Polityka i prawo

Zagórski: Projekt nowelizacji ustawy o KSC zgodny z porozumieniem o Wolnym Handlu GATT

Graf. Katarzyna Głowacka
Graf. Katarzyna Głowacka

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa nie jest niezgodna z porozumieniem o Wolnym Handlu GATT - wyjaśnia Marek Zagórski, sekretarz stanu w KPRM w odpowiedzi na interpelację poselską.

Poseł Andrzej Szejna z Koalicyjnego Klubu Parlamentarnego Lewicy w interpelacji poselskiej zapytał sekretarza stanu Marka Zagórskiego o współpracę z Chińską Republiką Ludową w dziedzinie cyfryzacji i technologii cyfrowej, nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, współpracę ze szwedzkim dostawcą Ericssonem oraz koszty budowy sieci 5G. 

Zagórski w odpowiedzi wskazuje, że Unia Europejska prowadzi obecnie z Chinami blisko 70 dialogów sektorowych w różnych dziedzinach – w tym m.in. w obszarze cyfryzacji. Polska dąży do wypracowania ze stroną chińską dwustronnego dialogu w sprawach cyfrowych, nie ograniczającego się tylko do jednego aspektu współpracy, lecz obejmującego szeroki wachlarz dziedzin - tłumaczy minister.

W tym celu Ministerstwo Cyfryzacji zaproponowało stronie chińskiej przeprowadzenie pierwszych Polsko-Chińskich Konsultacji Cyfrowych, mających stanowić podstawę do rozpoczęcia pogłębionego międzyresortowego dialogu, poruszającego wiele aspektów współpracy z obszarze cyfryzacji.

W ramach nawiązania dwustronnego dialogu w sprawach cyfrowych, Polska proponowała Chinom rozwinięcie współpracy naukowo-badawczej i technologicznej, dostrzegając znacznie szersze możliwości takiej współpracy niż tylko budowa sieci 5G. Ministerstwo Cyfryzacji zaproponowało m.in. podpisanie 3 porozumień o współpracy (Memorandum of Understanding), których tematyka i zakres są przedmiotem uzgodnień ze stroną chińską. 

Obecnie, z uwagi na włączenie Ministerstwa Cyfryzacji w struktury KPRM, projekt ten wymaga uaktualnienia. Agenda negocjacji, ich szczebel i instytucje partnerskie są przedmiotem uzgodnień ze stroną chińską. Dyskusje są w toku, a o rezultatach KPRM poinformuje po zakończeniu uzgodnień.

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa

Poseł Andrzej Szejna pytał również o konsultację związane z  nowelizację ustawy o KSC. Sekretarz stany odpowiedział, że w ciągu 4 tygodni konsultacji publicznych (od 8 września do 6 października) do KPRM wpłynęło ponad 700 uwag, komentarzy oraz opinii od podmiotów administracji publicznej oraz od strony społecznej. Wiele przesłanych stanowisk ma charakter obszernych analiz.

KPRM bardzo dokładnie przeanalizował wszystkie nadesłane uwagi, a do każdej nadesłanej uwagi przedstawione zostanie stanowisko projektodawcy. Obecnie na podstawie analiz nadesłanych uwag i propozycji, prowadzone są prace nad zmianami w przepisach prawa oraz Ocenie Skutków Regulacji. Planuje się ukończenie prac nad zmianami w ciągu najbliższych kilku tygodni.

Marek Zagórski podkreślił, że w zaproponowanych przepisach prawa nie ma mechanizmu nakazującego natychmiastowe wycofanie sprzętu lub oprogramowania wskazanego w ocenie ryzyka dostawców. Podmioty krajowego systemu cyberbezpieczeństwa, w tym operatorzy usług kluczowych, czy przedsiębiorcy telekomunikacyjni, zostaną zobowiązani do wycofania danego sprzętu lub oprogramowania w określonym czasie. W przekazanym projekcie jest mowa o 5 latach - termin ten jest często uznawany za średni okres użytkowania sprzętu lub oprogramowania, czyli tzw. cykl życia urządzenia. Z uwagi na wskazanie tak długiego okresu na wdrożenie decyzji o ocenie ryzyka, nie są planowane rekompensaty dla operatorów z uwagi na konieczność wycofania sprzętu lub oprogramowania od dostawców uznanych za dostawców wysokiego ryzyka.

