Ustawa o Krajowym Systemie Cyberbezpieczeństwa obowiązuje już od 2018 r. Teraz jednak rządzący pracują nad jej nowelizacją, a niektóre z projektowanych przepisów wywołują spore kontrowersje. Największe dotyczą kwestii dostawców „wysokiego ryzyka”. Może się bowiem okazać, że jeden z nich zostanie całkowicie wyrugowany z rynku, co obciąży dodatkowymi kosztami operatorów jak i – niemal na pewno – konsumentów. Dodatkowo może to też opóźnić wdrożenie sieci 5G.
Nowelizacja ustawy o KSC. Wciąż jest wiele kwestii budzących powszechny sprzeciw
Nad projektem nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa rządzący pracują już od jakiegoś czasu. Jak sami tłumaczą, wiele zmian jest wymuszonych przez powstający na poziomie unijnym Kodeks Usług Cyfrowych. I o ile nie ma wątpliwości, że pewne kwestie faktycznie wymagają doprecyzowania i uregulowania przepisami, o tyle niektóre z nich budzą duże wątpliwości. Wśród nich jest m.in. kwestia przepisów dotyczących dostawców infrastruktury i oprogramowania dla nowego standardu telekomunikacyjnego, jakim jest 5G. Kontrowersje wywołują m.in. kryteria oceny, uznawane przez wielu specjalistów za zbyt polityczne.
Jak zatem ma przebiegać ocena dostawcy? Po pierwsze – w przypadku każdego z nich ma zostać określony „stopień ryzyka”, jaki wiąże się z korzystaniem z jego usług. Może to być ryzyko niskie, umiarkowane lub wysokie. Jako dostawcy „wysokiego ryzyka” mają zostać zakwalifikowane firmy, które zostaną uznane za poważne zagrożenie dla krajowego systemu cyberbezpieczeństwa. A co za tym idzie – kontrakty z takim dostawcą zostaną rozwiązane, a inne podmioty, które korzystają np. z jego infrastruktury, będą musiały się jej pozbyć.
Hipokryzja rządzących: my możemy oceniać innych, oni nas – nie
Na jakiej podstawie Kolegium ds. Cyberbezpieczeństwa będzie oceniać dostawców? Jak się okazuje, pod uwagę będzie brać m.in. to, czy dostawca znajduje się (lub może znajdować się) pod wpływem państwa spoza UE lub NATO. I o ile już to kryterium jest mocno dyskusyjne, o tyle Kolegium będzie też oceniać, czy kraj dostawcy przestrzega ochrony danych osobowych lub… praw człowieka. Nie wiadomo jednak, na jakiej podstawie Kolegium ostatecznie osądzi, czy kraj dostawcy tych praw przestrzega (i o jakie konkretnie chodzi), czy też nie. To zresztą przejaw hipokryzji rządzących. Przedstawiciele obozu władzy regularnie udzielają w mediach wypowiedzi z których wynika, że inne państwa (a przede wszystkim: cała UE) nie mają prawa oceniać np. tego, czy w Polsce przestrzegana jest praworządność lub czy respektowane są prawa osób LGBT. Jak widać, wcale nie przeszkadza im to jednak w ustalaniu własnych standardów, które dodatkowo mają wpływ na kształt rynku telekomunikacyjnego.
Należy też podkreślić, że dostawca w ogóle nie brałby udziału w procedurze oceny, a o jej wyniku dowiedziałby się… z komunikatu w Monitorze Polskim. Dodatkowo przebieg procedury nie byłby poddawany kontroli sądowej. Na te dwie kwestie zwracają uwagę Pracodawcy RP.
