Nadchodząca nowelizacja ustawy o KSC, czyli krajowym systemie bezpieczeństwa, jest dalece kontrowersyjna. Może to być w istocie krok ku wyeliminowaniu Huaweia z rodzimego rynku 5G. A to przeczy polityce dobrych stosunków z Chinami, a także prawu międzynarodowemu.
Nowelizacja ustawy o KSC a Huawei
Ustawa o krajowym systemie cyberbezpieczeństwa z 2018 roku określa pewne fundamenty funkcjonowania krajowego rynku cyfrowego. Ten akt prawny w art. 3 określa, że:
Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów.
W zakres tego systemu wchodzi szereg podmiotów, także komercyjnych, gdzie mowa jest na przykład operatorach usług cyfrowych czy też dostawcach usług kluczowych. Ustawa w pierwotnym brzmieniu jest wprawdzie przełomowa, ale – jako całość – ma charakter zrębowy i przede wszystkim powstała w związku z koniecznością implementacji prawa unijnego. Dlatego też rzeczywistość wymusiła na rządzących wprowadzenie szeregu zmian, tak, aby ustawa o KSC odnosiła się do jak największego spektrum szeroko pojętego rynku cyfrowego i była faktycznie funkcjonalna.
Nowelizacja, jako kompleksowa i wielopłaszczyznowa, ma więc dotyczyć wielu sfer. Między innymi włącza do krajowego systemu cyberbezpieczeństwa podmioty rynku telekomunikacyjnego. Zmian jest oczywiście więcej, a rozszerzenie zarówno podmiotowego, jak i przedmiotowego zakresu ustawy, ma charakter wieloaspektowy.
Mimo wszystko, przyglądając się temu, jak faktycznie mogłyby funkcjonować nowe przepisy, trzeba jednak stwierdzić, że nowelizacja ma wymiar przede wszystkim geopolityczny. Oczywiście są tam pewne technikalia, ale – wydaje się – służące w znacznej mierze polityce. A przynajmniej w zakresie instytucji uznawania niektórych podmiotów za „zagrożenia”.
Urzędnik zadecyduje, kto zostanie dopuszczony do rynku?
Nowelizacja zakłada dodanie po aktualnym art. 66 ustawy o KSC, art. 66a-66d, które regulować będą
postępowanie w sprawie uznania za dostawcę wysokiego ryzyka dostawcy sprzętu lub oprogramowania
Z czego chodzi o sprzęt o oprogramowanie wykorzystywane m.in. przed podmioty krajowego systemu cyberbezpieczeństwa, przedsiębiorców telekomunikacyjnych, właścicieli infrastruktury krytycznej czy też przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym.
W zakresie powyższej procedury, o ile przepisy nie stanowiłyby inaczej, stosowano by Kodeks postępowania administracyjnego.
Zgodnie z proponowanym art. 66a ust. 11
Minister właściwy do spraw informatyzacji, w drodze decyzji, uznaje dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi.
Ponadto ze względu na obronność lub bezpieczeństwo można by zrezygnować z uzasadnienia decyzji, zaś samo rozstrzygnięcie miałoby z automatu rygor natychmiastowej wykonalności. Uznanie dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka miałoby trzy zasadnicze skutki:
- zakaz wprowadzania do użytkowania typów produktów ICT, rodzajów usług ICT i konkretnych procesów ICT w zakresie objętym decyzją, dostarczanych przez dostawcę wysokiego ryzyka;
- wycofanie z użytkowania typów produktów ICT, rodzajów usług ICT i konkretnych procesów ICT w zakresie objętym decyzją, dostarczanych przez dostawcę wysokiego ryzyka nie później niż 7 lat od dnia opublikowania informacji o decyzji […]
- zakaz dokonywania zamówień sprzętu, oprogramowania i usług określonych w decyzji (w pewnym zakresie, choć de facto jest to wyłączenie tych podmiotów z rynku).
Trudno nie oprzeć się wrażeniu, że proponowane prawo w takiej postaci ma wymiar mocno polityczny.
Huawei może mieć problem
Decyzja wydana w trybie proponowanego art. 66a ust. 11 byłaby dalece uznaniowa. Zwracam uwagę na fakt, że problematyka „poważnego zagrożenia dla bezpieczeństwa narodowego”, co swoją drogą stanowi pojęcie nieostre i możliwe do interpretowania w dowolny sposób, odnosi się nie do konkretnych rozwiązań technicznych, a do samego dostawcy. Co więcej, mówi się, że kryteria oceny byłyby zależne m.in. od bytności państwa dostawcy w NATO, czy też siły oddziaływania władz centralnych na podmioty gospodarcze.
