Polityka i prawo
Z tarczą czy na Tarczy 3.0, czyli jaki los czeka polskie 5G?
Proces wprowadzania w Polsce 5G kojarzy się większości ludzi z dwoma zagadnieniami i żadne z nich nie jest kwestią korzyści wiążących się z wprowadzeniem tego standardu. Z promieniowaniem elektromagnetycznym oraz bezpieczeństwa sieci 5G. W tej pierwszej kwestii, po długotrwałych debatach doszło do konkretnych zmian prowadzących do dostosowania obowiązujących w Polsce norm do norm europejskich, choć sam temat trudno uznać za zamknięty.
W tej drugiej dyskusja trwa i to na kilku poziomach. Pierwszym jest projekt rozporządzenia Ministra Cyfryzacji w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług („Rozporządzenie”). Drugim jest skierowany niedawno do pre-konsultacji projekt Prawa Komunikacji Elektronicznej wdrażający do polskiego systemu prawnego Europejski Kodeks Komunikacji Elektronicznej. Trzecim zaś jest uchwalone właśnie ustawa o zmianie niektórych ustaw w zakresie działań osłonowych w związku z rozprzestrzenianiem się wirusa SARS-CoV-21 – czyli tzw. Tarcza 3.0.
Ktoś zapyta a co ma kwestia bezpieczeństwa sieci 5G do stanu pandemii ? Otóż nic, co jednak nie zmienia tego, że przy okazji wprowadzenia kolejnego pakietu regulacji związanych z pandemią, dołączono doń kilka zapisów, które doprowadzić muszą do unieważnienia aukcji na częstotliwości 3480 - 3800 MHz pod 5G i wygaśnięcia kadencji obecnego Prezesa UKE. Resort finansów będzie musiał zatem poczekać nieco dłużej na swoje 4,5-5 mld złotych, operatorzy na częstotliwości a my wszyscy na masowe wdrożenie sieci 5G. Ale po kolei.
Tarczą w aukcję
Trwająca w kraju pandemia pobudziła wysiłki legislacyjne zmierzające w kierunku stworzenia osłony prawnej dla osób i firm, które ucierpiały w wyniku zaistnienia istotnych ograniczeń w swobodzie poruszania się i w swobodzie prowadzenia działalności gospodarczej. Przyjmowane kolejno pakiety ustaw związanych ze zwalczaniem skutków pandemii wzięły jednak na barana przepisy z różnych dziedzin życia których nijak z koronawirusem połączyć się nie da. Nie inaczej jest w przypadku trzeciego pakietu Tarczy 3.0.
Otóż zgodnie z art.14 ust.8 tej ustawy, decyzje rezerwacyjne wydawana w przypadku częstotliwości dokonywanych po przeprowadzeniu aukcji zawierać mają wymagania dotyczące bezpieczeństwa i integralności infrastruktury telekomunikacyjnej i usług ustalone przez Prezesa UKE z uwzględnieniem rekomendacji i wytycznych Europejskiej Agencji do spraw Bezpieczeństwa Sieci informacji (ENISA), po zasięgnięciu opinii Kolegium, o którym mowa w art. 64 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa”. Kolejny ustęp tejże ustawy zobowiązuje Prezesa UKE do niezwłocznego unieważnienia aukcji w przypadku, gdy projekt rozstrzygnięcia decyzji w sprawie rezerwacji częstotliwości opublikowany wraz z ogłoszeniem takiej aukcji nie spełnia wymagań dotyczących bezpieczeństwa. Skutek – Prezes UKE już zapowiedział unieważnienie obecnej aukcji na częstotliwości 3480 - 3800 MHz.
Tarcza 3.0 oznacza pożegnanie nie tylko z obecnie prowadzoną aukcją ale także z aktualnym Prezesem UKE, który dość konsekwentnie prezentował stanowisko, iż ograniczenie przedsiębiorców telekomunikacyjnych w doborze przez nich dostawców, nie jest możliwe bez jasnych i klarownych zapisów ustawowych w tej mierze. Otóż zgodnie z treścią artykułu 62 ust.1 ustawy wprowadzającej Tarczę 3.0, kadencja Prezesa Urzędu Komunikacji Elektronicznej przypadająca na lata 2016–2021 ulega skróceniu i kończy się po upływie 14 dni od dnia wejścia w życie tej ustawy.
