Tekst ten powstał w związku z próbą regulacji budowy sieci telekomunikacyjnych piątej generacji i dotyczy m.in. projektu rozporządzenia Ministra Cyfryzacji w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa i integralności sieci lub usług wydawanego na podstawie art. 175d Ustawy Prawo telekomunikacyjne, („Rozporządzenie 175d”).

Reklama

Z punktu widzenia prawnika - praktyka, zajmującego się łącznością bezprzewodową od 20 lat, najpierw w sektorze publicznym, a następnie prywatnym jestem zdania, że 5G nie jest rewolucją. To zwykły krok w rozwoju będący reakcją na potrzeby klientów transmitujących coraz więcej informacji. Podobnie do zmiany z 3G na 4G, sprzęt 5G zwiększa szybkość transmisji, zmniejsza opóźnienia i pozwala na efektywniejsze działanie większej liczby urządzeń końcowych będących blisko siebie. Gdyby nie wojna handlowa między USA a Chinami, pewno nikt by nie zwrócił uwagi na 5G.

Podczas budowy sieci UMTS (3G) czy LTE (4G) europejskie rządy nie wpływały na wybór dostawców urządzeń. Operatorzy odpowiadali za utrzymanie ustawowych standardów swoich usług: ciągłości i bezpieczeństwa, w tym ochrony tajemnicy telekomunikacyjnej. Brak wpadek w tym zakresie podkreśla fakt, że dyrektywa NIS 2016/1148 wyłącza ze swojego zakresu sieci telekomunikacyjne, uznając regulacje dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej za wystarczające. Bezpieczeństwo i integralność sieci i usług telekomunikacyjnych są przedmiotem regulacji w Polsce od ponad 7 laty zgodnie z rozdziałem IIIa art. 13a i 13b dyrektywy 2002/21/WE. Dotyczy to także standardu 5G.

W art. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z 17 kwietnia 2019 w sprawie ENISA oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno - komunikacyjnych europejski prawodawca stwierdza, że zostało ono wydane „z myślą o zapewnieniu prawidłowego funkcjonowania rynku wewnętrznego”. Dopiero w drugiej części tego artykułu pojawia się odwołanie do celu jakim jest dążenie do osiągnięcia „wysokiego poziomu cyberbezpieczeństwa, cyberodporności i zaufania w Unii”. Warto zwrócić uwagę na istotną różnicę: prawidłowe funkcjonowanie rynku wewnętrznego ma być bezwzględnie zapewnione (ensure) podczas, gdy pozostałe cele, muszą być poddane temu pierwszemu i będzie to proces ciągły (aiming to achieve). Europejski prawodawca świadomie wprowadził to rozróżnienie. Wśród zadań Agencji ENISA określonych w art. 5 Rozporządzenia 2019/881 jest wydawanie niewiążących opinii, wytycznych i porad, których celem jest pomoc państwom członkowskim przy wdrażaniu polityki i prawa Unii w dziedzinie cyberbezpieczeństwa w sposób jednolity, w szczególności w związku z dyrektywą (UE) 2016/1148.

Równocześnie w art. 175d polskiej ustawy Prawo telekomunikacyjne przewidziano uwzględnienie przez Ministra Cyfryzacji wytycznych ENISA w Rozporządzeniu 175d. Ogólna wytyczna do wydania rozporządzenia, nie pozwala jednak na przyjęcie, że rozporządzenie może skutkować obejściem wyraźnego wyłączenia przez dyrektywę NIS 2016/1148 sieci telekomunikacyjnych ze swojego zakresu działania.

Rozporządzenie 2019/881 określa też ramy europejskich certyfikacji cyberbezpieczeństwa. Celem jest zapewnienie odpowiedniego poziomu cyberbezpieczeństwa produktów ICT, usług ICT i procesów ICT w Unii oraz uniknięcie rozdrobnienia rynku wewnętrznego w zakresie programów certyfikacji cyberbezpieczeństwa w Unii. Kluczowa jest więc jak najszersza harmonizacja.

Obok twardych regulacji jest też "Cybersecurity of 5G networks EU Toolbox of risk mitigating measures” (Toolbox) ze stycznia 2020 r. W swoim niedawnym artykule w "Rzeczpospolitej" prof. Rogalski, słusznie stwierdza, że Toolbox to techniczne „opracowanie w zakresie kalkulacji ryzyk i zarządzania nimi”, które „posiada charakter techniczny i organizacyjny, ale z pewnością nie prawny”. Sformułowania zawarte w tym 45 stronicowym dokumencie są bardzo ocenne, pozostawiając oceniającemu szeroki zakres uznaniowości. Z punktu widzenia prawa dokument ten należy traktować zgodnie z jego literalna intencją, określoną w punkcie 2. Celem jest identyfikacja możliwych wspólnych narzędzi. Opracowanie wspólnych europejskich instrumentów europejskiego bezpieczeństwa sieci 5G zostało wskazane jako coś, czym europejski prawodawca ma się dopiero zająć. Dlatego Toolbox powinien być traktowany jako zestaw niewiążących operatorów narzędzi, z których mogą, ale nie muszą korzystać, dokonując samodzielnej oceny ryzyk i mitygując je.

