Ministerstwo cyfryzacji ustosunkowało się do wypowiedzi Karola Skupnia – prezesa Krajowej Izby Komunikacji Ethernetowej dotyczącej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Zauważył on, że dostawca wysokiego ryzyka będzie wskazywany na podstawie kraju, z którego pochodzi. Utrudni to funkcjonowanie małych i średnich operatorów telekomunikacyjnych, gdyż będą musieli pozbyć się większości posiadanego sprzętu. Oznacza to spore koszty
Szef KIKE w swoich wypowiedziach podkreślił, że dostawca wysokiego ryzyka według projektu będzie wskazywany w oparciu o kraj pochodzenia. W praktyce będzie to oznaczać dostawców pochodzących z Chin. Dalej przełoży się to głównie na sprzęt firmy Huawei, który w dużej mierze posiadają mali i średni operatorzy telekomunikacyjni.
Na usunięcie z infrastruktury sprzętu i oprogramowania takiego dostawcy firmy w Polsce będą miały od 4 do 7 lat. W tak krótkich okresie wiele firm nie poradzi sobie z wymianą sprzętu chociażby finansowo. Dlatego według Karola Skupnia może to całkowicie pozbawić dostępu do sprzętu małe i średnie polskie firmy telekomunikacyjne.
– Kupienie urządzeń od dostawcy spoza Chin jest bardzo trudne, bo amerykańskie korporacje nie dostrzegają małych i średnich firm ze względu na małą skalę zamówień. W praktyce więc, jeśli mała polska firma będzie chciała kupić od takiego potentata np. tysiąc sztuk jakiegoś urządzenia, to nawet nie otrzyma odpowiedzi na zapytanie ofertowe – ostrzegaKarol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej
Ministerstwo cyfryzacji wyjaśnia
Ministerstwo Cyfryzacji przede wszystkim postanowiło przypomnieć, że wprowadzone przepisy mają zapewnić bezpieczeństwo państwa oraz ochronę porządku publicznego. Odcina się od tego, że w zamierzeniach znalazła się eliminacja jakichkolwiek dostawców.
Określenie dostawcy wysokiego ryzyka
Najbardziej newralgiczne w nowych przepisach jest właśnie określenie dostawcy wysokiego ryzyka.
Dostawcą wysokiego ryzyka jest dostawca sprzętu lub oprogramowania, który stwarza poważne zagrożenie dla bezpieczeństwa państwa, obronności, bezpieczeństwa i porządku publicznego lub zdrowia i życia ludzi. Chodzi więc o identyfikację dostawcy, który w najbardziej istotny sposób zagraża Państwu Polskiemu i jego obywatelom – wyjaśnia ministerstwo cyfryzacji.
Taki dostawcą może być również uznany podmiot działający w UE, ale też spoza UE i nie zależy to od pochodzenia kapitału. Proces uznawania dostawcy za takowego jest dokładnie uregulowany. Wymaga on przeprowadzenia sformalizowanej, wieloetapowej procedury administracyjnej. W trakcie procesu także dostawca będzie mógł przedstawić swoje argumenty.
Decyzję administracyjną o uznaniu za dostawcę wysokiego ryzyka podejmuje ostatecznie Minister cyfryzacji po zasięgnięciu opinii Kolegium do Spraw Cyberbezpieczeństwa.
Obowiązki nakładane na operatorów
Projekt nowelizacji ustawy implementuje unijną dyrektywę NIS2. Nakłada ona na wszystkich przedsiębiorców telekomunikacyjnych obowiązki z cyberbezpieczeństwa. Dotyczy to również dostawców usług internetowych. Musza oni brać pod uwagę zagrożenia związane z dostawcami sprzętu i oprogramowania.
W projekcie znalazły się przepisy o wycofaniu sprzętu lub oprogramowania uznanych za ryzykowne. Okres, którym należy to zrobić, wynosi do 7 lat.
Obowiązek wycofania sprzętu lub oprogramowania nie dotyczy przedsiębiorców komunikacji elektronicznej, których przychody nie przekraczają 10 mln złotych – zapewnia jednak Ministerstwo cyfryzacji.
Projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa wprowadza także możliwość dobrowolnej certyfikacji sprzętu i oprogramowania pod kątem cyberbezpieczeństwa. Unijne wytyczne w zakresie cyberbezpieczeństwa sieci 5G zawierają na konieczność analizy aspektów nietechnicznych związanych z dostawcami sprzętu i oprogramowania. W takich wypadkach niewystarczające jest opieranie się na certyfikacji.
Źródło: gov.pl, crn.pl
