fot. R.NITHAT / Shutterstock

W rządowej propozycji nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa znalazły się zupełnie nowe, nieprzedstawiane wcześniej zapisy. Jednym z nich jest powołanie w ramach ustawy nowego, państwowego operatora telekomunikacyjnego, który miałby obsługiwać w zakresie sieci 5G m.in. Kancelarie Premiera, Sejmu i Prezydenta, Wojsko Polskie czy Policję. W dodatku z 750 uwag zgłoszonych do poprzedniej wersji ustawy tylko nieliczne zostały uwzględnione. - Mimo nieuwzględnienia większości z tak ogromnej liczby zastrzeżeń rząd nie przewidział tym razem drugiej rundy konsultacji - mówi Rafał Jaczyński z Huawei Polska.

- Biorąc pod uwagę nowe zapisy, wprowadzone w tej wersji nowelizacji, mamy do czynienia z zupełnie nową ustawą, niepoddawaną wcześniej publicznym konsultacjom. Wszyscy uczestnicy rynku z osłupieniem po raz pierwszy czytali o nowym, państwowym operatorze telekomunikacyjnym, który nie będzie musiał kłopotać się aukcją, żeby otrzymać częstotliwości. Ważne są też zapisy dotyczące certyfikacji, które również pojawiły się po raz pierwszy. Nie ma uzasadnienia dla procedowania tak istotnych regulacji bez dialogu z przedsiębiorcami i organizacjami społecznymi - podkreśla w rozmowie z agencją informacyjną Newseria Biznes Rafał Jaczyński, dyrektor regionalny ds. cyberbezpieczeństwa w Huaweiu.

W ubiegłym tygodniu pojawiła się nowa propozycja zmian w ustawie o krajowym systemie cyberbezpieczeństwa. Projekt noweli trafił już na Komitet Rady Ministrów ds. Cyfryzacji. Zakłada on m.in. powołanie operatora sieci komunikacji strategicznej, czyli państwowego operatora telekomunikacyjnego, który będzie działać jako spółka Skarbu Państwa i dostarczać instytucjom publicznym (takim jak m.in. KPRM, Kancelaria Sejmu czy Prezydenta RP, wojsko czy Policja) usługi telekomunikacyjne na potrzeby realizacji celów związanych z obronnością, bezpieczeństwem i porządkiem publicznym.

Państwowy operator będzie działać w ramach częstotliwości zapewnionych mu przez prezesa UKE i korzystać z infrastruktury operatorów komercyjnych. Ci będą zobowiązani odpłatnie udostępnić mu swoje zasoby, a w razie braku porozumienia decyzję w tej sprawie podejmie UKE. Nowy, państwowy podmiot ma jednak nie stanowić konkurencji dla komercyjnych operatorów działających na rynku.

Datowany na 20 stycznia projekt nowelizacji ustawy o KSC jest już drugim. Do pierwszego, który został opublikowany we wrześniu ub.r., w toku konsultacji publicznych zgłoszono ok. 750 uwag.

- Tylko nieliczne głosy i opinie przedstawione w pierwszym terminie zostały wzięte pod uwagę - mówi dyrektor regionalny ds. cyberbezpieczeństwa w Huaweiu. - Wprowadzone poprawki nie są tym, czego oczekiwał rynek ani co podnosili eksperci przez ostatnie pół roku. Wiele zmian ma charakter pozorny, a nowy projekt nie uwzględnił najważniejszych uwag zgłoszonych w toku konsultacji. Mimo to tym razem rząd nie przewidział drugiej rundy konsultacji ani publicznie obiecywanej konferencji uzgodnieniowej.

Prace nad zmianami w tym akcie prawnym śledzą zarówno eksperci, jak również cały rynek telekomunikacyjny, ponieważ będą one mieć duży wpływ m.in. na wdrażanie w Polsce technologii 5G oraz wybór dostawców infrastruktury i oprogramowania dla nowego standardu telekomunikacyjnego. Zgodnie z projektem zajmie się tym rządowe Kolegium ds. Cyberbezpieczeństwa, które będzie oceniać ryzyko danych dostawców.

