W oczekiwaniu na nową wersję projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy Prawo telekomunikacyjne, Krajowa Izba Komunikacji Ethernetowej ponawia apel o powtórne konsultacje społeczne tych przepisów.
Przypominamy, że projekt doczekał się już siedmiu wersji. Ostatnia z nich opublikowana była w marcu, a dyskusja o obawach operatorów związanych z jego zapisami powróciła na Lokalnym Zjeździe MiŚOT w Janowie Podlaskim.
– Powinniśmy raz jeszcze poddać konsultacjom społecznym zmiany w ustawie o KSC – mówi Karol Skupień, prezes KIKE. – Nie może być przecież tak, że niezwykle istotny dla nas projekt, zmieniony tak, że właściwie jest to już inna ustawa, zostanie uchwalony bez wysłuchania opinii organizacji reprezentujących tysiące polskich małych i średnich operatorów telekomunikacyjnych.
Ustawa o krajowym systemie cyberbezpieczeństwa 2022
Warto przy tym zaznaczyć, że już pierwszy projekt zmian w ustawie o krajowym systemie cyberbezpieczeństwa, zaprezentowany 7 września 2020 roku, wzbudził w środowisku ogromne kontrowersje, był też szeroko omawiany i otwarcie krytykowany. Uwagi do niego zgłosiło łącznie 80 podmiotów publicznych i prywatnych, w tym także KIKE. Druga, trzecia i kolejne wersje projektu nie były zaś już z nikim konsultowane (ostatni opublikowany został 15. marca tego roku). KIKE, niejedyna zresztą, złożyła w związku z tym pismo w Kancelarii Prezesa Rady Ministrów z wnioskiem by po wszystkich tych zmianach do konsultacji powrócić.
Operatorów niepokoi także, że planowany termin przyjęcia projektu przez Radę Ministrów, określony w Wykazie prac legislacyjnych i programowych Rady Ministrów wskazany jest na drugi kwartał bieżącego roku.
Ustawa o krajowym systemie cyberbezpieczeństwa – problemy
– Projekt stawia przed nami wiele wyzwań, które pozostają aktualne od czasu pierwszego projektu ustawy, a także nowe, które pojawiły się dopiero w najnowszym projekcie – zaznacza Kinga Pawłowska–Nojszewska, radczyni prawna KIKE.
Poproszona o wskazanie najistotniejszych problemów dotyczących operatorów przedstawiła ich następującą listę:
- postępowanie w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka: uznanie dostawcy za dostawcę wysokiego ryzyka, będzie skutkować obowiązkiem wycofania z użytkowania określonego sprzętu lub oprogramowania przez przedsiębiorców telekomunikacyjnych w ciągu 5 lat (w przypadku przedsiębiorców telekomunikacyjnych obowiązanych posiadać plany działań w sytuacjach szczególnych zagrożeń) lub 7 lat (w przypadku m.in. operatorów usług kluczowych i dostawców usług cyfrowych);
- przedsiębiorcy telekomunikacyjni ani zrzeszające ich organizacje nie mogą być stroną postępowań o uznanie dostawcy za dostawcę wysokiego ryzyka, czyli nie mogą przedstawić swojego stanowiska w sprawie. Wyjątkiem są tu największe podmioty o przychodach powyżej 120 mln zł rocznie;
- kompetencje operatora strategicznej sieci bezpieczeństwa – podmiot ten może przejąć obsługę wszystkich podmiotów administracji publicznej i samorządowej, a nawet jeżeli nie będzie mieć w danym miejscu sieci, może żądać udostępnienia sieci przez przedsiębiorcę telekomunikacyjnego, który w danym miejscu taką sieć ma. Na szczęście nie nieodpłatnie, ale i tak – nie będzie można mu takiego dostępu odmówić. Nawet jeżeli obsługa ww. podmiotów nie będzie obowiązkowa, to praktycznie może się obowiązkowa okazać, bo powierzenie OSSB obowiązku świadczenia usług nie będzie wymagało przeprowadzenia przetargu publicznego.
- projekt zawiera regulacje na temat polecenia zabezpieczającego. Jest to decyzja dotycząca wszystkich podmiotów krajowego systemu cyberbezpieczeństwa i wszystkich przedsiębiorców telekomunikacyjnych. Właściwy minister wydaje je w przypadku zaistnienia incydentu krytycznego. Samo polecenie będzie określać termin swojego wdrożenia. Polecenie zabezpieczające może zawierać m.in. zakaz korzystania z określonego sprzętu lub oprogramowania, które posiada podatność, która przyczyniła się do zaistnienia incydentu krytycznego oraz nakaz wprowadzenia ograniczenia ruchu sieciowego z adresów IP lub adresów URL wchodzącego do infrastruktury podmiotu, który został sklasyfikowany przez CSIRT GOV, CSIRT MON lub CSIRT NASK jako przyczyna trwającego incydentu krytycznego.
– Największym problemem postępowania zabezpieczającego jest to, że wydaje się je na czas koordynacji obsługi incydentu lub na czas oznaczony, nie dłużej niż na dwa lata – wyjaśnia Kinga Pawłowska–Nojszewska – Nawet jeżeli zostanie stworzona określona poprawka bezpieczeństwa w sprzęcie i oprogramowaniu, a polecenie będzie nakazywało wdrożenie tej poprawki, samo wdrożenie poprawki nie będzie oznaczało, że zakaz korzystania ze sprzętu lub oprogramowania naprawionego przestanie obowiązywać. Podobnie też powstanie i wdrożenie poprawki nie będzie skutkowało bezpośrednio odblokowaniem ruchu pochodzącego od podmiotu, w którego systemie doszło do incydentu krytycznego. To jest właśnie największy kłopot: ustawodawca zostawia sobie furtkę do tego, że nawet gdy obsługa incydentu krytycznego się zakończy polecenie zabezpieczające może obowiązywać pełne dwa lata – podkreśla.
Ustawa o krajowym systemie cyberbezpieczeństwa – kogo dotyczy?
Karol Skupień zwraca też uwagę, że choć do projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy Prawo telekomunikacyjne przylgnęło określenie Lex Huawei, problem jest dużo szerszy.
– Firm azjatyckich, od których mali i średni operatorzy telekomunikacyjni kupują sprzęt jest oczywiście więcej – zaznacza prezes KIKE. – Często też zawierane są małe kontrakty obejmujące tysiąc czy kilka tysięcy urządzeń. Dużo większym problemem jest jednak to, że praktycznie nie mamy alternatywy w postaci perspektywy handlu z europejskimi firmami. Przykładem mogą być technologia GPON. Sprzęt tego typu produkowany w Europie jest dla polskich małych i średnich operatorów telekomunikacyjnych praktycznie niedostępny.
Czekamy na kolejną wersję projektu i mamy nadzieję, że płynące od wielu organizacji wnioski o jego powtórne skonsultowanie nie pozostaną bez echa.
