„To ewidentna dyskryminacja, naruszającą międzynarodowe umowy handlowe i regulacje dotyczące swobody prowadzenia działalności gospodarczej, skopiowana z poprzedniej wersji ustawy” – komentuje dla CyberDefence24.pl nowelizację ustawy o KSC Ryszard Hordyński, dyrektor ds. strategii i komunikacji w Huawei Polska.
Nowe przepisy zakładają, że minister właściwy ds. informatyzacji będzie odpowiedzialny za przeprowadzenie postępowania dotyczącego uznania określonego dostawcy sprzętu lub oprogramowania za „dostawcę wysokiego ryzyka”. Ma się to odbywać w imię „ochrony ważnego interesu państwowego”. Wszczęcie postępowania uruchamiane jest z urzędu lub na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa.
Minister właściwy do spraw informatyzacji, w drodze decyzji, uznaje dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi.
Objęcie danej firmy lub rozwiązania kategorią „wysokiego ryzyka” odbywać się będzie na podstawie decyzji, która ma zawierać „w szczególności wskazanie typów produktów ICT, rodzajów usług ICT i konkretnych procesów ICT”, uwzględnionych w prowadzonym postępowaniu. Podlega ona natychmiastowemu wykonaniu i nie przysługuje od niej wniosek o ponowne rozpatrzenie sprawy. Decyzję można będzie zaskarżyć do sądu administracyjnego, który rozpatrzy sprawę na posiedzeniu niejawnym.
„Nie zaszły żadne istotne zmiany”
Jak do przedstawionych przepisów odnosi się Huawei, którego - tajemnicą poliszynela jest - przepisy mogą bezpośrednio dotyczyć? Ryszard Hordyński, dyrektor ds. strategii i komunikacji w Huawei Polska, podkreśla na łamach CyberDefence24.pl, że nowelizacja ustawy o KSC jest "bez wątpienia potrzebna i zasadna". Wynika to z konieczności stworzenia norm i jasnych kryteriów, które zabezpieczałyby kluczowe obszary działalności państwa i obywateli.
Jednak odnosząc się do konkretnych artykułów dotyczących dostawców wysokiego ryzyka, przedstawiciel chińskiego giganta wskazuje: „W zaprezentowanej ostatnio formie, mimo rozbudowania niektórych aspektów definiowania dostawcy wysokiego ryzyka, w praktyce nie zaszły żadne istotne zmiany w stosunku do poprzedniej wersji dokumentu”. Z perspektywy koncernu jest to „deprymujące” i „zupełnie niezrozumiałe”. W związku z tym firma podtrzymuje wszystkie swoje uwagi, które zaprezentowała na poprzednich etapach.
Ochrona cyberprzestrzeni jest pochodną przestrzegania wymogów technicznych i przepisów prawnych, a nie uznaniowych kryteriów politycznych, które proponuje ustawodawca. Dlatego zaprezentowane w obecnej formie przepisy nie mają nic wspólnego z podniesieniem poziomu cyberbezpieczeństwa.
Dyskryminacja Huawei?
Przedstawiciel Huawei Polska podkreśla, że utrzymanie przepisów w takiej formie nadal budzi poważne wątpliwości. „Utrzymany został uznaniowy charakter doboru dostawców. Co więcej, ustawa wskazuje na konieczność weryfikowania dostawców, ale nie mówi, jak certyfikować i jakich narzędzi należy użyć. Dodatkowo, ustawa skupia się na dostawcy, a nie na jego poszczególnych produktach, jak ma to miejsce w regulacjach przyjętych przez liczne kraje UE, m.in. Niemcy i Finlandię” – argumentuje Ryszard Hordyński na łamach naszego portalu.
Jak twierdzi dyrektor, ujawniona treść nowelizacji ustawy o KSC jest dyskryminująca wobec Huawei, ponieważ – jak tłumaczy – „mimo że nie pada w niej nazwa firmy, nieobiektywne i nietransparentne kryteria skonstruowano tak, by tylko jeden spośród 3 dostawców sieci 4G i 5G w Polsce mógł wpaść do sita analiz”.
To ewidentna dyskryminacja, naruszająca międzynarodowe umowy handlowe i regulacje dotyczące swobody prowadzenia działalności gospodarczej, skopiowana z poprzedniej wersji ustawy. A było sporo czasu, by zmodyfikować te zapisy w taki sposób, aby spełniały międzynarodowe standardy tworzenia prawa.
Ryzyko upolitycznienia procesu
Przepisy nowelizacji (m.in. art. 61a ust 1) wskazują, że w imię „ochrony ważnego interesu państwowego” minister właściwy ds. informatyzacji będzie odpowiedzialny za proces uznania danego dostawcy za „dostawcę wysokiego ryzyka”. To miałoby rodzić pytanie dotyczące ryzyka upolitycznienia całego postępowania, które może przełożyć się na sytuację na rynku.
Zdaniem Ryszarda Hordyńskiego wspomniane upolitycznienie nie jest ryzykiem, lecz faktem: „Cały proces i kryteria są stricte polityczne”. Jak tłumaczy, brakuje także różnicowania podejścia pomiędzy obszarem operatora strategicznego, a operatorami komercyjnymi.
Jak zauważa, nowelizacja wprowadza mechanizmy, dzięki którym możliwe będzie uznanie dowolnego dostawcy za podmiot wysokiego ryzyka na bazie subiektywnych przesłanek. „Proszę zwrócić uwagę, że w Kolegium ds. Cyberbezpieczeństwa nie ma przedstawicieli branż oraz środowisk eksperckich. Przeprowadzenie analizy, przez CSIRT-y, w celu wydania opinii przez Kolegium nie jest obowiązkowe do identyfikacji dostawcy wysokiego ryzyka. Na tej podstawie nie rozwiążemy problemów z obszaru cyberbezpieczeństwa, a tylko wykażemy sympatie czy antypatie polityczne” – wskazuje dla naszego portalu dyrektor ds. strategii i komunikacji w Huawei Polska.