Zagórski przypomina, że każdy sprzęt lub oprogramowanie ma swój określony bezpieczny czas użytkowania. Często przywoływany jest argument, że operatorzy telekomunikacyjni w momencie wdrażania technologii sieci 5G (i kolejnych generacji) poniosą znaczne wydatki związane z ewentualnym zastąpieniem sprzętu lub oprogramowania pochodzącego od dostawców wysokiego ryzyka. Należy wskazać, że w obecnej chwili żaden z operatorów w Polsce nie zapewnia łączności 5 generacji przy wykorzystaniu wyłącznie docelowych urządzeń lub oprogramowania, lecz bazuje na istniejącej infrastrukturze wykorzystywanej m.in. do łączności 4G (jest to tzw. model non-stand alone) - podkreśla sekretarz stanu w KPRM.

Obecna infrastruktura nie jest wystarczająca do wykorzystania w pełni możliwości oferowanych przez technologie sieci 5G, w tym ultra-szybkiej wymiany danych. Ponadto, obecna infrastruktura podlega procesowi zużycia i docelowo będzie zastępowana rozwiązaniami dedykowanymi dla sieci najnowszej generacji (tzw. model stand alone). Przedsiębiorcy telekomunikacyjni zatem muszą w swoich planach inwestycyjnych już teraz uwzględniać koszty nie tylko wymiany infrastruktury, która kończy swój okres bezpiecznego użytkowania, lecz także muszą mieć plan wdrożenia infrastruktury dedykowanej sieci 5G.

Współpraca z Ericssonem

W Ericsson sp. z o.o. pracuje około 2300 pracowników. Centrum badawczo-rozwojowe w Krakowie i Łodzi zatrudnia 1800 inżynierów i jest drugim co do wielkości centrum badawczorozwojowym Ericssona w Europie (największe jest w Szwecji, czyli państwie pochodzenia firmy). W ramach badań w tym centrum rozwijany jest system Ericsson Radio System.

Fabryka Ericssona w Tczewie jest jedynym w Europie miejscem, w którym firma produkuje urządzenia 4G i 5G3 . Warto podkreślić, że Polska jest jedynym państwem w Europie, w którym Ericsson posiada zarówno zaplecze badawczo rozwojowe dla urządzeń w sieciach 4G/5G, a także zakład produkcyjny (Tczew). W 2019 r. Ericsson zwiększył produkcję w fabryce w Tczewie. Wartość zamówień realizowanych w Tczewie w połączeniu z nakładami firmy w race badawczo-rozwojowe w Katowicach i Krakowie sprawia, że roczny koszt inwestycji Ericcson w Polsce wynosi ok. 5 miliardów złotych.

Poseł był również zainteresowanym spotkaniami pomiędzy przedstawicielami resortu a szwedzką firmą. Sekretarz stanu Marek Zagórski wyjaśnił, że od objęcia stanowiska Ministra Cyfryzacji tj. 17 kwietnia 2018 r., wielokrotnie spotykał się z przedstawicielami sektora telekomunikacyjnego oraz IT, do którego zalicza się firma Ericsson. Spotkania te miały zarówno charakter indywidualny – z przedstawicielami konkretnej firmy, jak i odbywały się w szerszym gronie, np. w ramach prowadzonych przez resort konsultacji czy spotkań z przedstawicielami rynku.

