Budując sieci telekomunikacyjne, operatorzy nie będą mogli się zaopatrywać u dostawców uznanych za firmy wysokiego lub umiarkowanego ryzyka. Urządzenia i oprogramowanie kupione wcześniej od tych pierwszych trzeba będzie usunąć z sieci najpóźniej w ciągu pięciu lat ‒ takie zapisy znalazły się w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Resort cyfryzacji rozpoczął wczoraj dwutygodniowe konsultacje tych regulacji.

Reklama

Projekt przewiduje, że ocenę dostawców przeprowadzi Kolegium ds. Cyberbezpieczeństwa. Kryteria, jakie będą brane pod uwagę, wskazują na wykluczenie z rynku chińskiej firmy Huawei. Jest bowiem wśród nich "prawdopodobieństwo, czy dostawca sprzętu, oprogramowania lub usług znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego”, przy którym uwzględnia się "prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka” oraz „zdolność ingerencji tego państwa w swobodę działalności gospodarczej dostawcy”.

Dostawca – na polskim rynku oprócz Huawei liczą się jeszcze szwedzki Ericsson i fińska Nokia ‒ zostanie sklasyfikowany jako stanowiący wysokie ryzyko, jeśli "stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa i zmniejszenie poziomu tego ryzyka przez wdrożenie środków technicznych lub organizacyjnych nie jest możliwe”. Łagodniejszym wyrokiem jest umiarkowane ryzyko ‒ gdy jest szansa zmniejszenia zagrożenia "przez wdrożenie środków technicznych lub organizacyjnych”.

Natomiast pozytywne oceny to niskie ryzyko ‒ oznaczające niewielkie zagrożenie dla cyberbezpieczeństwa państwa – i "brak zidentyfikowanego poziomu ryzyka”, jeżeli nie stwierdzono zagrożenia lub jego poziom jest znikomy.

Czy przestrzeganie praw człowieka powinno być jednym z kryteriów oceny dostawców sprzętu lub oprogramowania?

Dziś nie ma wątpliwości, że technologie mają bezpośredni i pośredni wpływ na prawa i wolności ludzi oraz prawa człowieka. Formalnie nie dziwią więc takie zasady wpisywane wprost w kryteria oceny – uważa dr Łukasz Olejnik, niezależny badacz i doradca cyberbezpieczeństwa.

Oceniające dostawców Kolegium ds. Cyberbezpieczeństwa powstało przy Radzie Ministrów na mocy ustawy KSC z 2018 r. Przewodniczy mu premier, a zasiadają w nim: pełnomocnik rządu ds. cyberbezpieczeństwa, szefowie resortów właściwych do spraw wewnętrznych, informatyzacji, służb specjalnych, obrony narodowej i spraw zagranicznych, a także szef Kancelarii Prezesa Rady Ministrów i szef Biura Bezpieczeństwa Narodowego.

Reklama

W przypadku określenia umiarkowanego lub niskiego ryzyka dostawca może przedstawić środki zaradcze i plan naprawczy i po ich akceptacji uzyskać zmianę klasyfikacji. Od oceny wysokiego ryzyka będzie się można odwołać do kolegium w terminie 14 dni. Rozpatrywanie odwołania (potrwa do dwóch miesięcy od otrzymania) nie wstrzymuje konsekwencji wystawionej oceny.

Ministerstwo w uzasadnieniu projektu przyznaje, że nakładając na firmy nowe obowiązki, "ogranicza się konstytucyjną wolność gospodarczą”. Podkreśla jednak, że celem jest "zapewnienie bezpieczeństwa w cyberprzestrzeni”. ‒ Niezawodność i niezakłócone świadczenie usług telekomunikacyjnych mają i będą miały coraz większe znaczenie dla cyberbezpieczeństwa usług kluczowych i cyfrowych – stwierdza minister cyfryzacji Marek Zagórski, pełnomocnik rządu ds. cyberbezpieczeństwa.

Polska w regulacjach dotyczących cyberbezpieczeństwa wychodzi poza oparte na kryteriach technicznych zasady nakreślone w unijnym toolboxie i obiera własną drogę z nieobiektywnymi i niemierzalnymi kryteriami – mówi Ryszard Hordyński, dyrektor ds. strategii i komunikacji w Huawei. ‒ Jeśli nowelizacja zostanie przyjęta i użyta w zaprezentowanym dziś kształcie, narazi polski rynek telekomunikacyjny na ogromne koszty i zacofanie technologiczne – ostrzega.

Szef działu analiz Haitong Banku Konrad Księżopolski wyliczył tydzień temu łączny koszt wymiany obecnie zainstalowanego w sieciach 4G/5G ready sprzętu Huawei na 2,5‒2,9 mld zł. Największa kwota ‒ 1,3‒1,5 mld zł ‒ przypada na Play, po ok. 0,55‒0,6 mld zł będzie to kosztowało Orange i T-Mobile, a 100‒200 mln zł ‒ Polkomtel. Wyliczenia mogą być obarczone "istotnym ryzykiem błędu” ze względu na bardzo ograniczony dostęp do danych i nie obejmują kosztów uruchomienia sieci 5G, a jedynie wymianę starego sprzętu.

Resort cyfryzacji przyznaje, że dostosowanie się do wymogów ustawy oznacza koszty dla przedsiębiorców. W uzasadnieniu podkreśla jednak, że to inwestycja „we własne cyberbezpieczeństwo” pozwalająca "skuteczniej dbać o cyberbezpieczeństwo w swojej działalności, co przełoży się na bezpieczne prowadzenie biznesu i minimalizację ryzyka strat”.

"To bardzo istotny dokument z punktu widzenia rozwoju i funkcjonowania nowoczesnych sieci telekomunikacyjnych” ‒ komentuje Play, zapowiadając, że podzieli się swoim stanowiskiem w toku konsultacji publicznych, bo „planowane regulacje wymagają kompleksowej analizy przez sektor telekomunikacyjny”. Także Plus stwierdził, że musi najpierw projekt przeanalizować. Od pozostałych operatorów nie otrzymaliśmy odpowiedzi.

‒ Dziś na świecie mamy proces regulowania działania technologii i problemów cyberbezpieczeństwa – komentuje Łukasz Olejnik. ‒ Tak rozumiana polityka technologii jako rozwiązywanie problemów społecznych nie musi być kontrowersyjna. Oczywiście gdy jest to robione mądrze i ze zrozumieniem, jak działają współczesne technologie i internet, bo stawka jest wysoka. Projekt mówi np. o budowie infrastruktury blokowania oprogramowania, usług lub dostępu do nich (np. po adresie IP). Formalnie są to kwestie filtrowania treści. Nie ma problemu, gdy robione jest to z dobrym uzasadnieniem, np. w celu rozwiązania faktycznego problemu cyberbezpieczeństwa. Chcielibyśmy ufać we właściwe oceny w przypadku podejmowania takich decyzji. Niestety, nie wszędzie na świecie tak jest, np. na Białorusi na pewnym etapie próbowano argumentować, że wyłączono internet w celu zapewnienia cyberbezpieczeństwa – podsumowuje.

MC chce, by ustawa weszła w życie 21 grudnia br. ‒ tj. wraz z ustawą – Prawo komunikacji elektronicznej