Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy Prawo telekomunikacyjne doczekał się już aż siedmiu wersji. Ostatnia z nich opublikowana była w marcu. Dyskusja o obawach operatorów związanych z zapisami projektu powróciła jednak na Lokalnym Zjeździe MiŚOT w Janowie Podlaskim.
Już pierwszy projekt zmian w ustawie o krajowym systemie cyberbezpieczeństwa wzbudził w środowisku małych i średnich operatorów telekomunikacyjnych ogromne kontrowersje. Był też szeroko omawiany i krytykowany podczas konsultacji społecznych, czy Wirtualnego Kongresu Przedsiębiorców Telekomunikacyjnych. Druga, trzecia i kolejne wersje projektu nie były już z nikim konsultowane, pomimo postulatów zgłaszanych w tej sprawie przez organizacje branżowe.
Ustawa o krajowym systemie cyberbezpieczeństwa – kogo dotyczy?
– Biorąc pod uwagę całą historię tych wszystkich poprawek do ustawy o zmianie ustawy o KSC, ciężko nie oprzeć się wrażeniu, że nasz rząd buduje narzędzie do wewnętrznych rozgrywek rynkowych promujących duże firmy telekomunikacyjne oraz usiłuje tylnymi drzwiami wprowadzić cenzurę pod dowództwem politycznym w świat internetu – mówi Marcin Zemła z projektu MiŚOT dla Security (MdS). – Zarówno zapisy dotyczące dostawcy wysokiego ryzyka, jak i uznaniowe wprowadzanie blokad treści po opublikowaniu przez Prezesa Rady Ministrów listy adresów IP do zablokowania niesie ze sobą pełną uznaniowość tych czynności. Brak jakichkolwiek przesłanek technologicznych lub drogi poprawy.
Największe emocje i niepokoje budzą wśród małych i średnich operatorów telekomunikacyjnych konsekwencje uznania przez właściwego ministra do spraw informatyzacji (według stanu obecnego – premiera) określonego dostawcy sprzętu za dostawcę wysokiego ryzyka, stanowiącego „poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi. Sprzęt takiego dostawcy trzeba będzie w ciągu siedmiu lat wycofać z użytku (w przypadku gdy wchodzi on w skład infrastruktury krytycznej – w ciągu pięciu lat).
– Przeraża mnie uznaniowość decyzji dotyczącej tego, który producent sprzętu jest poprawny politycznie, a który nie – zaznacza Joanna Macek-Czuszek, prezeska firmy ART-COM z Jaworzna. – Nie mamy przecież gwarancji, czy po jakimś czasie inny producent popadnie w niełaskę i całą operację trzeba będzie powtarzać.
Ponieważ wiodący dostawca sprzętu telekomunikacyjnego dla małych i średnich operatorów jest jeden, nowelizację ustawy o KSC część komentatorów nazywać zaczęła mianem Lex Huawei. Określenie to nie tyle jednak upraszcza, ale wręcz deformuje spojrzenie na przygotowywane przepisy. Nie bierze ono pod uwagę sytuacji panującej obecnie na rynku sprzętu telekomunikacyjnego w Europie i na świecie.
– Zgodnie z protestem Huawei prawo powinno dopuszczać możliwość przywrócenia na rynek sprzętu po uwzględnieniu poprawek – podkreśla Marcin Zemła. – To logiczny argument, nie uwzględniony jednak w treści ustawy. Dokładnie taka sama sytuacja jest z blokowaniem treści i adresów. Rekomendacje przewidzianego w przepisach Komitetu nie są sprecyzowane i nie wiadomo na podstawie jakich kryteriów ta ocena ma się odbywać. Co więcej, jest to ocena ostateczna. Wprowadzenie tych przepisów daje duże możliwości lobbowania pewnych działań, a rządowi pozwala tylnymi drzwiami wprowadzać polityczną cenzurę, w zasadzie bez jasnych przesłanek, na zasadzie: Komitet uznał i tak ma być.
Warto też zaznaczyć, że firm azjatyckich, od których mali i średni operatorzy telekomunikacyjni kupują sprzęt jest oczywiście więcej. Często też zawierane są małe kontrakty obejmujące tysiąc czy kilka tysięcy urządzeń. Problemem jest także to, że operatorzy praktycznie nie mają alternatywy w postaci perspektywy handlu z europejskimi firmami.
Krajowy system cyberbezpieczeństwa a MiŚOT
Krajowa Izba Komunikacji Ethernetowej już dwa lata temu poprosiła MiŚOT-ów o dane na temat kosztów ewentualnej wymiany sprzętu. Należało je przesłać w niezwykle krótkim czasie, aby w ogóle stanowisko małych i średnich operatorów zostało uwzględnione przez ustawodawcę podczas konsultacji z przedstawicielami administracji państwowej. Izba podkreślała wówczas, że nowelizacja ustawy o krajowym systemie cyberbepieczeństwa grozi bankructwem wielu MiŚOT-ów.
– Kiedy we wrześniu 2020 roku odpowiedzieliśmy na ankietę KIKE dotyczącą kalkulacji kosztów wynikających z potencjalnej konieczności wymiany sprzętu, już pobieżna weryfikacja uzmysłowiła nam, że prawdopodobnie nikt z pomysłodawców ustawy nie analizował jej w tym kontekście – mówi Joanna Macek-Czuszek. – Prowadzona przez nas firma musiałaby w określonym ustawowo czasie przeznaczyć na wymianę sprzętu (według kalkulacji sprzed dwóch lat), ponad pięć milionów złotych. Warto przy tym zaznaczyć, że koszty zakupu nowego sprzętu, to tylko jeden z problemów. Kolejnym byłaby dziś jego dostępność, która na skutek pandemii oraz wojny na Ukrainie jest mocno ograniczona. Nie mniej ważny byłby również koszt robocizny związany z wymianą urządzeń – dodaje.
W środowisku dominuje też opinia, że jeśli zmiana producenta sprzętu miałaby okazać się konieczna na skutek wprowadzenia nowych przepisów, powinna być wykonana dopiero w chwili jego naturalnego zużycia, w innych zaś wypadkach koszty tej wymiany powinny obciążyć Skarb Państwa.
Operatorzy konsekwentnie tworzą więc wspólny front podkreślając, że owe zapisane w projekcie siedem lat w praktyce nic właściwie nie da, a na tytułowe pytanie o strach przed zmianami w ustawie o KSC odpowiedzieć należy, że obawiać się ich powinni wszyscy mali i średni operatorzy telekomunikacyjni.
