Polityka i prawo
Organizacje przedsiębiorców krytycznie o nowelizacji KSC. Dostawcy wysokiego ryzyka do poprawki
Konfederacja Lewiatan, Związek Przedsiębiorców i Pracodawców oraz Krajowa Izba Gospodarcza przekazały swoje uwagi do nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Tym, co łączy wszystkie podmioty, jest niezadowolenie z formy konsultacji społecznych towarzyszących ustawie oraz krytyka przepisów regulujących kwestię dostawców wysokiego ryzyka.
Konfederacja Lewiatan oceniła, że termin wyznaczony na konsultacje nie był wystarczający, a sam projekt ze względu na skalę zmian wprowadzanych do ustawy o KSC powinien zostać skierowany do zaopiniowania przez Prezesa Urzędu Komunikacji Elektronicznej, Prezesa Urzędu Ochrony Konkurencji i Konsumenta, a także Prezesa Urzędu Zamówień Publicznych, później zaś, po zebraniu ich uwag, przesłany do ponownego rozpatrzenia przez Radę Dialogu Społecznego.
Zdaniem Lewiatana lepszego uwzględnienia potencjalnych skutków po stronie podmiotów zobowiązanych do wykonywania decyzji wymaga wprowadzenie procedury oceny dostawców pod kątem ryzyka dla bezpieczeństwa publicznego. Stosowanie procedury powinno być oparte na obiektywizmie i proporcjonalności, a - jak wskazała Konfederacja Lewiatan - „aktualny kształt przepisów (…) w ograniczonym zakresie spełnia te przesłanki, gdyż decyzja jest podejmowana jednoosobowo przez ministra właściwego ds. informatyzacji”.
Czytaj też: KIKE krytykuje nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Izba przekazała wiele uwag
Lewiatan: dostawcy szczególnego ryzyka do poprawki
„Z uwagi na wpływ tej decyzji na stosunki międzynarodowe z innymi państwami czy bezpieczeństwo wewnętrzne oraz skomplikowany charakter prawny, powinny uczestniczyć w jej podejmowaniu także inni ministrowie odpowiedzialni za obszary istotne z perspektywy chronionych wartości (obronność, bezpieczeństwo i porządek publiczny, zdrowie i życie ludzi) lub za obszary właściwe merytorycznie z perspektywy sektora, którego dotyczy decyzja (rozwój i technologia)” - czytamy w stanowisku Konfederacji Lewiatan przesłanym do KPRM.
W opinii Lewiatana w procesie oceny dostawców wysokiego ryzyka powinien brać również udział Prezes UOKiK, gdyż decyzja o ograniczeniu możliwości oferowania produktów lub usług przez dostawcę wskazanego jako dostawca wysokiego ryzyka może zdaniem KL wpływać na konkurencję na rynku oraz korzystanie z usług przez użytkowników.
„Warto podkreślić, że obecna wersja projektu nie przewiduje możliwości podjęcia przez dostawcę uznanego za dostawcę wysokiego ryzyka podjęcia odpowiednich i proporcjonalnych środków zaradczych wraz ze stosownym planem naprawczym” - wskazuje Lewiatan i dodaje, że dostawca taki w praktyce nie ma możliwości przeciwdziałania niekorzystnym skutkom decyzji, co w przypadku działalności gospodarczej, zdaniem KL, powinno być normą.
Lewiatan: doprecyzować procedury
Konfederacja Lewiatan w przesłanych do KPRM uwagach wniosła również o doprecyzowanie przepisów w zakresie procedury oceny o aspekty techniczne, które powinny być wyraźnie doprecyzowane pod kątem sposobu prowadzenia takiej weryfikacji. Decyzja ws. dostawcy wysokiego ryzyka powinna być wydawana jednomyślnie przez odpowiedzialnych za odpowiednie obszary ministrów oraz Prezesa UOKiK, a sama procedura powinna uwzględniać sytuację użytkowników i wpływ podejmowanych decyzji na rynek.
