Budując sieci telekomunikacyjne, operatorzy nie będą mogli się zaopatrywać u dostawców uznanych za firmy wysokiego lub umiarkowanego ryzyka. Urządzenia i oprogramowanie kupione wcześniej od tych pierwszych trzeba będzie usunąć z sieci najpóźniej w ciągu pięciu lat ‒ takie zapisy znalazły się w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Resort cyfryzacji rozpoczął wczoraj dwutygodniowe konsultacje tych regulacji.
Projekt przewiduje, że ocenę dostawców przeprowadzi Kolegium ds. Cyberbezpieczeństwa. Kryteria, jakie będą brane pod uwagę, wskazują na wykluczenie z rynku chińskiej firmy Huawei. Jest bowiem wśród nich "prawdopodobieństwo, czy dostawca sprzętu, oprogramowania lub usług znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego”, przy którym uwzględnia się "prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka” oraz „zdolność ingerencji tego państwa w swobodę działalności gospodarczej dostawcy”.
Dostawca – na polskim rynku oprócz Huawei liczą się jeszcze szwedzki Ericsson i fińska Nokia ‒ zostanie sklasyfikowany jako stanowiący wysokie ryzyko, jeśli "stanowi poważne zagrożenie dla cyberbezpieczeństwa państwa i zmniejszenie poziomu tego ryzyka przez wdrożenie środków technicznych lub organizacyjnych nie jest możliwe”. Łagodniejszym wyrokiem jest umiarkowane ryzyko ‒ gdy jest szansa zmniejszenia zagrożenia "przez wdrożenie środków technicznych lub organizacyjnych”.
Natomiast pozytywne oceny to niskie ryzyko ‒ oznaczające niewielkie zagrożenie dla cyberbezpieczeństwa państwa – i "brak zidentyfikowanego poziomu ryzyka”, jeżeli nie stwierdzono zagrożenia lub jego poziom jest znikomy.
Czy przestrzeganie praw człowieka powinno być jednym z kryteriów oceny dostawców sprzętu lub oprogramowania?
‒uważa dr Łukasz Olejnik, niezależny badacz i doradca cyberbezpieczeństwa.
Oceniające dostawców Kolegium ds. Cyberbezpieczeństwa powstało przy Radzie Ministrów na mocy ustawy KSC z 2018 r. Przewodniczy mu premier, a zasiadają w nim: pełnomocnik rządu ds. cyberbezpieczeństwa, szefowie resortów właściwych do spraw wewnętrznych, informatyzacji, służb specjalnych, obrony narodowej i spraw zagranicznych, a także szef Kancelarii Prezesa Rady Ministrów i szef Biura Bezpieczeństwa Narodowego.
W przypadku określenia umiarkowanego lub niskiego ryzyka dostawca może przedstawić środki zaradcze i plan naprawczy i po ich akceptacji uzyskać zmianę klasyfikacji. Od oceny wysokiego ryzyka będzie się można odwołać do kolegium w terminie 14 dni. Rozpatrywanie odwołania (potrwa do dwóch miesięcy od otrzymania) nie wstrzymuje konsekwencji wystawionej oceny.
Ministerstwo w uzasadnieniu projektu przyznaje, że nakładając na firmy nowe obowiązki, "ogranicza się konstytucyjną wolność gospodarczą”. Podkreśla jednak, że celem jest "zapewnienie bezpieczeństwa w cyberprzestrzeni”. ‒ – stwierdza minister cyfryzacji Marek Zagórski, pełnomocnik rządu ds. cyberbezpieczeństwa.
‒ mówi Ryszard Hordyński, dyrektor ds. strategii i komunikacji w Huawei. ‒ Jeśli nowelizacja zostanie przyjęta i użyta w zaprezentowanym dziś kształcie, narazi polski rynek telekomunikacyjny na ogromne koszty i zacofanie technologiczne – ostrzega.
Szef działu analiz Haitong Banku Konrad Księżopolski wyliczył tydzień temu łączny koszt wymiany obecnie zainstalowanego w sieciach 4G/5G ready sprzętu Huawei na 2,5‒2,9 mld zł. Największa kwota ‒ 1,3‒1,5 mld zł ‒ przypada na Play, po ok. 0,55‒0,6 mld zł będzie to kosztowało Orange i T-Mobile, a 100‒200 mln zł ‒ Polkomtel. Wyliczenia mogą być obarczone "istotnym ryzykiem błędu” ze względu na bardzo ograniczony dostęp do danych i nie obejmują kosztów uruchomienia sieci 5G, a jedynie wymianę starego sprzętu.
Resort cyfryzacji przyznaje, że dostosowanie się do wymogów ustawy oznacza koszty dla przedsiębiorców. W uzasadnieniu podkreśla jednak, że to inwestycja „we własne cyberbezpieczeństwo” pozwalająca "skuteczniej dbać o cyberbezpieczeństwo w swojej działalności, co przełoży się na bezpieczne prowadzenie biznesu i minimalizację ryzyka strat”.
"To bardzo istotny dokument z punktu widzenia rozwoju i funkcjonowania nowoczesnych sieci telekomunikacyjnych” ‒ komentuje Play, zapowiadając, że podzieli się swoim stanowiskiem w toku konsultacji publicznych, bo „planowane regulacje wymagają kompleksowej analizy przez sektor telekomunikacyjny”. Także Plus stwierdził, że musi najpierw projekt przeanalizować. Od pozostałych operatorów nie otrzymaliśmy odpowiedzi.
– komentuje Łukasz Olejnik. podsumowuje.
MC chce, by ustawa weszła w życie 21 grudnia br. ‒ tj. wraz z ustawą – Prawo komunikacji elektronicznej
