Kolejne podejście do ustawy o krajowym systemie cyberbezpieczeństwa

W Rządowym Centrum Legislacji pojawiła się kolejna wersja projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, którą rząd próbuje uchwalić już od dwóch lat. Każda nowa propozycja tych przepisów budzi jednak szereg kontrowersji. Eksperci podkreślają, że tym razem rząd całkowicie pominął interesy małych i średnich operatorów. – Prawo telekomunikacyjne nigdy nie dzieliło operatorów ze względu na finanse, za to nakładało na nich te same obowiązki. Tymczasem nowa ustawa o KSC krzywdzi firmy słabsze rynkowo i w dyskryminujący wręcz sposób dzieli operatorów na lepszych i gorszych – podkreśla Piotr Muszyński, doradca prezydenta Pracodawców RP ds. teleinformatyki, prezes Fixmap. Chodzi m.in. o dostęp do procedury oceny dostawców wysokiego ryzyka.

– Procedowana od prawie dwóch lat nowelizacja ustawy o KSC od samego początku wzbudzała kontrowersje ze względu na procedurę oceny dostawców wysokiego ryzyka. Nadanie dostawcy takiego statusu miałoby bezpośrednie przełożenie na to, czy może on zostać dopuszczony do budowy sieci telekomunikacyjnych w Polsce. Wykluczenie oznaczałoby zaś dla operatorów telekomunikacyjnych konieczność poniesienia dużych kosztów wymiany sprzętu. Decyzję w tej sprawie miałoby podejmować specjalne kolegium ds. cyberbezpieczeństwa na bazie różnorodnych kryteriów, m.in. narodowościowych. Dla wielu podmiotów rynkowych taki kształt prawa nosił znamiona upolitycznienia i arbitralności – podkreśla w komentarzu dla agencji Newseria Biznes Piotr Muszyński, doradca społeczny prezydenta Pracodawców RP ds. teleinformatyki, prezes Fixmap.

Nowa wersja ustawy również przewiduje taką ścieżkę, ale do postępowania wszczętego przez kolegium zostali dopuszczeni operatorzy telekomunikacyjni. Zdaniem eksperta jest to krok w dobrą stronę i po części odpowiada na postulaty strony społecznej. Ustawa wprowadza bowiem dla operatorów minimalny przychód (dwudziestotysięcznej krotności przeciętnego wynagrodzenia), po przekroczeniu którego dana firma może przystąpić do procedury oceny.

– Niestety nowa wersja ustawy o KSC jednocześnie wprowadza zapisy kontrowersyjne. Dopuszczenie operatorów do procedury weryfikacji DWR ograniczone jest bowiem tylko do tych firm, które mogą się pochwalić rocznymi przychodami powyżej ok. 113 mln zł. Co więcej, operatorzy, którzy wykażą przychód poniżej wskazanego progu, nie będą mieli możliwości zaskarżenia rozstrzygnięcia bezpośrednio godzącego w ich interesy – mówi prezes Fixmap.

Jego zdaniem wprowadzenie cenzusu finansowego to systemowa dyskryminacja, która nie ma nic wspólnego z dobrymi praktykami w zakresie cyberbezpieczeństwa. Oznacza bowiem, że mniejsi operatorzy nie będą mogli się wypowiedzieć w kwestiach dla nich kluczowych. To często podmioty najbardziej zainteresowane losem sprzętu od danego dostawcy, ponieważ sprzęt dla wielkich korporacji telekomunikacyjnych różni się od oferty dla małych i średnich podmiotów.

Kwestia tzw. dostawców wysokiego ryzyka od początku jest jedną z tych, które budzą największe kontrowersje w projektowanej nowelizacji. Jej zapisy pozwalają bowiem wykluczyć z polskiego rynku dostawców usług i sprzętu ICT (w tym infrastruktury dla standardu 5G) na podstawie kryteriów politycznych i narodowościowych. W pierwotnej wersji projektu jednym z kryteriów oceny dostawców było to, czy pochodzi on z kraju, w którym są przestrzegane prawa człowieka. Teraz wśród kryteriów pojawiły się wprawdzie kryteria techniczne (liczba i rodzaje wykrytych podatności i incydentów dla poszczególnych produktów i usług czy wydawanych rekomendacji i certyfikatów), ale wciąż jest też pozostawanie pod kontrolą państwa spoza UE i NATO. Dlatego eksperci wskazują, że są one wymierzone wprost w firmy technologiczne z Chin, przede wszystkim w koncern Huawei, który jest jednym z głównych dostawców technologii dla 5G na świecie.