Lewiatan podkreśla, że wszystkie podmioty obecne na rynku powinny być traktowane równo, gdy mowa o terminie wycofaniu zasobów objętych decyzją dot. dostawców wysokiego ryzyka. Termin ten powinien wynosić zdaniem Lewiatana min. 7 lat.
Zasoby objęte decyzją dot. wycofania powinny zapewniać pełną możliwość użytkowania w okresie na ich wycofanie - ocenia KL.
Wymagania dotyczące cyberbezpieczeństwa sieci telekomunikacyjnych i infrastruktury cyfrowej dotyczące sprzętu i oprogramowania mają dotyczyć wyłącznie OSSB, nie zaś wszystkich przedsiębiorców oferujących komercyjne usługi telekomunikacyjne - czytamy w stanowisku Lewiatana.
Zdaniem Konfederacji Lewiatan, decyzja o statusie dostawcy wysokiego ryzyka powinna być wydawana na precyzyjnie określony czas, np. 2 lata.
Lewiatan: wątpliwości wokół Strategicznej Sieci Bezpieczeństwa (SSB)
Strategiczna Sieć Bezpieczeństwa określona w ustawie powinna mieć dookreślony charakter jako sieć o specjalnym podwyższonym poziomie bezpieczeństwa, uważa Lewiatan. Wątpliwości organizacji wiążą się również z zakresem użytkowników świadczonych usług, który „wydaje się wymagać ograniczenia konkretnych osób lub jednostek organizacyjnych pełniących kluczowe funkcje związane z zapewnieniem bezpieczeństwa i porządku publicznego”.
W kwestii SSB potrzeba również wykluczyć niejasności związane z potencjalnym świadczeniem usług na rzecz przedsiębiorstw - podkreśla Konfederacja Lewiatan.
Lewiatan: jaka ma być rola Spółki Polskie 5G?
Zdaniem Lewiatana powołanie Spółki Polskie 5G jako hurtowego operatora sieci w paśmie 700 MHz to model dotychczas nieznany w szerszym zakresie z rynku telekomunikacyjnego. KL domaga się uszczegółowienia oceny wpływu powołania tego podmiotu na konkurencję na rynku telekomunikacyjnym, a także analizy efektywności i spełnienia wymagań w zakresie m.in. przejrzystości proponowanego modelu dystrybucji pasma 700 MHz.
Lewiatan: uwagi do mechanizmu zastrzegania producentów
„Przewidywane w projekcie Ustawy zastrzeżenie możliwości wykorzystania produktów określonego producenta może mieć szereg bezpośrednich i pośrednich negatywnych skutków dla rodzimych podmiotów i dla gospodarki kraju, zwłaszcza jeśli przyjmiemy, że dany producent poza wyrobami gotowymi dla użytkownika końcowego dostarcza też komponenty innym producentom” - uważa Konfederacja Lewiatan.
Jak wskazano w piśmie zawierającym uwagi do nowelizacji ustawy o KSC, może okazać się, że zastrzeżony producent jest również dostawcą urządzeń lub części do urządzeń specjalistycznych, co wyeliminuje np. konkurencję na rynku zamienników i spowoduje przerwy w dostawach produktów, np. leków. „Warto zwrócić ponadto uwagę, że mechanizm oparty na zastrzeganiu producentów jest dość łatwy do ominięcia przez tychże, poprzez formalne przeniesienie produkcji na inne, odrębne prawnie podmioty np. na zasadach licencji” - dodaje Konfederacja Lewiatan.
ZPP: przepisy muszą uwzględniać Prawo przedsiębiorców i KPA
Związek Przedsiębiorców i Pracodawców (ZPP) poinformował, że zgadza się z kierunkiem proponowanych zmian i regulacji. Organizacja podkreśliła jednak, że regulowane ustawą o Krajowym Systemie Cyberbezpieczeństwa procedury nie mogą abstrahować od gwarancji i reguł obowiązujących na podstawie takich ustaw, jak Prawo przedsiębiorców czy Kodeks Postępowania Administracyjnego.
