Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa jest pospiesznie nowelizowana przez ministerstwo tak, aby przypadkiem operatorzy telekomunikacyjni czy opinia społeczna nie zdążyły przedstawić swoich zastrzeżeń.
Aktualnie nowelizacja weszła w etap konsultacji publicznych, na które ustawodawca przyznał spektakularne 14 dni. To mało czasu, biorąc pod uwagę, że prace nad zmianami w prawie o krajowym systemie cyberbezpieczeństwa odbywały się w aurze tajemnicy.
Czy to dobrze, że ustawy o tak strategicznym znaczeniu dla państwa, ale też polskich przedsiębiorców i obywateli, procedowane są w taki sposób? To zdaje się kwestia uznaniowa, zależna od stopnia zaufania wobec organów tego państwa. A to, przynajmniej w moim przypadku, nie jest duże. Rząd kilkukrotnie dowiódł, że nie jest przesadnie zainteresowany prowadzeniem suwerennej polityki. Silnie uzależniając się od relacji ze Stanami Zjednoczonymi zraża nie tylko naszych sojuszników gospodarczych z Unii Europejskiej, ale też prominentnych kontrahentów z Chin.
Czy mariaż ze Stanami Zjednoczonymi jest złym pomysłem z punktu widzenia polskiej polityki międzynarodowej? Tego nie można powiedzieć w sposób jednoznaczny, ponieważ Amerykanie są jedynym realnym – nawet jeśli jest to myślenie życzeniowe – gwarantem bezpieczeństwa naszego kraju. Ale Amerykanie są też gwarantem bezpieczeństwa Japonii, Australii czy Izraela, zaś te państwa potrafią znaleźć zauważalną granicę pomiędzy zobowiązaniami militarnymi oraz wspólnym systemem wartości, a kwestiami biznesowymi. Tylko Polakom zlewa się to w jedną całość, co Donald Trump skrzętnie wykorzystuje, a Andrzej Duda… też skrzętnie wykorzystuje, pokazując jako swoje wielkie sukcesy zdjęcia, na których składa deklaracje o dyskusyjnej opłacalności.
Krajowy System Cyberbezpieczeństwa a telekomunikacja
Proponowany projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa stawia przed faktem dokonanym firmy technologiczne, ze szczególnym uwzględnieniem operatorów telekomunikacyjnych. W przyszłości tego typu instytucje będą zarówno poddawane bieżącym analizom pod kątem cyberzagrożenia, ale też zmusi się je do współpracy w walce z potencjalnymi naruszeniami. Dotychczas za sektory o strategicznym znaczeniu dla państwa uznawano m.in. energetykę, bankowość czy transport.
Pomysł nie jest oczywiście zły, natomiast wszyscy doskonale wiemy jak wygląda jakość stanowionego aktualnie w Polsce prawa – jest tragiczna, zdarza się nawet głosować duplikaty przepisów czy normy zawierające literówki. Tymczasem koncerny technologiczno-telekomunikacyjne dostały zaledwie dwa tygodnie, by zapoznać się – i ewentualnie głośno sprzeciwiać – z szeregiem przepisów poważnie ingerujących w ich wielkie biznesy.
Ministerstwo Cyfryzacji wskazuje, że chodzi o dostosowanie przepisów do paneuropejskiego „5G Toolbox” starającego się ujednolicić unijne przepisy w zakresie łączności i cyberbezpieczeństwa właśnie. Kłóci się to jednak z równoczesnymi prawami nad znacznie bardziej istotną regulacyjnie dyrektywą NIS 2016/1148 ustanawiającą Europejski kodeks łączności elektronicznej, który powinien zostać wdrożony do polskiego porządku prawnego do 21 grudnia 2020 r. (co zresztą się dzieje i niewykluczone, że Prawo Komunikacji Elektronicznej zadebiutuje w terminie).
W zasadzie wszystko co w temacie telekomów chce wpisać do ustawy o krajowym systemie bezpieczeństwa nasz ustawodawca, można wpisać do prawa komunikacji elektronicznej, będącego rozwinięciem pomysłów od lat znanych prawu telekomunikacyjnemu. Dlaczego tak?
No i tutaj wracamy do polityki międzynarodowej
Prawdopodobnie to legislacyjne pomieszanie z poplątaniem, to nie tylko kwestia wątpliwej jakościowo procedury stanowienia prawa, ale też polityka międzynarodowa. Oto bowiem jeden z projektowanych przepisów wprost mówi, że podczas oceny ryzyka przeprowadzanej przez operatorów telekomunikacyjnych, podmioty objęte regulacjami nie wprowadzają do użytkowania sprzętu, oprogramowania i usług określonych w ocenie danego dostawcy sprzętu lub oprogramowania lub wycofują z użytkowania sprzęt, oprogramowanie i usługi określone w ocenie danego dostawcy sprzętu lub oprogramowania nie później niż 5 lat od dnia ogłoszenia komunikatu o ocenie.
Innymi słowy – Donald Trump powie, że teraz nie lubimy np. Huawei, i nagle będzie to miało zastosowanie nie tylko do amerykańskich korporacji, ale też subtelna presja cyberbezpieczeństwa pojawi się w odniesieniu do polskich przedsiębiorców.