Czy wprowadzenie tych zmian było konieczne? Tak i nie. W obecnym stanie prawnym tak. Jeżeli spojrzeć na dwa inne akty prawne które w chwili obecnej są na etapie przygotowania – raczej nie.
Wybudzenie z hibernacji
Zgodnie z art.175d prawa telekomunikacyjnego, który został dodany do tej ustawy prawie 8 lat temu, Minister właściwy do spraw informatyzacji mógł określić, w drodze rozporządzenia, minimalne środki techniczne i organizacyjne oraz metody zapobiegania zagrożeniom bezpieczeństwa lub integralności sieci lub usług, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować, biorąc pod uwagę wytyczne Komisji Europejskiej oraz ENISA w tym zakresie. Delegacja przewiduje możliwość, a nie obowiązek, więc jak można było się spodziewać wpadła w stan długotrwałej hibernacji, z której wybudziły ją dopiero ostatnie kontrowersje dotyczące jednego z dostawców sprzętu telekomunikacyjnego. Już w połowie ubiegłego roku Ministerstwo Cyfryzacji mówiło o konieczność wydania takiego rozporządzenia, potrzeba było jednak kolejnych miesięcy aby jego projekt ujrzał światło dzienne na początku bieżącego roku.
Zgodnie z ostatnim projektem Rozporządzenia z końca kwietnia tego roku, przedsiębiorca telekomunikacyjny, zobowiązany będzie w szczególności do opracowania i aktualizowania dokumentacji dotyczącej bezpieczeństwa i integralności sieci, utworzenia wykazu elementów infrastruktury telekomunikacyjnej i systemów informatycznych, których naruszenie bezpieczeństwa lub integralności będzie miało istotny wpływ na funkcjonowanie sieci lub usług o znaczeniu kluczowym dla funkcjonowania przedsiębiorcy, identyfikacji zagrożeń bezpieczeństwa lub integralności sieci lub usług oraz dokonania oceny prawdopodobieństwa wystąpienia oddziaływania zagrożeń na bezpieczeństwo lub integralność sieci lub usług a także stosowania wynikających z tej oceny środków zabezpieczające dla poszczególnych kategorii danych.
Ponadto projekt Rozporządzenia przewiduje konieczność zapewnienia monitorowania i dokumentowania funkcjonowania sieci i usług pod kątem bezpieczeństwa oraz obowiązek przeprowadzania oceny bezpieczeństwa sieci i usług telekomunikacyjnych co najmniej raz na dwa lata, po każdym stwierdzonym naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych o istotnym wpływie na funkcjonowanie sieci lub usług (w zakresie objętym naruszeniem) oraz po każdym wykryciu podatności zwiększającej poziom ryzyka wystąpienia naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych (w zakresie objętym wykrytą podatnością).
Zgodnie z treścią paragrafu 3 projektu Rozporządzenia, przedsiębiorca telekomunikacyjny dostarczający sieć piątej generacji, zobowiązany będzie także stosować rekomendacje (sic !), o których mowa w art. 33 ust. 4 ustawy o Krajowym Systemie Cyberbezpieczeństwa („UKSC”) a ponadto gwarantować ma brak uzależnienia się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej przy jednoczesnym zapewnieniu interoperacyjności usług.
Wydaje się zatem, że Rozporządzenie, w chwili jego wydania stwarzać będzie wystarczającą podstawę dla regulatora do ingerencji w to, jakie środki bezpieczeństwa zostaną wdrożone przez przedsiębiorców telekomunikacyjnych. Warto przypomnień że zgodnie z przywołanym przepisem UKSC pełnomocnik ds. cyberbezpieczeństwa, którym ostatnio został Minister Cyfryzacji, po uzyskaniu opinii Kolegium wydaje, zmienia lub odwołuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa. Przymus postępowania zgodnie z tymi rekomendacjami może być uznany za dość wątpliwy zabieg legislacyjny, ale jeżeli zostanie wprowadzony, wydaje się iść dalej niż zmiany wprowadzane postanowieniami Tarczy 3. A to nie koniec.