Czytaj też: Konsultacje publiczne ws. ustawy o KSC trwają. Exatel zadowolony, zgłosił drobne poprawki
„Jest to istotne tym bardziej, że przewidziane kryteria decydujące o uznaniu danego dostawcy za dostawcę wysokiego ryzyka, mają charakter oczywiście oceny i nieprecyzyjny. Niestety, przedstawiony projekt ustawy w dalszym ciągu nie realizuje w pełni wskazanego wyżej założenia” - czytamy w stanowisku organizacji.
ZPP zwraca uwagę, że od decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka nie można złożyć zażalenia, w myśl projektu nie przysługuje również możliwość złożenia wniosku o ponowne rozpatrzenie sprawy. „Sama decyzja zatem ma mieć zatem - z mocy ustawy - rygor natychmiastowej wykonalności, od którego minister właściwy ds. cyfryzacji nie będzie mógł odstąpić, oraz którego sąd administracyjny nie będzie mógł uchylić” - zaznacza organizacja.
„Wszystko to składa się na sytuację, w której regulator dążąc do osiągnięcia słusznych celów i chcąc zabezpieczyć sobie odpowiednio szerokie pole manewru, nie zapewnił niezbędnych gwarancji proceduralnych podmiotom gospodarczym będącym potencjalnymi podmiotami regulowanych postępowań” - czytamy w dokumencie zawierającym uwagi ZPP do projektu.
Według organizacji konieczna jest rewizja przepisów, która pozwoli na zagwarantowanie podstawowych praw podmiotom posiadającym interes prawny. Chodzi np. o prawo bycia wysłuchanym, czy też prawo do uzyskania uzasadnienia podjętej decyzji.
Krajowa Izba Gospodarcza: prace przebiegają zbyt szybko
Według Krajowej Izby Gospodarczej (KIG) prace legislacyjne nad nowelizacją przebiegają zbyt szybko i „nie uwzględniają konieczności przeprowadzenia rzetelnej debaty publicznej”.
Organizacja wskazała, że projekt nie został skierowany do publicznych konsultacji z wyznaczeniem odpowiedniego terminu, a vacatio legis nie pozostawia czasu na rzetelną ocenę nowych propozycji jak i przystosowanie się do nowego stanu prawnego.
KIG: dostawcy wysokiego ryzyka do poprawki
KIG zwraca uwagę, że przygotowany projekt nowelizacji nie zawiera zaktualizowanej oceny skutków regulacji w zakresie oddziaływania wytycznych o dostawcach wysokiego ryzyka na rynek, relacje handlowe między przedsiębiorcami telekomunikacyjnymi, podmiotami krajowego systemu cyberbezpiczeństwa i innych graczy.
„Przyglądając się prowadzonym pracom legislacyjnym można odnieść wrażenie, że rząd za wszelką cenę próbuje wprowadzić narzędzia eliminowania dostawców w drodze natychmiast wykonalnych i przyspieszonych procedur, w celu osiągnięcia celów geopolitycznych, bez dokonania analizy skutków takich decyzji” - czytamy w stanowisku KIG przesłanym do KPRM.
KIG: przedsiębiorcy sprowadzeni do roli dawców środków finansowych
KIG wyraziła również niezadowolenie z przepisów regulujących wykorzystanie częstotliwości na potrzeby sieci 5G.
Jak zwrócono uwagę, nowopowołany podmiot w postaci operatora hurtowego będzie miał dominujący udział Skarbu Państwa, co „sprowadza rolę przedsiębiorców do dawców środków finansowych i rzeczowych, bez prawa podejmowania decyzji”.
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa była bardzo długo wyczekiwana przez rynek. Najważniejsze zmiany w projekcie to powołanie spółki Polskie 5G przez wyznaczonego operatora strategicznego wspólnie z PFR. Spółka z kolei będzie operatorem 5G na częstotliwościach 703-733 MHz oraz 758-788 MHz. To także zwiększenie kompetencji pełnomocnika ds. cyberbezpieczeństwa, a Fundusz Cyberbezpieczeństwa oznacza m.in. większe finansowanie na system i ludzi zajmujących się cyberzagrożeniami.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
Haertle: Każdego da się zhakować
Materiał sponsorowany