KIKE krytykuje nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Izba przekazała wiele uwag

W ubiegłym tygodniu zakończył się termin przekazywania uwag w ramach konsultacji publicznych w sprawie projektu nowelizacji o krajowym systemie cyberbezpieczeństwa. Pisaliśmy o tym, że zdaniem Krajowej Izba Komunikacji Ethernetowej (KIKE), zrzeszającej małych i średnich operatorów telekomunikacyjnych, poprzednie stanowisko izby praktycznie nie zostało uwzględnione w kwestiach kluczowych dla przedsiębiorców telekomunikacyjnych. „Oczywiście mowa o procedurze uznania dostawcy sprzętu i oprogramowania za stwarzające ryzyko” – usłyszeliśmy wtedy.

Z przekazanego nam stanowiska, które miało wpłynąć także do Departamentu Cyberbezpieczeństwa KPRM w ramach konsultacji wynika, że uwag jest znacznie więcej. Wybraliśmy najważniejsze z nich.

Organizacja zwraca uwagę, że w nowelizacji zawarto przepisy dotyczące Funduszu Cyberbezpieczeństwa, zasad wyznaczania i zadania Operatora strategicznej sieci bezpieczeństwa, powoływania i funkcjonowania Spółki Polskie 5G, przyznawania zasobów określonych częstotliwości oraz działania Funduszu celowego na rzecz strategicznej sieci bezpieczeństwa.

„Są to zmiany powodujące powstanie nowego organu, nowego funduszu oraz nowej spółki skarbu państwa. Tak daleko idące zmiany de facto powinny zostać poddane całemu procesowi legislacyjnemu od początku. Są to rozwiązania niekonsultowane publicznie, a mające istotne znaczenie z punktu widzenia realizacji strategicznych zadań publicznych oraz ingerujące w rozwiązania przewidziane w przepisach prawa telekomunikacyjnego, dotyczące gospodarowania częstotliwościami z zakresu 703-733 MHz oraz 758-788 MHz. Jest to zupełnie nowy projekt nowelizacji ustawy, mający regulować zupełnie inną materię niż ta konsultowana we wrześniu 2020 roku” – uważa KIKE.

Zdaniem Izby przedsiębiorcy telekomunikacyjni mają podlegać przepisom KSC w zakresie przepisów dotyczących m.in. obowiązku wycofania produktów ICT, usług ICT, procesów ICT pochodzących od dostawcy wysokiego ryzyka. To ma z kolei oznaczać nowe obowiązki dla przedsiębiorców telekomunikacyjnych oraz wiązać się z dodatkowymi kosztami, które mają nie być rekompensowane.

„KIKE dotychczas podnosiło i podtrzymuje, że nałożenie na przedsiębiorców telekomunikacyjnych obowiązku wycofania określonego sprzętu lub oprogramowania, które wcześniej było dopuszczone do eksploatacji i nieobjęte rekomendacjami pełnomocnika, nie powinno być dopuszczalne. Realizacja takiego obowiązku niewątpliwie będzie kosztowna, a dla mikro i małych przedsiębiorców może się nawet okazać niemożliwe do zrealizowania (lub oznaczać konieczność zamknięcia działalności). W ocenie KIKE obecne rozwiązanie może negatywnie wpłynąć na konkurencyjność na rynku telekomunikacyjnym” – zwrócono uwagę.

KIKE zaznacza, że w kwestii powołania spółki Polskie 5G oraz operatora strategicznej sieci bezpieczeństwa nie jest zrozumiałe, dlaczego te podmioty nie zostały wymienione jako podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa.

Zapisy dotyczące dostawcy wysokiego ryzyka pod ostrzałem

Izba już wcześniej krytykowała zapisy dotyczące dostawcy wysokiego ryzyka (podobnie jak na naszych łamach na przykład Związek Cyfrowa Polska). W przesłanych do Departamentu Cyberbezpieczeństwa uwagach, organizacja podnosi, że „kryteria oceny odnoszące się do działalności podmiotu, a nie samego sprzętu czy oprogramowania, mogą być nieprawidłowo wykorzystywane do stygmatyzowania i wykluczania z rynku przedsiębiorców z powodów politycznych, a nie związanych z bezpieczeństwem”.

