Projekt zmian ustawy o krajowym systemie cyberbezpieczeństwa budzi duże zainteresowanie w środowisku małych i średnich operatorów telekomunikacyjnych. Szczególnie niepokojące są zawarte w nim zapisy zobowiązujące operatorów do wymiany urządzeń zakupionych od dostawców, którzy trafią na „czarną listę” tworzoną przez powołane w tym celu kolegium. Chodzi tu oczywiście głównie o firmy z Chin.
Jeszcze we wrześniu 2020 roku Ministerstwo Cyfryzacji ogłosiło konsultacje dotyczące nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Zawarto w niej przepisy przyznające Kolegium ds. Cyberbezpieczeństwa kompetencje do uznania dostawcy sprzętu za stwarzającego ryzyko w zakresie cyberbezpieczeństwa. Dotyczy to szczególnie dostawców spoza Unii Europejskiej i NATO. Konsekwencją przyjętych w nowelizacji procedur mógł być nakaz wycofania z rynku sprzętu danego producenta. Pod koniec stycznia Kancelaria Premiera Rady Ministrów opublikowała natomiast tabele do uwag jakie napłynęły do projektu nowelizacji, a z odniesień do nich można wnioskować, jakie zmiany nastąpią w projekcie ustawy, chociaż poprawionej wersji projektu jeszcze nie opublikowano.
Ograniczenia rynku
– Ograniczenia w zakresie dostarczania sprzętu telekomunikacyjnego od określonych dostawców miałoby niebagatelny wpływ nie tylko na działalność dostawców sprzętu, technologii i oprogramowania wykorzystywanego w sieciach telekomunikacyjnych, ale także na działalność samych operatorów telekomunikacyjnych – podkreśla Łukasz Bazański z kancelarii itB Legal.
Prawnicy podkreślają przy tym, że ustawodawca nie wskazał w projekcie żadnych warunków do spełnienia kryterium wiarygodności dostawcy, nie dał możliwości wymiany oprogramowania ani żadnej innej furtki pozwalającej utrzymać współpracę. Ponadto umieszczenie dostawcy na “czarnej liście” oznaczać ma nie tylko zakaz jego dalszej sprzedaży jego produktów na rynku, ale też konieczność wymiany sprzętu już używanego przez operatorów. Na ich własny koszt.
– Operatorzy z sektora małych i średnich przedsiębiorstw kupują ogromną liczbę urządzeń od kontrahentów azjatyckich – mówi Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej. – Kontrakty opiewają na miliony złotych, a urządzenia spełniają wszystkie wymagane aktualnie kryteria. Sytuacja, w której zapada odgórna decyzja, że konkretny producent został uznany za niewiarygodnego dla orzekającego o tym kolegium, a operator ma wymienić jego sprzęt na inny, dla wielu firm może oznaczać po prostu bankructwo.
Za pieniądze operatorów
Mali i średni operatorzy poproszeni zostali w związku z tym przez KIKE o wypełnienie ankiety dotyczącej skali wykorzystania przez nich urządzeń producentów pochodzących spoza Unii Europejskiej oraz NATO. Nadeszło kilkadziesiąt odpowiedzi, a oszacowany koszt ewentualnej wymiany urządzeń oszacowano w nich na ponad 160 mln złotych. Średni koszt wymiany sprzętu przypadający na jednego ankietowanego wyniósłby 2,99 mln zł.
Operatorzy wyrażają też obawy, że nowa regulacja wpłynie na ciągłość działania dostawców sieci i usług łączności elektronicznej oraz na konkurencję na rynku telekomunikacyjnym, co może mieć istotne przełożenie na sytuację i interesy ich klientów. Może to także wpłynąć na dalszy rozwój społeczeństwa cyfrowego w Polsce, co jest jednym z priorytetów Unii Europejskiej. Zdaniem Łukasza Bazańskiego z itB Legal skutki te nie zostały w dostatecznym stopniu przeanalizowane ani w uzasadnieniu ustawy, ani w Ocenie Skutków Regulacji przygotowanej przez KPRM.
– Zwracaliśmy też administracji uwagę, że definicje w projekcie nowelizacji są nieostre, a proponowane rozwiązania mogą kosztować operatorów telekomunikacyjnych należących do sektora małych i średnich przedsiębiorstw po kilka milionów złotych – podkreśla Łukasz Bazański z kancelarii prawnej itB Legal. – KIKE poinformowała o tym w przedstawionym administracji rządowej stanowisku, podpierając się przy tym konkretnymi danymi zebranymi od operatorów.
Na zlecenie izby przygotowana została również opinia prawna wykazująca niezgodności projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy prawo zamówień publicznych z Konstytucją. Przygotował ją dr hab. Mariusz Bidziński z Uniwersytetu SWPS.