Nowelizacja ustawy o KSC jeszcze nie została uchwalona, a już wiadomo, który dostawca zostałby prawdopodobnie zakwalifikowany jako dostawca „wysokiego ryzyka”
Nie można się oprzeć wrażeniu, że już teraz można wytypować, który dostawca zostałby wyrugowany z rynku. Chodzi oczywiście o chińskiego Huawei. Być może ze strony obecnej ekipy rządzącej to ukłon w kierunku Amerykanów (nie pierwszy i zapewne nie ostatni), którzy mają zatarg z chińską firmą. Rządzący bronią się wprawdzie, że projektowane przepisy wymusza Unia Europejska. Problem polega jednak na tym, że o ile państwa faktycznie muszą dostosować krajowe przepisy do zasad przyjętych przez UE, to wygląda na to, że tylko Polska wprowadza tak restrykcyjne regulacje. Do tej pory najbardziej surowe przepisy zaproponowała Wielka Brytania (znajdująca się już poza UE), a i tam potencjalne wykluczenie dostawcy z rynku zajmie siedem lat (podczas gdy w Polsce podmioty korzystające z infrastruktury lub oprogramowania dostawcy „wysokiego ryzyka” muszą z tego zrezygnować w ciągu pięciu lat). Uwagę zwraca też to, że w innych państwach konsultacje dotyczące zmiany przepisów w tym zakresie trwały znacznie dłużej. W Polsce początkowo miały trwać zaledwie 14 dni. Po licznych protestach wydłużono je o kolejne kilkanaście, jednak wciąż to za mało.
A przecież wystarczyłoby, żeby zamiast praw człowieka czy wpływów spoza UE czy NATO Kolegium postawiło na certyfikację i stałą kontrolę techniczną. Dzięki temu można byłoby faktycznie wykryć realne nieprawidłowości i w rzeczywisty sposób zapewnić cyberbezpieczeństwo państwa.
Nie wiadomo też zresztą, czy projektowane regulacje w ogóle były zgodne z unijnym prawem. Zwracają na to uwagę eksperci z Instytutu Staszica. Ich zdaniem nowelizacja ustawy o KSC w obecnym kształcie mogłaby być niezgodna z traktatami międzynarodowymi i unijnym porządkiem prawnym (chodzi m.in. o zasadę niedyskryminacji i ograniczeń swobody przedsiębiorczości czy dyrektywę o konkurencji i zasadzie swobodnego przepływu towarów).
Skutki odczują nie tylko operatorzy, ale prawdopodobnie też konsumenci
Nowelizacja ustawy o KSC w obecnym kształcie – i prawdopodobieństwo wykluczenia Huawei z rynku – będzie brzemienne w skutkach (i to nie tylko dla samego Huawei). W pierwszej kolejności ogromne koszty ponieśliby operatorzy, którzy teraz korzystają z infrastruktury i oprogramowania tego dostawcy. Koszt? Kilka lub łącznie nawet kilkanaście miliardów złotych. Jakby tego było mało, państwo nie ma zamiaru czegokolwiek rekompensować operatorom, podczas gdy USA (które zmusza do przymusowej wymiany sprzętu Huaweia) postanowiło przynajmniej zrefundować tę operację.
Dodatkowo wykluczenie z polskiego rynku jednego z dostawców wpłynie na zmniejszenie konkurencyjności, a to przełoży się prawdopodobnie na wzrost cen (i być może, przy okazji, niższą jakość usług). Kto w takim wypadku poniesie ostateczny koszt? Oczywiście konsumenci. Dodatkowo wykluczenie Huawei prawdopodobnie przełożyłoby się też na opóźnienie wdrożenia sieci 5G, na czym ucierpieliby i zwykli konsumenci, i przedsiębiorcy, którzy chcieliby wykorzystywać korzystać z sieci telekomunikacyjnej piątej generacji.
Okazuje się zatem, że w nowelizacji ustawy o KSC kryje się prawdziwa bomba z opóźnionym zapłonem. Jeśli „wybuchnie” (czyli przepisy zostaną uchwalone w proponowanym kształcie) to skutki odczują i operatorzy, i zwykli konsumenci, a prawdopodobnie także przedsiębiorcy. Dodatkowo będzie to niebezpieczny precedens – państwo, zamiast kierować się obiektywnymi kryteriami technicznymi, może chcieć w przyszłości ograniczać swobodę przedsiębiorczości na podstawie własnego „widzimisię”. A to już poważne zagrożenie.
Jak projekt nowelizacji komentuje Rzecznik MŚP i KIKE?
Do proponowanych zmian sceptycznie podchodzą również m.in. Rzecznik MŚP i Krajowa Izba Komunikacji Ethernetowej.