„Przesłanki wykluczania określonego sprzętu lub oprogramowania (a nie dostawcy) powinny być ściśle związane z aspektami technicznymi i technologicznymi, a nie osobowymi. (...) Wymaganie od prawie każdego przedsiębiorcy telekomunikacyjnego konieczności usunięcia sprzętu lub oprogramowania będzie nadmiarowe. Co więcej, postępowanie w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka powinno dotyczyć dostawcy, który dostarcza sprzęt lub oprogramowanie o funkcjach krytycznych, a nie każdego rodzaju sprzętu, nawet takiego, który nie ma znaczenia dla ochrony bezpieczeństwa” – oceniono.

Dodano, że „niepokojący jest fakt, że pomimo dotychczasowych stanowisk wybrzmiewających jednoznacznie i krytykujących dotychczasowe założenia” nadal brane są pod uwagę kryteria świadczące o tym, że dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego.

Uwagi do operatora strategicznego i Funduszu Szerokopasmowego

Duże zastrzeżenie izby budzi także przyznanie operatorowi strategicznej sieci bezpieczeństwa (określony jako Skarb Państwa) prawa pierwokupu sieci telekomunikacyjnych, będących własnością m.in. jednostek samorządu terytorialnego.

„W ocenie KIKE nie ma obiektywnych przyczyny, dla których Operator strategicznej sieci bezpieczeństwa miałby mieć pierwszeństwo w nabyciu takich sieci. KIKE wyraża dużą obawę, czy po wprowadzeniu tego rozwiązania kolejna nowelizacja nie rozszerzy tego katalogu i nie będzie zastrzegać pierwokupu sieci będących własnością podmiotów prywatnych” – oceniono w dokumencie.

Negatywnej ocenie podlega również punkt dotyczący zasilenia Funduszu Cyberbezpieczeństwa środkami pochodzącymi z Funduszu Szerokopasmowego. 

Prezes UKE: W ustawie nie wskazano konkretnego dostawcy

W wywiadzie z serwisem CyberDefence24.pl dr inż. Jacek Oko, prezes Urzędu Komunikacji Elektronicznej, wskazał, że w ustawie literalnie nie ma wskazano konkretnej firmy, której będą dotyczyły przepisy w zakresie tzw. dostawcy wysokiego ryzyka.

„Wskazana jest procedura, jaką państwo może zastosować, korzystając z własnych doświadczeń oraz innych państw sojuszniczych. Pewne rozwiązania, takie jak brak transparentności, braki w łańcuchach dostaw, to kwestie bardzo mocno widzialne w trakcie pandemii. Ma znaczenie, skąd implementujemy rozwiązania, ale to nie oznacza, że chodzi o tę konkretnie firmę. To równie dobrze może być podmiot z Europy czy dowolna firma z Polski, która nie potrafi zapewnić odpowiedniej jakości sprzętu pod względem bezpieczeństwa” – powiedział nam prezes UKE.

Jego zdaniem firmy, które korzystają ze sprzętu Huawei (który grzmiał na łamach naszego serwisu, że przepisy uderzają wprost w ich rozwiązania), gdyby musiały wycofać go z obiegu – po decyzji Kolegium ds. cyberbezpieczeństwa – mają odpowiedni czas na dokonanie tej operacji.

„Pamiętajmy o tym, że to nie jedyna ustawa, w której wskazano dostawcę wysokiego ryzyka. Gremium specjalistów bezpieczeństwa wskazuje, w jakim czasie dostawca powinien być usunięty z sieci. Dzieje się to na podstawie analiz ryzyka. Istnieje procedura odwoławcza, mamy tryb administracyjny. To nie jest jednorazowa >>uznaniowość<<. Już dzisiaj obowiązkiem operatorów jest przeprowadzanie analiz ryzyka. Trzeba zastanowić się nad tym, jak budować łańcuchy dostaw, podpisywać umowy, w jakich miejscach stawiać sprzęt i kalkulować ryzyko. Rozwiązań jest wiele, najdalej poszła Szwecja i Wielka Brytania, jednak zbudowanie przejrzystego sposobu procedowania tej oceny, to jest rozwiązanie tego problemu” – usłyszeliśmy.

Czytaj także: #CyberMagazyn: Dostawcy a nowelizacja ustawy o KSC. „Celem jest bezpieczeństwo kraju, nie interes firm”

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.