- Procedura uznawania danej firmy za dostawcę wysokiego ryzyka nadal budzi wątpliwości - mówi dyrektor ds. cyberbezpieczeństwa w Huwaeiu. - Zrezygnowano wprawdzie z oceny prawodawstwa kraju pochodzenia dostawcy pod kątem ochrony praw człowieka, ale pozostały inne niewymierne i niemerytoryczne kryteria: m.in. prawdopodobieństwo tego, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza UE lub NATO, zdolność ingerencji tego państwa w swobodę działalności gospodarczej dostawcy czy struktura własnościowa dostawcy. To oznacza, że ten projekt jest wciąż obarczony fundamentalną wadą - nie rozwiązuje żadnego problemu z cyberbezpieczeństwem, za to wprowadza dla przedsiębiorców zwiększone ryzyko inwestowania w Polsce.

Firmy, które na podstawie oceny Kolegium ds. Cyberbezpieczeństwa i przyjętych w ustawie kryteriów zostaną uznane za zagrożenie dla krajowego cyberbezpieczeństwa, będą zakwalifikowane jako tzw. dostawcy wysokiego ryzyka. To de facto oznacza dla nich odcięcie od kontraktów i wykluczenie z polskiego rynku. Co istotne, bez realnej możliwości odwołania.

- Sam proces przeprowadzania oceny przez Kolegium ds. Cyberbezpieczeństwa brzmi jak instrukcja polowania na czarownice. Otóż taka analiza będzie mogła zostać sporządzona nawet bez informacji i współpracy ze strony dostawców czy użytkowników ich produktów. Innymi słowy: na bazie informacji niepełnych, nieprawdziwych i niezweryfikowanych. Decyzja podjęta na bazie tych utajnionych danych, do których dostępu nie będzie mieć nawet podmiot oceniany, zawsze podlega rygorowi natychmiastowej wykonalności. Natomiast możliwość odwołania istnieje tylko w teorii, bo dostawca sprzętu nie może się odwołać, nie znając przyczyn swojego wykluczenia - tłumaczy Rafał Jaczyński.

Eksperci i rynek telekomunikacyjny wielokrotnie, już w trakcie prac nad pierwszą wersją noweli ustawy o KSC, apelowali o wprowadzenie bardziej merytorycznych, mierzalnych kryteriów oceny dostawców, które byłyby oparte np. na technicznych parametrach.

- Stosowanie kryteriów nietechnicznych - takich jak np. kraj pochodzenia dostawcy - zamiast rzetelnej weryfikacji urządzeń z wykorzystaniem uznanych, międzynarodowych systemów certyfikacji budzi rynkowy sprzeciw. Tym bardziej że po ostatnich konsultacjach projektodawca zapowiadał, że wprowadzi zmiany, które skupią się właśnie na aspektach technicznych - mówi ekspert Huwaeia. - Brnięcie w kryteria, które grożą uznaniowością oceny, nie przełoży się na zwiększenie poziomu cyberbezpieczeństwa w Polsce. Do sieci telekomunikacyjnej nie podłączamy dostawcy, tylko konkretne urządzenie, które musi spełniać określone wymogi bezpieczeństwa. Tymczasem zgodnie z obecnym projektem możliwa jest sytuacja, że krytyczna infrastruktura państwa będzie obsługiwana przez urządzenia, które nie mają żadnego certyfikatu bezpieczeństwa.

Projekt nowelizacji ustawy o KSC wprowadzi sankcje nie tylko dla firm uznanych za tzw. dostawców wysokiego ryzyka. Operatorzy telekomunikacyjni, którzy korzystają z ich usług bądź sprzętu, będą bowiem zmuszeni pozbyć się ich w ciągu kilku lat. W nowym projekcie ten termin został wydłużony z pięciu do siedmiu lat. Ustawodawca zastrzegł jednak, że w sytuacji szczególnego zagrożenia na podstawie decyzji ministra właściwego ds. informatyzacji operatorom i tak będzie przysługiwać ten krótszy termin.

Dyrektor ds. cyberbezpieczeństwa w Huaweiu podkreśla, że zagrożenie dla bezpieczeństwa państwa jest zagrożeniem krytycznym i dlatego proces analizy dostawców powinien obejmować wyłącznie produkty i usługi pełniące krytyczną rolę w systemach i sieciach telekomunikacyjnych. Tymczasem proponowane zmiany w ustawie pozostawiają w tym względzie zbyt dużo swobody, pozwalając na wykluczanie z rynku dowolnych produktów i usług.

- Ustawodawca nie przewiduje na ten moment kolejnych konsultacji tego projektu. To o tyle rozczarowujące, że liczba uwag przesłanych do pierwszej wersji jasno pokazuje, że rynek jest żywo zainteresowany kształtem ustawy o KSC i chce o nim rozmawiać. Mam nadzieję, że ta chęć do rozmowy nie jest jednostronna - mówi Rafał Jaczyński.