Koniec Prawa Telekomunikacyjnego. Niech żyje Prawo Komunikacji Elektronicznej
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej, zastępując dyrektywy 2002/19/WE, 2002/20/WE, 2002/21/WE, 2002/22/WE została opublikowana w Dzienniku Urzędowym Unii Europejskiej 17 grudnia 2018 r. i weszła w życie 20 grudnia 2018 r. wyznaczając państwom członkowskim czas na transpozycję przepisów dyrektywy do prawa krajowego nie później niż do dnia 21 grudnia 2020 r. Projekt Prawa Komunikacji Elektronicznej („PKE”) – zawierający transpozycję tej dyrektywy do polskiego porządku prawnego, został już przygotowany przez Ministerstwo Cyfryzacji i przesłany izbom gospodarczym do tzw. pre-konsultacji. PKE zawiera podobne do artykułu 175d PT upoważnienie do wydania rozporządzenia, więc należałoby przypuszczać, że opracowywane i omawiane wyżej Rozporządzenie zostanie wydane także na gruncie nowej ustawy. Niezależnie od tego, projekt PKE przewiduje możliwość nałożenia na przedsiębiorcę telekomunikacyjnego przez Prezesa UKE, w drodze decyzji, obowiązków dotyczących zastosowania dodatkowych środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa sieci lub usług, a także obowiązku poddania się audytowi przez wykwalifikowany, niezależny podmiot i udostępnienia wyników takiego audytu Prezesowi UKE. Decyzja taka będzie mogła zostać podjęta w „sytuacji wystąpienia incydentów bezpieczeństwa o tym samym charakterze, dokonania negatywnej oceny bezpieczeństwa sieci i usług danego przedsiębiorcy lub w sytuacji wydania przez ENISA rekomendacji w tym zakresie”. Innymi słowy – wtedy gdy Prezes UKE tak postanowi, bo to on dokonywać będzie oceny bezpieczeństwa.
Z Tarczą czy na Tarczy
Należy się cieszyć, że po latach legislacyjnej posuchy w tej mierze, temat bezpieczeństwa (czy też cyberbezpieczeństwa) odmieniany jest na wszystkie możliwe przypadki i to w trzech różnych projektach aktów legislacyjnych. Należy jednak pamiętać, że czasami nadmiar regulacji może powodować poczucie niepewności i dezorientacji, co z pewnością skutkiem pożądanym nie jest.
Można oczywiście gdybać czy zamiast wprowadzać omawiane przepisy do Tarczy 3.0, nie należałoby sfinalizować prac nad Rozporządzeniem, ale to już historia. Teraz należałoby się zastanowić nad zsynchronizowaniem działań Ministra Cyfryzacji pełniącego równocześnie rolę Pełnomocnika ds. Cyberbezpieczeństwa, Kolegium ds. Cyberbezpieczeństwa oraz nowego Prezesa UKE, tak aby przedsiębiorcy telekomunikacyjni uzyskali w końcu jasność w temacie konkretnych działań jakie winni przedsięwziąć w sferze, która jest kluczowa dla zapewnienia bezpieczeństwa transformacji cyfrowej polskiej gospodarki. Póki co mają zapisy (dość lakoniczne) obowiązującego nadal Prawa Telekomunikacyjnego i zapowiadane lecz bliżej nieokreślone opinie, rekomendacje (pytanie czy „wiążąca rekomendacja” to jeszcze rekomendacja?), potencjalne decyzje, żegnającego się z urzędem Prezesa UKE i odsuwającą się o minimum kilka miesięcy aukcję częstotliwości pod 5G. Jak powiedział mi ostatnio znajomy ekspert rynku –„wiemy już kto przegrał … teraz czekamy na informację o tym kto wygrał”.
Ireneusz Piecuch - Partner Zarządzający, Kancelaria IMP
Haertle: Każdego da się zhakować
Materiał sponsorowany