KPRM zmienia projekt
Pod wpływem tych opinii w najnowszej wersji projektu zmieniony został termin na wycofanie sprzętu lub oprogramowania pochodzącego od dostawcy uznanego za dostawcę wysokiego ryzyka z pięciu na siedem lat, co nadal trudno uznać za satysfakcjonujące. Twórcy projektu uzasadniają jednak, że siedem lat to średni okres użytkowania sprzętu lub oprogramowania, czyli “cykl życia” urządzenia. Jednocześnie przedsiębiorcy telekomunikacyjni sporządzający plany działań w sytuacji szczególnego zagrożenia będą musieli wycofać taki sprzęt lub oprogramowanie w ciągu pięciu lat od wydania przez ministra właściwego ds. informatyzacji decyzji o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Nie są przy tym planowane żadne rekompensaty dla operatorów z uwagi na konieczność wycofania sprzętu, sprecyzowano jednak zakres podmiotów, których ewentualna wymiana może dotyczyć.
Szeroko krytykowana w pierwszej wersji projektu była też procedura oceny ryzyka dostawcy sprzętu lub oprogramowania dla podmiotów krajowego systemu cyberbezpieczeństwa. W nowej wersji ustawy jest ona oparta o przepisy kodeksu postępowania administracyjnego. Odpowiednie postępowanie wszczynane ma być natomiast z urzędu przez ministra właściwego ds. informatyzacji lub na wniosek Kolegium ds. Cyberbezpieczeństwa. W ramach postępowania prowadzonego przez ministra będzie mogła być wydana decyzja administracyjna w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, a podstawą do wydania decyzji będzie stwierdzenie poważnego zagrożenia dla bezpieczeństwa narodowego ze strony dostawcy. Jednocześnie przewidziano, że dostawca wobec którego będzie prowadzone postępowanie zostanie o tym poinformowany i będzie miał zapewniony dostęp do materiałów zgromadzonych w aktach sprawy (za wyjątkiem materiałów, które organ prowadzący sprawę wyłączy ze względu na ważny interes państwowy). Zrezygnowano też ze skali oceny poziomów ryzyka podmiotów. Kolegium będzie natomiast wydawało opinię, która zostanie przekazana do ministra właściwego ds. informatyzacji.
Globalny problem
Warto przy tym zaznaczyć, że debata dotycząca rozwiązań w zakresie cyberbezpieczeństwa trwa nie tylko w Polsce. W aukcji 5G rozstrzygniętej w styczniu przez szwedzki Urząd ds. poczty i telekomunikacji (PTS) wyraźnie wskazano, że jej zwycięzcy nie będą mogli korzystać z urządzeń pochodzących od firm z siedzibą w Chinach. Komentatorzy zauważają jednak, że ze względu na aspiracje do zacieśnienia współpracy ze Stanami Zjednoczonymi zaproponowane przez naszego ustawodawcę regulacje nawet na tym tle należą do najostrzejszych w Europie. Ze względu na te uwarunkowania aktualną sytuację określić wręcz można jako wojnę amerykańsko-chińską pod flagą biało-czerwoną.
– Zdecydowanie nie chodzi tu o decyzje ekonomiczne, ale o bieżącą politykę uwarunkowaną okolicznościami, które nie są w pełni znane opinii publicznej – zauważa Robert Gwiazdowski, komentator gospodarczy i polityczny związany z Centrum im. Adama Smitha. – Pamiętajmy też, że teoria decyzji zbliżona jest do teorii gier i uwzględnia określone bodźce psychofizyczne. Gremia publiczne i polityczne podlegają takim samym uwarunkowaniom, a zarządzanie ryzykiem zawsze zawiera pewną dozę niepewności.
Polityka coraz mocniej dotyka jednak kwestii biznesowych, którymi zainteresowani są mali i średni operatorzy telekomunikacyjni.
– Nie rozmawiamy z naszymi chińskimi kontrahentami o polityce. Oni po prostu chcą robić z nami interesy – mówi Marcin Kuczera, wiceprezes zarządu spółki Leon działającej w Rybniku i Żorach. – Z naszej perspektywy proponowane rozwiązania prawne są więc sztucznym blokowaniem konkurencji i wolnego rynku. Chodzi przecież o bardzo duże pieniądze.
Aby rozwiać wątpliwości związane z omawianymi zmianami w prawie zwróciliśmy się do z prośbą o komentarz Departamentu Cybezpieczeństwa i wkrótce przedstawimy na naszym portalu stanowisko osób bezpośrednio nad nią pracujących.
Więcej na ten temat także w zimowym numerze ICT Professional: http://ictprofessional.pl/mag/professional/