Kolejny projekt Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Tym razem uderza w małe firmy

Arkadiusz Dziermański Z-ca Redaktora Naczelnego

W Rządowym Centrum Legislacyjnym pojawiła się nowa wersja projektu nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Tym razem największe kontrowersje może wzbudzać uderzenie w małych przedsiębiorców telekomunikacyjnych. Wątpliwości mogą też budzić możliwości realizacji założeń projektu.

Były przecieki, jest projekt i nowe kontrowersje

Perypetie projektu nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa to w zasadzie nie pierwszy telekomunikacyjny dokument, który sprawia obecnej władzy spore problemy. Choć procedowanej w 2019 roku tzw. Megaustawie nie szło w sumie aż tak źle, jak nowelizacji KSC.

Po pierwszych przeciekach, siódma wersja projektu pojawiła się w RCL, ale i tutaj nie obyło się bez kontrowersji. Dokumenty początkowo pojawiły się jako datowane na 2021 roku, więc można było przegapić ich publikację. To jednak mogło być przypadkowe działania, bo data została już zmieniona na 2022 rok.

Nowa wersja projektu oczywiście nie jest wolna od kontrowersji. Bo dobre pomysły są przeplatane z fatalnymi.

Czytaj też: Ogromna inwestycja w półprzewodniki w planach Chin. To kolejna taka zapowiedź

Ustawy o Krajowym Systemie Cyberbezpieczeństwa, czyli operator równy i równiejszy

Wcześniejsze wersje projektu zakładały, że operatorzy są wykluczani z postępowania dotyczącego uznania dostawcy sprzętu sieciowego za dostawcę wysokiego ryzyka. Czyli polityczna rada w postaci Kolegium ds. Cyberbezpieczeństwa uznaje w nim, że przedsiębiorca telekomunikacyjny korzysta z urządzeń lub oprogramowania stanowiącego zagrożenie dla bezpieczeństwa kraju, obronności, życia i zdrowia ludzi lub porządku publicznego. Decyzja jest wydawana na podstawie analizy m.in.:

  • zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz realizacji zobowiązań sojuszniczych i europejskich,
  • prawdopodobieństwa z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego,
  • trybu i zakresu, w jakim dostawca sprzętu lub oprogramowania sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania.

Ale również obejmuje liczbę i rodzaj wykrytych podatności i incydentów dotyczących produktów technologii informacyjno-komunikacyjnych i wydawanych certyfikatów w państwach Unii Europejskiej lub NATO. Czyli mamy tu kryteria geopolityczne przeplatane z technicznymi. Dodatkowo minister właściwy ds. informatyzacji może (ale nie musi) zlecić wykonanie analiz technicznych.

Jeśli Kolegium uzna, że dostawca sprzętu lub oprogramowania może być dostawcą wysokiego ryzyka, wszczyna postępowanie. Obecna wersja projektu zakłada, że do postępowania jako strona może dołączyć przedsiębiorca telekomunikacyjny. I to jest bardzo dobre posunięcie, bo o taką zmianę postulowano. Ale jej realizacja znowu się nie udała. Bo przedsiębiorca może dołączyć do postępowania, o ile spełni warunek osiągnięcia przychodów z działalności telekomunikacyjnej za poprzedni rok w wysokości co najmniej 100 mln zł.

Czytaj też: DVB-T2 już 28 marca. Możesz stracić dostęp do telewizji, ale nie Telewizji Polskiej

Czyli do postępowania mogą dołączyć najwięksi operatorzy, którzy będą musieli wydać najwięcej na wymianę sprzętu, jeśli jego producent zostanie uznany za dostawcę wysokiego ryzyka. Wymiany trzeba będzie dokonać w ciągu 7 lub 5 lat. Tylko czy są to operatorzy, którzy mogą stracić najwięcej?

Nowe przepisy niezmiennie mogą uderzyć w chińskich dostawców. Z usług których korzysta dużo niewielkich firm telekomunikacyjnych, głównie ze względu na stosunkowo niższą cenę sprzętu. Takie firmy zostają w tym momencie wykluczone z postępowania, a to właśnie one poniosą realnie największe straty wynikające z konieczności wymiany urządzeń i oprogramowania. Nie są to przedsiębiorstwa będące częścią wielkich, międzynarodowych korporacji, które są w stanie przeprowadzić dużą operację wymiany sprzętu i odbić ją później poprzez np. podniesienie cen. W takim przypadku nie możemy mówić o stosowaniu się do konstytucyjnej zasady równego traktowania przez prawo. Dodatkowo Prawo Telekomunikacyjne nie rozróżnia przedsiębiorców telekomunikacyjnych ze względu na przychody. W tym przypadku nowe przepisy stawiają największe firmy w uprzywilejowanej pozycji.

Wykluczenie dużej liczby małych firmy (setek, a być może i więcej) z postępowania stawia pytanie, czy w tej sytuacji powinna odbyć się kolejna tura konsultacji społecznych? Wielu przedsiębiorców na pewno chciałoby się wypowiedzieć w tej sprawie i jest to jedyny sposób, aby poznać ich stanowisko.

Czytaj też: Test Tenda CP6, czyli wewnętrznej inteligentnej kamery z interkomem

Czy obecny skład rządu jest w stanie realizować założenia projektu?

Projekt nowelizacji Ustawy o KSC nakłada szereg obowiązków na ministra właściwego ds. informatyzacji. Musi on analizować raporty dotyczące cyberbezpieczeństwa, zarządzać postępowaniami, zlecać kontrole… W zasadzie większość realizacji założeń projektu jest jego zadaniem.

Ministrem właściwym ds. informatyzacji jest minister cyfryzacji, czyli obecnie premier Mateusz Morawiecki. Który jest też aktualnie również ministrem finansów oraz rozwoju i technologii. To może dodatkowo wzbudzać obawy o to, czy ocena dostawców będzie faktycznie rzetelna, czy też będzie decyzją arbitralną, bo nikt nie będzie miał czasu na rzetelne analizy.

Już same prace nad aktualizacją Ustawy o KSC pokazują, że likwidacja Ministerstwa Cyfryzacji mogła być złą decyzją. Ustawa blokuje aukcję częstotliwości sieci 5G, która miała ruszyć prawie dwa lata temu. Ewidentnie brakuje osobnego organu, który niezależnie od aktualnych wydarzeń na świecie, czy kolejnych problemów np. z systemem podatkowym i koniecznością łatania kolejnych przepisów, mógłby na spokojnie zajmować się wyłącznie tematami związanymi z cyfryzacją. Być może to również z tego powodu kolejne zapisy w projekcie nowelizacji Ustawy o KSC rozwiązują część problemów, ale od razu dokładają też kolejne.