Większość spotkań miała miejsce w siedzibie Ministerstwa Cyfryzacji, przy ulicy Królewskiej 27 w Warszawie. Ponadto Minister spotykał się z przedstawicielami firmy Ericsson podczas konferencji i wydarzeń branżowych, a w czerwcu 2019 r. w trakcie delegacji służbowej, odwiedził siedzibę firmy Ericsson w Sztokholmie. Inni ówcześni członkowie kierownictwa (Podsekretarz Stanu Wanda Buk i Sekretarz Stanu Karol Okoński), spotykali się z przedstawicielami firmy Ericsson w związku z obszarami, za które odpowiadali – telekomunikacja i cyberbezpieczeństwo. Do spotkań tych dochodziło analogicznie, jak w przypadku Ministra Zagórskiego – zarówno w Ministerstwie Cyfryzacji, jak i poza, w ramach konferencji i wydarzeń branżowych. Dyrektor Departamentu Cyberbezpieczeństwa Ministerstwa Cyfryzacji - Robert Kośla spotkał się 9 lipca 2020 r. z przedstawicielami firmy Ericsson sp. z o.o. w ramach realizacji Programu Współpracy w Cyberbezpieczeństwie

Geopolityka

W dalszej części interpelacji poseł pyta czy zostały przedstawione geopolityczne skutki przyjęcia znowelizowane ustawy o KSC. Sekretarz stanu odpowiedział, że Prezes Rady Ministrów jest na bieżąco informowany o postępie prac nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, w tym także o ewentualnych ryzykach związanych z niedotrzymaniem zobowiązań europejskich wynikających z obowiązku wdrożenia zaleceń wskazanych w zestawie środków dot. minimalnej harmonizacji i standaryzacji na poziomie UE rozwiązań cyberbezpieczeństwa sieci 5G, określanego jako 5G Toolbox. Zestaw obejmuje zarówno narzędzia o charakterze strategicznym i technicznym. Głównym celem wspólnie uzgodnionego przez Komisję Europejską, państwa członkowskie oraz Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) 5G Toolbox jest harmonizacja i uwspólnianie krajowych rozwiązań.

Zagórski przypomina, że ocena ryzyka dostawcy będzie miała nie tylko charakter techniczny m.in. sprawdzana będzie zdolność dostawcy do zapewnienia bezpieczeństwa łańcucha dostaw, czyli de facto ocena tego, czy dany dostawca jest w stanie zabezpieczyć np. dostawę urządzeń bazujących na bezpiecznych komponentach, dostawę części zamiennych czy aktualizacji oprogramowana przez cały okres użytkowania danego sprzętu lub oprogramowania będącego przedmiotem oceny, ale także pozatechniczny. W ramach tej procedury analizowana będzie także m.in. kwestia zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania. Co istotne, 5G Toolbox pozwala na przyjęcie specyficznych kryteriów krajowych, przede wszystkim odnoszących się do oceny ryzyka dla bezpieczeństwa narodowego - takie kryterium jest wskazane jako główne w rozwiązaniach przyjętych m.in. przez Francję, Finlandię czy Estonię. Każda decyzja o ocenie ryzyka będzie zatem bazowała na dwóch składowych tj. ocenie technicznej oraz analizie geopolitycznej.

Zagórski zapewnił, że ocena ryzyka dostawcy będzie miała nie tylko charakter techniczny m.in. sprawdzana będzie zdolność dostawcy do zapewnienia bezpieczeństwa łańcucha dostaw, czyli de facto ocena tego, czy dany dostawca jest w stanie zabezpieczyć np. dostawę urządzeń bazujących na bezpiecznych komponentach, dostawę części zamiennych czy aktualizacji oprogramowana przez cały okres użytkowania danego sprzętu lub oprogramowania będącego przedmiotem oceny, ale także pozatechniczny.

W ramach tej procedury analizowana będzie także m.in. kwestia zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania. Co istotne, 5G Toolbox pozwala na przyjęcie specyficznych kryteriów krajowych, przede wszystkim odnoszących się do oceny ryzyka dla bezpieczeństwa narodowego - takie kryterium jest wskazane jako główne w rozwiązaniach przyjętych m.in. przez Francję, Finlandię czy Estonię. Każda decyzja o ocenie ryzyka będzie zatem bazowała na dwóch składowych tj. ocenie technicznej oraz analizie geopolitycznej.