Jak dodaje, firma od samego początku podnosi kwestię braku jasnych kryteriów oceny dostawców, które byłyby obiektywne i oparte na mierzalnych wymogach technicznych. „Obecne zapisy pozwalają na dowolną interpretację, która jest wygodna politycznie, ale nie realizuje celu podstawowego, czyli zapewnienia maksymalnej ochrony w sferze cyberbezpieczeństwa” – podkreśla dyrektor.
Zdaniem Ryszarda Hordyńskiego, sprawy związane z bezpieczeństwem "nie mogą być pozostawione przypadkowi lub niedopowiedzeniom".
„Jednostki certyfikujące, działające chociażby w ramach Instytutu Łączności, są w stanie badać dowolne urządzenia w oparciu o międzynarodowe kryteria. Ten aspekt praktycznie nie wybrzmiewa w przepisach ustawy, choć globalnie obszar ten rozwija się dynamicznie” – zaznacza. Jak dodaje: „Mamy standardy 3GPP – wprowadzone chociażby w Finlandii czy też Austrii. Ustawodawca zdaje się ignorować dostępność takich narzędzi”.
„Zapisy pogorszą wizerunek Polski”
Przedstawiciel chińskiego koncernu zwraca uwagę na dalsze konsekwencje wprowadzenia tak skonstruowanej nowelizacji. W jego opinii przepisy w takiej formie stwarzają poczucie niepewności, a to „nie służy klimatowi gospodarczemu”. Jak wyjaśnił, chodzi o kwestię postrzegania naszego kraju jako potencjalnego miejsca lokowania inwestycji lub rozwijania działającego już biznesu, a także bycia partnerem na arenie międzynarodowej.
Projekt ustawy jest przykładem wprowadzania bezprecedensowych rozwiązań, które nie korespondują z prawem unijnym. Trudno jest wskazać reperkusje prawne tego podejścia. Jedno jest pewne, zapisy dyskryminujące pogorszą wizerunek Polski na arenie międzynarodowej, tak jak cieniem położyło się „lex anty-TVN”. Klimat inwestycyjny Polski stopniowo się ochładza.
W odniesieniu do ujawnienia przepisów nowelizacji Ryszard Hordyński na łamach naszego portalu wskazuje, że Huawei tak naprawdę nie wie, jakie są motywacje decydentów. „Pomimo szeregu prób kontaktów, nie udaje nam się doprowadzić do bezpośrednich rozmów z kluczowymi w tym temacie osobami” – mówi.
Nowelizacja to krok w stronę wykluczenia Huawei?
Czy tak skonstruowana przepisy oznaczają, że Huawei zostanie wykluczony z budowy 5G w naszym kraju? Na to pytanie przedstawiciel chińskiego giganta odpowiada: „każdy scenariusz jest możliwy, w zależności od potrzeb politycznych”.
Jego zdaniem, regulacje zawarte w nowelizacji mogą świadczyć o tym, że obecnie nie ma wśród grona tworzącego ustawę jednego głosu i optyki na te kwestie.
Ryszard Hordyński zarzuca ustawodawcom, że po raz kolejny nie brali pod uwagę postulatów zgłaszanych podczas konsultacji przez przedsiębiorców, co pokazuje opublikowany kształt nowelizacji. A to właśnie na firmy regulacje będą najbardziej oddziaływać
„Ustawodawca forsuje rozwiązanie, z którym nie zgadza się wiele, a nawet większość podmiotów. Tym samym - w obecnym kształcie - ustawa będzie powodować wiele niejasności i z pewnością doprowadzi do sporów lub utrudnień chociażby w odniesieniu do aukcji częstotliwości 5G. Ta propozycja będzie destabilizować rynek, wprowadzać niepewność, ograniczać konkurencję i podnosić koszty” – argumentuje dla naszego portalu.
Konieczność wymiany sprzętu
Zgodnie z nowelizacją, podmioty KSC są zobowiązane do niewprowadzania do użytku rozwiązań i sprzętu dostarczanego przez dostawcę wysokiego ryzyka, a także wycofania tego typu produktów nie później niż 7 lat od dnia ogłoszenia stosownej tej sprawie decyzji. W przypadku dużych przedsiębiorców okres ten wynosi 5 lat, jeśli urządzenia stanowiące ryzyko znajdują się w zakresie funkcji krytycznych.
W tym miejscu warto jednak podkreślić, że wycofane zostaną jedynie te rozwiązania, które zostaną wskazane w decyzji ministra właściwego ds. informatyzacji, a więc nie wszystkie produkty, usługi i procesy ICT oferowane przez danego dostawcę.
Przypomnijmy, że budowa sieci 5G w naszym kraju będzie opierała się na obecnej infrastrukturze 4G. Ma to bardzo istotne znaczenie w kontekście udostępnionych przepisów nowelizacji.
„Konieczność wymiany sprzętu producenta, który zostałby uznany za dostawcę wysokiego ryzyka oznacza, że operator będzie musiał w pierwszej kolejności zmodernizować sieć 4G a potem tworzyć na tej podstawie 5G” – tłumaczy Ryszard Hordyński z Huawei Polska. „Koszty byłyby dotkliwe dla głównych graczy rynku telekomunikacyjnego, a dla mniejszych firm mogą okazać się zabójcze. Spadnie konkurencyjność usług. Przykro o tym mówić” – zaznacza przedstawiciel chińskiego giganta na łamach naszego portalu.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
Czytaj też: #CyberMagazyn: Polacy narodem anty-5G?