Pozwala to na zastosowanie w zasadzie kryteriów politycznych, a nie technicznych. Przyglądając się potencjalnym regulacjom, można odnieść wrażenie, że minister chce mieć możliwość arbitralnego eliminowania z rynku telekomunikacyjnego tych podmiotów, które – w jego ocenie – jawią się jako zagrażające bezpieczeństwu narodowemu, abstrahując w zasadzie w zupełności od aspektów technicznych i faktycznego zagrożenia.
Warto w tym miejscu wskazać, że odnoszenie się do kryteriów technicznych, a nie politycznych, jest powszechnie przyjętą na świecie praktyką. Tak m.in. stanowi prawo niemieckie, ale nie tylko. Trudno, widząc powyższe, traktować nowelizację inaczej, niż swego rodzaju „sztukę dla sztuki”. Jeżeli w tak kluczowych kwestiach, w których mowa jest o bezpieczeństwie, pojawiają się kryteria polityczne, to trudno mówić o nowelizacji przemyślanej. A tym bardziej trudno mówić o faktycznym zwiększeniu poziomu bezpieczeństwa.
Gwarancje procesowe
Oczywiście, fakt stosowania k.p.a. daje pewne gwarancje natury proceduralnej, ale przepis jest jasny – minister ocenia samego dostawcę (i to w oparciu o kryteria ogólne, możliwe do dowolnego zinterpretowania). Co więcej, fakt, iż decyzję wydaje minister, oznacza, że nie jest możliwe typowe odwołanie się strony od decyzji. Dostawcy przysługuje jedynie wniosek o ponowne rozpatrzenie sprawy – przez tego samego ministra, który wydał zaskarżoną decyzję.
Ryszard Hordyński, dyrektor ds. strategii i komunikacji w Huawei Polska, tak komentuje powyższą problematykę na łamach „CyberSecurity24.pl”:
Ochrona cyberprzestrzeni jest pochodną przestrzegania wymogów technicznych i przepisów prawnych, a nie uznaniowych kryteriów politycznych, które proponuje ustawodawca. Dlatego zaprezentowane w obecnej formie przepisy nie mają nic wspólnego z podniesieniem poziomu cyberbezpieczeństwa.
Czy chodzi zatem o wyeliminowanie Huaweia z rodzimego rynku telekomunikacyjnego, w tym 5G?
Czy nowelizacja ustawy o KSC, to tak naprawdę lex Huawei?
W mojej ocenie, co także zauważa Huawei, wszystko zależałoby od arbitralnej decyzji przedstawiciela rządu. Scenariusz nie jest więc niemożliwy, a nawet przez proponowane prawo dopuszczalny, skutkiem czego – po prostu – prawdopodobny.
Tego rodzaj regulacje nie świadczą dobrze o Polsce w kontekście potencjału inwestycyjnego. Można je porównać z proponowanym projektem lex TVN, który wprawdzie wprost o konkretnej telewizji nie wspominał, ale zawierał nieprawdopodobnie idealnie skrojone rozwiązania prawne, by móc konkretnemu podmiotowi utrudnić funkcjonowanie na rodzimym rynku.
Warto też pamiętać, że jeśli powyższe byłoby prawdą, to stanowiłoby działania sprzeczne z głoszoną polityką zacieśnienia współpracy z ChRL. Co więcej, cały czas obowiązuje umowa międzynarodowa z Chinami w przedmiocie współpracy gospodarczej. Zgodnie z jej treścią oba kraje zobowiązały się do sprzyjania rozwojowi wzajemnie korzystnej współpracy gospodarczej na różnych płaszczyznach.
Co więcej, Minister Rau w styczniu 2021 roku w rozmowie telefonicznej z Wangiem Li, ministrem spraw zagranicznych ChRL, wskazywał, że wyraża nadzieję na:
postępującą liberalizację dostępu polskich produktów i usług do chińskiego rynku oraz na otwarcie nowego rozdziału we współpracy ekonomicznej, obejmującej również sektor finansowy oraz technologiczny
Z kolei Wang Yi wskazał, iż Chiny
[…] mają nadzieję, że Polska może zaoferować uczciwe, otwarte i niedyskryminacyjne środowisko biznesowe dla chińskich przedsiębiorstw inwestujących i działających w Polsce.
Proponowane przepisy w obecnej formie są niestety istnym zaprzeczeniem powyższego.