Koszty budowy 5G

Poseł pytał również w swojej interpelacji o wpływ wykluczenia niektórych dostawców na koszt budowy sieci 5G. Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa jest neutralny technologicznie, co oznacza, że przepisy prawa dotyczące m.in. procedury oceny ryzyka dostawców sprzętu lub oprogramowania, w tym samym stopniu dotyczą każdego dostawcy sprzętu lub oprogramowania dla podmiotów krajowego systemu cyberbezpieczeństwa - przypomina Marek Zagórski.

Projekt nie przewiduje automatycznego wykluczenia czy specjalnego traktowania żadnego z dostawców. Ewentualne decyzje o wycofaniu konkretnego sprzętu lub oprogramowania z użytkowania w podmiotach krajowego systemu cyberbezpieczeństwa będą poprzedzone transparentną – prowadzoną zgodnie z przepisami Kodeksu administracyjnego - procedurą oceny ryzyka zakończoną decyzją administracyjną - pisze sekretarz stanu w KPRM.

Co istotne, analizy duńskiej firmy konsultingowej Strand Consult wskazują, że ewentualne wykluczenie niektórych dostawców nie wpłynie znacząco na koszt budowy sieci 5G. Podaje się przykład zakupu w Stanach Zjednoczonych przez Nokię w 2016 r. firmy Alcatel Lucent. Mimo tego, że rynek dostawców zmalał z trzech dużych dostawców do dwóch dużych i jednego mniejszego, paradoksalnie, zamiast podwyżki i monopolizacji, doprowadziło to zmniejszenia kosztów sprzętu telekomunikacyjnego - argumentuje Zagórski. Należy również dodać, że każdy operator telekomunikacyjny ma własną strategię pozyskiwania unikalnego sprzętu dostosowanego do jego potrzeb. Niektórzy z klientów operatorów telekomunikacyjnych oczekują usług telekomunikacyjnych opartych o sprzęt pochodzący od zaufanych dostawców, ponieważ wcześniej zmagali się ze skutkami ataków hakerskich ze strony państwa pochodzenia jednego z dostawców. Dlatego też, operatorzy starają się dostosować do potrzeb swoich klientów. Zagórski przypomina, że ceny usług, w tym abonamentów, podejmuje dany dostawca usług telekomunikacyjnych i KPRM nie ma na to żadnego wpływu.

Zmiany w przepisach prawa mają jeden podstawowy cel, czyli wzmocnienie krajowego systemu cyberbezpieczeństwa. W efekcie wprowadzonych regulacji podmioty krajowego systemu cyberbezpieczeństwa zapewnią świadczenie usług kluczowych, cyfrowych oaz telekomunikacyjnych w oparciu o sprzęt lub oprogramowanie pochodzące od zaufanego dostawcy. Tym samym, usługi świadczone dla obywateli będą mniej podatne na zagrożenia i będą gwarantowały większe bezpieczeństwo udostępnianych lub przetwarzanych danych, w tym także osobowych. Zdecydowanie zwiększy się pewność świadczonych usług. Należy pamiętać, że w przypadku gdy dany dostawca nie byłby w stanie zapewniać bezpieczeństwa łańcucha dostaw oferowanych przez siebie rozwiązań, czy też efektywnego zarządzania podatnościami, to cały system zbudowany do świadczenia danej usługi np. telekomunikacyjnej mógłby zostać zakłócony, a obywatele pozbawieni dostępu do tej usługi. Jednakże, należy pamiętać, że ewentualne zwiększone koszty zapewnienia bezpieczeństwa infrastruktury może, w pewnych sytuacjach, skutkować wzrostem kosztów danej usług.

Zagórski pytany o sprzeczność regulacji z porozumieniem o Wolnym Handlu GATT, podkreśla, że art. XXI tego dokumentu pozwala na stosowanie przez strony porozumienia wszelkich działań, jakie uważają one za niezbędne do ochrony swych żywotnych interesów bezpieczeństwa. Projektowane przepisy wpisują się wobec tego w środki opisane w art. XXI GATT - wyjaśnia sekretarz stanu.

Komentarze

    Czytaj także