Omawianego zakresu dotyczą też regulacje prawa ochrony konkurencji i konsumenta. Przepisy prawa ochrony konkurencji i konsumenta, na równi z regulacjami prawa telekomunikacyjnego doprowadziły przez ostatnie 24 lata do obecnego stanu rozwoju usług i ich niskich cen. Stosownie do art. 3 ust. 1 ustawy z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji czynem nieuczciwej konkurencji jest działanie sprzeczne z prawem lub dobrymi obyczajami, jeżeli zagraża lub narusza interes innego przedsiębiorcy lub klienta. Przykładem takich czynów jest m.in. pomawianie lub nieuczciwe zachwalanie czy utrudnianie dostępu do rynku. Podważanie bezpieczeństwa produktu bez odpowiednich dowodów mieści się w tym katalogu. Działanie takie prowadzone przez przedsiębiorcę konkurencyjnego, może być zakwalifikowane jako czyn nieuczciwej konkurencji, ze wszystkimi konsekwencjami z tego wynikającymi.

Ostatnim wątkiem, który chciałbym tutaj podjąć, jest wspomniana w artykule prof. Rogalskiego [A2] analiza Porozumienia GATT, jako wiążącej Polskę umowy, która uniemożliwia przyjmowanie przepisów dyskryminujących dostawców towarów z uwagi na kraj pochodzenia. Wyjątkiem od stosowania GATT mogą być działania o charakterze sankcji, podejmowane jedynie w przypadku poważnego kryzysu między państwami. Prof. Rogalski powołując się na orzecznictwo stwierdza jednoznacznie, że „z poważnym kryzysem mamy do czynienia dopiero wtedy, gdy istnieje groźba konfliktu zbrojnego”. Podzielam w pełni pogląd Pana profesora, że groźba takiego konfliktu Polski z Chinami obecnie nie występuje. Polskie prawo przewiduje bardzo ścisłe regulacje, jakim podlegają sieci telekomunikacyjne w czasie pokoju, w stanach nadzwyczajnych, w tym także czasie konfliktu zbrojnego. W tym kontekście niepokojące są zaistniałe ostatnio w przestrzeni publicznej stwierdzenia, że wybór dostawcy dla komercyjnych sieci 5G jest strategiczny z punktu widzenia bezpieczeństwa kraju, bowiem infrastruktura ICT stanowi istotny zasób w toczącej się bliżej nieokreślonej wojnie, w której zły wybór dostawcy doprowadzi Polskę do utraty niepodległości.

Narracja taka nie znajduje uzasadniania ani w Rozdziale XI Konstytucji RP regulującym stany nadzwyczajne, ani w żadnej z dwóch ustaw regulujących stan wojenny czy stan wyjątkowy. Uzasadnianie „wojną” lub „utratą niepodległości” wprowadzania regulacji ingerujących w konstytucyjne swobody oraz sprzecznych z wiążącymi Polskę umowami międzynarodowymi, bez zaistnienia rzeczywistych przesłanek do wprowadzenia jednego ze stanów nadzwyczajnych prowadzi w praktyce do obejścia prawa i nieuprawnionej ingerencji państwa w własność prywatną, swobodę gospodarczą czy prawa i wolności obywatelskie.

Dla celów obronności i bezpieczeństwa narodowego w czasach pokoju wojsko i właściwie instytucje rządowe posiadają wydzielone środki bezpiecznej łączności oraz przeznaczone do tego osobne częstotliwości alokowane jako rządowe w Krajowej Tablicy Przeznaczeń Częstotliwości. Podobnie na wypadek wojny istnieją ścisłe prawne regulacje dotyczące przejmowania przez wojsko zarządzania cywilnymi sieciami telekomunikacyjnymi. Rozmywanie w politycznej narracji granicy między wojną a pokojem, by wprowadzać regulacje, które pozbawią nas wolnego rynku, konkurencji czy opóźnią rozwój gospodarczy jest sprzeczne z dobrze pojętym interesem kraju i dobra wspólnego wszystkich obywateli.

Obywatele zasługują na najlepsze rozwiązania telekomunikacyjne, w niskich cenach. Dostarczane obecnie usługi telekomunikacyjne są bezpieczne, niezawodne i wysokiej jakości. Aby utrzymać ten stan trzeba cyberbezpieczeństwo w sieciach telekomunikacyjnych trzeba regulować rozważnie, bez narażania konkurencji i po wysłuchaniu opinii zainteresowanych przedsiębiorców telekomunikacyjnych. Prawo nie powinno wyprzedzać harmonizacji europejskiej w tym zakresie, bo skutkiem nietrafionych wymagań krajowych może być opóźnienie technologiczne i podwyżka kosztów usług telekomunikacyjnych dla wszystkich Polaków. Nie byłoby dobrze, gdyby proces zmian polskiego prawa w obszarze cyberbezpieczeństwa zagroził powyższym interesom konsumentów usług telekomunikacyjnych. Jak pokazuje doświadczenie GSM Association, rozsądnym rozwiązaniem jest niedyskryminująca, szybka i przejrzysta certyfikacja, oparta na jednoznacznych kryteriach, dających pewne wyniki.