Kośla: trwają konsultacje z KE ws. zmian w krajowym systemie cyberbezpieczeństwa

Jak mówił Kośla, projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa jest na ostatnim etapie rządowego procesu legislacyjnego i jeszcze w tym miesiącu powinien zostać przyjęty przez rząd i przekazany do parlamentu.

„Ze względu na narzucone przez KE tempo prac na poziomie europejskim nad podniesieniem poziomu cyberbezpieczeństwa sieci 5G nie przewidujemy kolejnej rundy szerokich konsultacji projektu. Pracujemy jeszcze tylko nad poprawą przejrzystości nowych przepisów dotyczących operatora sieci komunikacji strategicznej, żeby one nie budziły wątpliwości co do charakteru i znaczenia tego operatora dla zapewnienia ciągłości usług telekomunikacyjnych w sytuacjach kryzysowych” - powiedział. Jak poinformował, projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (ksc) zostanie notyfikowany w Komisji Europejskiej w wersji przyjętej przez rząd.

Podczas konsultacji projektu w niektórych uwagach podnoszono, że nowe przepisy mogą naruszać prawo unijne - zwłaszcza te związane z uznawaniem dostawców urządzeń i oprogramowania za dostawców wysokiego ryzyka oraz ograniczające stosowanie dostarczanych przez nich typów produktów, rodzajów usług i konkretnych procesów do świadczenia usług kluczowych, utrzymania infrastruktury krytycznej i budowy nowych sieci 5G.

Kośla nie zgadza się jednak z tą opinią ani nie przewiduje trudności w zaakceptowaniu polskich rozwiązań przez Komisję Europejską.

„Konsultacje w ramach Grupy Współpracy Dyrektywy NIS i rozmowy z KE są prowadzone cały czas w związku z uzgadnianiem mechanizmów przedstawionych w unijnym zestawie narzędzi prawnych 5G Toolbox. Państwa członkowskie uzgodniły w 5G Toolbox mechanizm uznawania dostawców za dostawców wysokiego ryzyka (High Risk Vendors) i ograniczane stosowania ich produktów w europejskich sieciach 5G” - powiedział Kośla.

5G Toolbox to unijny dokument określający zestaw środków strategicznych, technicznych i wspierających ograniczających ryzyka w obszarze cyberbezpieczeństwa sieci 5G.

Według przedstawiciela KPRM, KE prowadzi ciągły proces przeglądu stanu wdrażania przez państwa członkowskie środków z unijnego 5G Toolbox. „Państwa członkowskie przekazują informacje o postępie implementacji poszczególnych środków w kwestionariuszu opracowanym przez KE. Polska zaprezentowała na spotkaniu roboczym z KE projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa zawierającej kryteria uznawania dostawców sprzętu i oprogramowania. Zostaliśmy ponadto poproszeni przez Komisję o zaprezentowanie jej innym państwom członkowskim, bo kryteria techniczne i pozatechniczne zostały uznane za ciekawe do rozważenia w ramach harmonizacji wymagań na poziomie europejskim. Oczywiście robocza prezentacja projektu przepisów nie oznacza formalnej notyfikacji KE – do tego niezbędne będzie przedstawienie projektu przyjętego przez Radę Ministrów” - powiedział.

W jego ocenie Komisja Europejska nie powinna mieć zastrzeżeń do polskiego podejścia, gdyż „zastosowane przez Polskę kryteria są obiektywne i transparentne, a także nie mają charakteru wykluczającego i dyskryminującego konkretne firmy i konkretne państwa pochodzenia tych firm”.

„Wymagania zapewnienia bezpieczeństwa narodowego przy budowie i eksploatacji sieci 5G, sieci które przecież będą kręgosłupem technologicznym państwa i jego nowoczesnej gospodarki, nie pozostaną bez wpływu na swobodę działalności gospodarczej, gdyż każde państwo ma prawo do definiowania kryteriów wyboru i stosowania komponentów, które są wykorzystywane do budowy infrastruktury krytycznej. To nie przypadek, że w ramach UE nie przyjęto jednolitych unijnych zasad uznawania dostawców za dostawców wysokiego ryzyka. Większość państw członkowskich argumentowała, że ze względu na znaczenie cyberbezpieczeństwa sieci 5G będzie wprowadzała własne regulacje uwzględniające priorytety bezpieczeństwa narodowego” - powiedział Kośla.

Na model eliminujący określonych dostawców z góry zdecydowała się Szwecja i był on przedmiotem postępowania sądowego w tym państwie. Podobnie we Francji, Rada Konstytucyjna odrzuciła pozew złożony przez 2 z 4 operatorów krajowych kwestionujących ograniczanie ich swobody w wyborze dostawców komponentów do budowy sieci 5G. Z kolei polski model można porównać do rozwiązań niemieckich, gdzie wskazano kategorie funkcji krytycznych dla bezpieczeństwa sieci i usług, które są brane pod uwagę przez regulatora niemieckiego pod kątem bezpieczeństwa sieci 5G. Równolegle do zmian w katalogu środków bezpieczeństwa dla sektora telekomunikacyjnego przygotowano zmiany w przepisach ustawy o bezpieczeństwie teleinformatycznym. „Jest w niej element mówiący o tym, że właściwe ministerstwa Republiki Federalnej Niemiec będą prowadziły proces weryfikacji, czy dany dostawca gwarantuje spełnienie wymagań bezpieczeństwa. Przepisy niemieckie nie odnoszą się więc jedynie do kryteriów technicznych. Podobne przepisy przygotowała Finlandia, trwają też prace w Estonii. Jesteśmy w grupie państw, które przygotowały transparentne przepisy odnoszące się do kryteriów technicznych i pozatechnicznych” - podkreślił.