Chiński sprzęt zniknie z polskiej infrastruktury? Deklaracja Gawkowskiego

Na nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) branża czeka już kilka lat. 8 października br. zaprezentowano jej już – uwaga – 18. wersję. Podczas konferencji prasowej wskazano, że do końca roku regulacja ma zostać przyjęta przez rząd i skierowana do parlamentu. Ten z w przyszłym roku - według planu - powinien uchwalić nowelę. 

Problem w tym, że nowelizacja KSC ma wdrażać przepisy wynikające z unijnej dyrektywy NIS2, a czas na jej implementację przez państwa członkowskie minął. Nastąpiło to dokładnie 17 października br.

Ponad 1,5 tys. uwag do projektu

W trakcie konsultacji do treści noweli zgłoszono 215 stanowisk i łącznie 1567 uwag. Ministerstwo Cyfryzacji przekazało na konferencji, że ok. 70 proc. z nich zostało uwzględnionych w najnowszej 18. wersji projektu. 

O najważniejszych zmianach pisaliśmy w tym materiale: 18. wersja nowelizacji KSC. Polska nie wyrobi się z implementacją NIS2?

Sprawa chińska w Polsce

Uwagę zwraca temat dostawcy wysokiego ryzyka. Tak kojarzone są m.in. chińskie firmy, których rozwiązania są obecnie wykorzystywane nie tylko w administracji, ale również Wojsku Polskim oraz szeroko rozumianej infrastrukturze krytycznej.  

Rzeczpospolita podaje, że w naszym kraju działa ponad 44,5 tys. stacji bazowych, z czego ok. 1/3 korzysta z rozwiązań Huawei. „I nie można wykluczyć, że trzeba będzie je wyposażyć na nowo” – pisze dziennik i wskazuje m.in. na poprawki dotyczące 5G, a konkretnie wykreślenia hasła „5G” z „opisu sprzętu, podlegającego wymianie w przypadku uznania, że jego producent jest tzw. dostawcą wysokiego ryzyka”. 

Cytowany przez „Rzepę” Piotr Kuriata, prezes Stowarzyszenia Inżynierów Telekomunikacji, stwierdził, że „po rozszerzeniu wymiany na urządzenia 3G i 4G kwota ta mogłaby wynieść od 4 do 6,5 mld zł”. 

Wycofanie ryzykownego sprzętu

W materiale „Rzepy” czytamy, że poprawkę zgłosił Związek Cyfrowa Polska. Organizacja dzień po ogłoszeniu 18. wersji nowelizacji ustawy o KSC opublikowała swoje stanowisko w tej sprawie. Podkreślono w nim, że najnowszy projekt „spotkał się z pozytywnym przyjęciem ze strony branży cyfrowej” i według Związku „zaprezentowane przepisy stanowią krok we właściwym kierunku”. 

Wśród pozytywnych opinii w stanowisku znajdziemy punkt, który wyraża „wątpliwości ekspertów”. Mowa o zapisach dotyczących czasu przewidzianego na wycofanie z użycia sprzętu dostawców wysokiego ryzyka, wykorzystywanego w ważnych dla państwa obszarach. Związek wymienił tutaj np. bazy wojskowe, instalacje militarne i budynki administracji publicznej.

W najnowszej wersji nowelizacji przewidziano na ten proces okres do 4 lat w przypadku infrastruktury krytycznej i do 7 - dla pozostałych obszarów. Dla Związku Cyfrowa Polska to za długo. Jego prezes Michał Kanownik mówi wprost o konieczności skrócenia czasu. 

„(…) konieczne jest skrócenie czasu przewidzianego na wycofanie sprzętu od dostawców wysokiego ryzyka z infrastruktury krytycznej w Polsce. (…) w najlepszym interesie bezpieczeństwa krajowego jest, aby przepisy nie pozwalały na zwłokę w wycofywaniu elementów sieci od DWR” – podkreślił w oficjalnym stanowisku. 

„Narzędzia do zapewnienia bezpieczeństwa Polakom”

Rzeczpospolita stawia pytanie, czy w przypadku nowelizacji KSC „doszło do nieczystego lobbingu?”. 

Wicepremier i minister cyfryzacji Krzysztof Gawkowski 8 października deklarował, że ustawa nie jest „oflagowana przeciwko działaniu jednego państwa”. Z kolei wiceminister cyfryzacji Paweł Olszewski dodał, że przepisy nie są wymierzone w żadną konkretną firmę i żaden konkretny kraj, „tylko są wobec podatności, które mogą wystąpić”.

Teraz wicepremier odniósł się ponownie do sprawy, wskazując za pośrednictwem mediów społecznościowych, że resort działa w sposób „najbardziej transparentny jak to tylko możliwe”. 

„Na każdym etapie Ministerstwo Cyfryzacji publikowało dokumenty, prezentowaliśmy dziennikarzom projekt i omawialiśmy zachodzące zmiany. Opublikowaliśmy tabelę z opisem 1500 poprawek, które spłynęły w toku otwartych konsultacji społecznych, wraz z informacją, kto je zgłosił oraz jaka jest ocena ministerstwa” – podkreślił przedstawiciel rządu.

Trudno wskazać bardziej transparenty sposób procedowania aktu, który ma tak istotne znaczenie dla bezpieczeństwa państwa.
Krzysztof Gawkowski, wicepremier i minister cyfryzacji

Wicepremier przekazał, że obecnie projekt znajduje się na etapie rządowych konsultacji. Jak zaznaczył, regulacja ma „kluczowe znaczenie dla bezpieczeństwa w cyberprzestrzeni, dając rządowi narzędzia do zapewnienia bezpieczeństwa Polakom”.

Obawy to efekt braku refleksji

Zdaniem Krzysztofa Gawkowskiego, regulacja budzi emocje ze względu na decyzje podejmowane przez firmy z branży. Wskazał na kwestię braku refleksji nad tym, od kogo kupowany jest sprzęt i w jaki sposób został zabezpieczony. A takie podejście miało ciągnąć się przez lata. 

W związku z tym minister cyfryzacji uważa, że część podmiotów obawia się, iż po wejściu w życie noweli będzie musiało wymienić elementy infrastruktury, gdy ich producent zostanie uznany za dostawcę wysokiego ryzyka. O tym zadecydować ma jednak sąd, a poprawka, którą wprowadzono na etapie konsultacji społecznych miała – jak to określił wicepremier – „jedynie doprecyzowujący charakter”. 

„Zależy nam na prowadzeniu przejrzystej komunikacji w pracach nad KSC. Tak jak dotychczas nie będziemy ulegali żadnemu lobbingowi w tej sprawie, bo chodzi o bezpieczeństwo Polaków” – podsumował Krzysztof Gawkowski.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].