– Obecnie rozwój sieci 5G odbywa się głównie w oparciu o tzw. architekturę non-stand alone (NSA), czyli taką, która jest powiązana z siecią poprzedniej generacji 4G. A operatorzy w Polsce, rozwijając sieci LTE, w bardzo szerokim zakresie opierali się właśnie na technologii Huaweia. Wybierali jego rozwiązania dlatego, że oferowały najlepszy stosunek jakości do ceny – mówi doradca społeczny prezydenta Pracodawców RP.

Ewentualne wykluczenie Huaweia z polskiego rynku będzie kosztowne dla operatorów telekomunikacyjnych, którzy na mocy nowych przepisów będą zmuszeni całkowicie pozbyć się jego sprzętu i oprogramowania ze swoich sieci w ciągu pięciu–siedmiu lat. Analitycy Audytelu oszacowali, że koszty tej operacji mogą sięgnąć aż 14,9 mld zł.

– Z kosztami wymiany sprzętu poprzez podniesienie cen dla konsumentów poradzą sobie duże firmy telekomunikacyjne. Jednak dla mniejszych firm konieczność wymiany sprzętu telekomunikacyjnego może się wiązać z na tyle dużymi wydatkami, że zwyczajnie splajtują – przestrzega Piotr Muszyński. – Już w 2020 roku średni koszt wymiany sprzętu dla pojedynczej firmy KIKE wyliczyło na poziomie 2,99 mln zł. Już wtedy była to kwota, która dla części podmiotów stanowiła swoiste być albo nie być na rynku. Tym bardziej mali i średni operatorzy powinni mieć możliwość udziału w procedurze oceny dostawców wysokiego ryzyka.

Ekspert wskazuje również, że obecne zapisy projektu nie tylko dyskryminują małe i średnie podmioty, ale też nie dają żadnej gwarancji, że ocena tzw. dostawców wysokiego ryzyka będzie przeprowadzana w sposób rzetelny.

– Projekt nowelizacji ustawy o KSC nakłada szereg obowiązków na ministra właściwego ds. informatyzacji, a tym ministrem jest obecnie premier Mateusz Morawiecki, który jest jednocześnie ministrem finansów, rozwoju i technologii. Biorąc pod uwagę szereg obowiązków, które premier ma w innych obszarach niż informatyzacja, mam głębokie obawy, czy dokonywana przez niego ocena dostawców faktycznie będzie rzetelna. Istnieje więc ogromne ryzyko, że decyzje będą arbitralne, silnie upolitycznione, bo nikt nie będzie tracił czasu na dogłębne analizy. Koniec końców straci jednak cała polska gospodarka – mówi prezes Fixmap.

Rynek proponuje, aby w noweli ustawy o KSC skupiać się nie na samych dostawcach, ale na kwestii bezpieczeństwa i certyfikacji poszczególnych produktów i usług ICT, podobnie jak zrobiły to inne kraje UE. Przede wszystkim rynek apeluje jednak o ponowne – tym razem rzetelne i dłuższe – konsultacje publiczne dotyczące nowych przepisów, które będą mieć ogromne przełożenie nie tylko na branżę telekomunikacyjną, ale też na całą polską gospodarkę.

– Strona społeczna musi mieć prawo wypowiedzieć się w kontekście projektowanych przepisów, szczególnie gdy istnieją poważne ryzyka dla małych i średnich operatorów – podkreśla Piotr Muszyński. – W kwestii cyberbezpieczeństwa nie można działać „przeciwko”. Trzeba działać „w sprawie”, a tu sprawą nadrzędną jest polskie cyberbezpieczeństwo. Debata w tej kwestii toczy się ponad dwa lata, ale ostatnie tygodnie i wojna w Ukrainie pokazują, jak ważne jest zdefiniowanie systemu chroniącego państwo, obywateli i infrastrukturę krytyczną. Dlatego właśnie żaden z operatorów świadczący usługi dostępu do internetu na własnej infrastrukturze nie powinien być dyskryminowany w tak istotnej kwestii.