– Rzecznik MŚP sceptycznie ocenia przepisy, które nakładają nowe obowiązki dla firm, zwłaszcza firm z sektora MŚP. Postulujemy, żeby liczba obowiązków sprawozdawczych dla najmniejszych firm była ograniczona do absolutnego minimum – komentuje dla nas Kamil Rybikowski, Radca Rzecznika Małych i Średnich Przedsiębiorców. – Dlatego też z przepisów tych wyłączony powinien być sektor MŚP. Nowe kompetencje Kolegium ds. cyberbezpieczeństwa budzą wątpliwości co do zasady proporcjonalności. Przesłanki jakimi kierować się ma kolegium powinny zostać lepiej dookreślone, gdyż przy ich obecnym brzmieniu przepisów istnieje obawa powstania arbitralnych decyzji, które zdecydują czy sprzęt lub oprogramowanie będzie mogło być użytkowane na terenie Polski czy nie – komentuje.
– Należy także podkreślić, że uzasadnienie ustawy nie zawiera skutków regulacji na sektor MŚP, mimo iż projekt oddziałuje na około 6 tysięcy sektora MŚP z branży telekomunikacyjnej. Jest to złamanie przepisów ustawy prawo przedsiębiorców, która nakłada obowiązek wykazania takich skutków na projektodawcę. Liczymy na konstruktywny dialog z branżą na dalszym etapie prac nad projektem, w celu poprawienia w projekcie powstałych wątpliwości – podsumowuje radca.
Komentarz uzyskaliśmy także od radcy prawnego Łukasza Bazańskiego, członka GRAP KIKE, czyli Grupy Roboczej ds. Kontaktów z Administracją Publiczną KIKE:
– Generalnie największe obawy (przyp. red. – KIKE) dotyczą wskazania w projekcie ustawy nieostrych kryteriów, na podstawie których specjalny organ kolegialny – Kolegium ds. Cyberbezpieczeństwa może uznać dostawcę sprzętu/oprogramowania za zagrażającego bezpieczeństwu Państwa, w efekcie czego doprowadzi to nie tylko do wyeliminowania tego dostawcy (wskazanego przez Kolegium „z imienia i nazwiska”) z rynku, ale także zmusi to operatorów zrzeszonych w Izbie do zaprzestania wykorzystywania sprzętu tego podmiotu w ich działalności i wycofania go z rynku w ciągu 5 lat. Skutki tego mogą być opłakane dla ISP, bo jak wynika z badania, 100% z nich korzysta z dostawców spoza UE/NATO. Tajemnicą poliszynela jest, że chodzi oczywiście o technologię 5G i o producenta Huawei, ale jak pokazują ostatnie komunikaty, może się okazać, że nie tylko. Przykładem jest ostatnia decyzja szwedzkiego regulatora (odpowiednika polskiego UKE), który wprost zakazał operatorom budującym sieci 5G korzystania ze sprzętu Huawei i ZTE (ten drugi producent jest także szeroko wykorzystywany przez ISP w ich działalności) – komentuje.
– Stąd ogromna obawa członków Izby, że wadliwe procedury w projekcie ustawy i arbitralne (praktycznie niezaskarżalne) decyzje Kolegium doprowadzą do bardzo negatywnych, finansowych skutków dla ISP: z jednej strony ISP zmuszeni będą wycofać używany już sprzęt, który w ponad 80% stanowi sprzęt producentów spoza UE, a z drugiej strony – wyeliminowanie konkurencji decyzjami w istocie politycznymi doprowadzi w pierwszym kroku do wzrostu cen za sprzęt wykorzystywany do budowy sieci (nie tylko 5G, ale i światłowodowych), w drugim kroku – musi doprowadzić do wzrostu cen za usługi telekomunikacyjne, a to dotknie już każdego z nas – podsumowuje radca.
Co zrobią rządzący?
Krytyczne głosy słychać zresztą z wielu środowisk – i dotyczą one właśnie głównie kryteriów oceny dostawców i skutków finansowych, jakie może spowodować wejście projektu w życie. Na ten moment nie wiadomo jednak, czy rządzący postanowią dokonać zmian w kontrowersyjnym projekcie. Jeśli tego nie zrobią – skutki odczujemy prawdopodobnie wszyscy.