ICT lub produktów ICT (sprzętu i oprogramowania) a nie całych ich kategorii (typów), jak przewidziano w projektowanej nowelizacji KSC. Ponadto, skoordynowane oszacowanie ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw należy uwzględnić zarówno czynniki techniczne, jak i pozatechniczne (motyw 91 dyrektywy NIS2). Można stąd wysnuć wniosek, że uznanie sprzętu lub oprogramowania za generujące nadmierne ryzyko dla bezpieczeństwa sieci lub usług nie może opierać się wyłącznie na czynnikach pozatechnicznych, lecz musi zawierać komponent techniczny. Innymi słowy, nie powinno się uznawać sprzętu lub oprogramowania za ryzykowny, jeżeli pod względem technicznym działa on poprawnie.

Podsumowanie

Każdy kolejny etap dalszego procesu legislacyjnego związanego z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa jest ważny, a redakcja ISPortal konsekwentnie go śledzi. KIKE zapewnia także, że zamierza we wszystkich uczestniczyć i walczyć o interesy małych i średnich operatorów telekomunikacyjnych, wykorzystując także pojawiające się nowe argumenty, takie jak wskazana dyrektywa NIS2.

Na tę chwilę wygląda jednak na to, że obecność sprzętu Huawei oraz innych firm z Dalekiego Wschodu nie jest w Polsce zagrożony. Z drugiej jednak strony oznacza to, że Europa nie podziela szpiegowskich tez amerykańskiego sojusznika. Albo mamy lepszą wiedzę techniczną w tym zakresie albo wykazujemy się dużo mniejszą wyobraźnią.

Kinga Pawłowska-Nojszewska, radczyni prawna KIKE

Źródła:

Paweł Paszak Wojna Handlowa Chiny-USA: geneza, przebieg i skutki, Raport Specjalny Warsaw institute

Rozporządzenie Rady (UE) 2019/796 z dnia 17 maja 2019 r. w sprawie środków ograniczających w celu zwalczania cyberataków zagrażających Unii lub jej państwom członkowskim (Dz.U. L 129I z 17.5.2019, s. 1, z późn. zm.)

Rozporządzenie wykonawcze Rady 2020/1125 z dnia 30 lipca 2020 r. wykonujące rozporządzenie (UE) 2019/796 w sprawie środków ograniczających w celu zwalczania cyberataków zagrażających Unii lub jej państwom członkowskim (Dz.U. L 246 z 30.7.2020, str. 4, z późn. zm.)

Cybersecurity of 5G networks. EU Toolbox of risk mitigating measures

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz. Urz. UE L 333 z 27.12.2022, str. 80)

Stanowisko KIKE z 5.10.2020 r.: https://kike.pl/2020/10/stanowisko-izby-do-konsultacji-projektu-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-ustawy-prawo-zamowien-publicznych-ud68/

Stanowisko KIKE z 4.02.2021 r.: https://kike.pl/2021/02/uwagi-kike-do-nowej-tresci-projektu-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-ustawy-prawo-telekomunikacyjne/ 

Stanowisko KIKE z 2.11.2021 r.: https://kike.pl/2021/11/uwagi-do-projektu-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-ud-68/