Cyberbezpieczeństwo okiem prawnika
Jak ocenia Pan zmiany proponowane w ustawie o Krajowym Systemie Cyberbezpieczeństwa?
Były dla mnie zaskoczeniem. Po pierwsze dlatego, że do ustawy o Krajowym Systemie Cyberbezpieczeństwa zostały wprowadzone regulacje dotyczące operatorów telekomunikacyjnych, co jest sprzeczne z dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii. Zgodnie z art. 1 tej dyrektywy wymogi dotyczące bezpieczeństwa i zgłaszania incydentów nie mają zastosowania do przedsiębiorstw, które podlegają wymogom art. 13a i 13b dyrektywy 2002/21/WE, ani do dostawców usług zaufania, którzy podlegają wymogom art. 19 rozporządzenia (UE) nr 910/2014. Trwają zresztą prace nad Prawem komunikacji elektronicznej, które wdraża postanowienia Europejskiego Kodeksu Łączności Elektronicznej i które zastąpi obowiązujące obecnie Prawo telekomunikacyjne. W nowym prawie powinny się znaleźć regulacje dotyczące bezpieczeństwa sieci telekomunikacyjnych. Nie ma więc potrzeby dublowania przepisów i tworzenia przepisów, które stwarzać będą wątpliwości interpretacyjne.
Po drugie, w noweli pojawiają się przepisy, które będą de facto regulować część rynku telekomunikacyjnego dotychczas nigdy nie regulowaną w oparciu o kryteria niezwykle nieprecyzyjne, które gwarantują bardzo wiele problemów w praktyce.
Czy ma Pan na myśli zapis dotyczący kryteriów oceny dostawców wśród których jest kraj pochodzenia dostawcy i „prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka”?
Tak. Proponowane zmiany mają charakter podmiotowy (czyli oceniani są głównie dostawcy) a nie przedmiotowy (czyli nie jest oceniany sprzęt, który dostarczają), a to tak, jakby sprawdzając wpływ samochodu na zanieczyszczenie środowisko sprawdzać sprzedawców samochodów, a nie technologiczne rozwiązania zastosowane w aucie. W sposób oczywisty powinny być stosowane kryteria technologiczne, które są obiektywne i weryfikowalne. Przykładem kryteriów oceny dostawcy, jakie mogłyby się znaleźć się w noweli jest np. kryterium certyfikacji poszczególnych komponentów infrastruktury, które zostały uznane za krytyczne czy wprowadzenie deklaracji wiarygodności od dostawców, która przewidywałaby ich zobowiązania w kwestii przestrzegania wymagań w zakresie bezpieczeństwa. Zresztą tego rodzaju narzędzia weryfikacyjne dostawców stosowane są w innych krajach, np. Niemcy klucz do zapewnienie cyberbezpieczeństwa państwa widzą w certyfikacji.
Przepisy przewidują wprowadzenie czterech kategorii dostawców: wysokiego, umiarkowanego, niskiego ryzyka i bez ryzyka. Ci którzy będą uznani za dostawców wysokiego ryzyka nie tylko zostaną wykluczeni z rynku telekomunikacyjnego, ale także w ciągu 5 lat ich sprzęt będzie musiał z Polski zniknąć.
Wątpliwości budzi przede wszystkim podział dostawców, gdyż nie ma w nim jasnych kryteriów kwalifikowania do poszczególnych kategorii. W zasadzie jedyna różnica pomiędzy definicją dostawcy wysokiego ryzyka a umiarkowanego ryzyka jest tylko taka, że w przypadku wysokiego ryzyka zmniejszenie tego ryzyka nie jest możliwe, a w przypadku umiarkowanego ryzyka jest możliwe. Tymczasem powinny te definicje różnić się gradacją, tak jak jest to w przypadki ryzyka umiarkowanego i niskiego. Poza tym należy przyjąć, że zawsze można poziom ryzyka zmniejszyć, a przynajmniej powinno się dać dostawcy szansę na jego zmniejszenie.
Problemem jest także brak jasnej procedury odwoławczej. Obecna konstrukcja noweli w zakresie środków odwoławczych, pomimo że używa słowa „odwołanie”, nie stanowi w istocie odwołania, ale wniosek o ponowne rozpatrzenie sprawy, o którym mowa w art. 127 § 3 kodeksu postępowania administracyjnego. Powinno więc być wyraźne wskazanie w przepisach, że do postępowania przed Kolegium stosuje się przepisy kodeksu postępowania administracyjnego. Nie może być także nadawany decyzji Kolegium rygor natychmiastowej wykonalności, gdyż jest to sprzeczne z art. 130 § 1 kodeksu postępowania administracyjnego
Jak proponowane zmiany wpłyną na sytuację operatorów, którzy przez lata budowali swoją infrastrukturę, a teraz może okazać się, że będą musieli ponieść koszty wymiany sprzętu, bo dostawca nie przeszedł procesu weryfikacji?
Kwestia nie jest niestety uwzględniona zarówno w proponowanej noweli, jak i w uzasadnieniu do niej. Obecnie obowiązująca ustawa Prawo telekomunikacyjne istnieje już 16 lat. Dotychczas nigdy nie były regulowane kwestie związane z dostawcami, w szczególności ich wyborem. Firmy podejmowały samodzielnie decyzje biznesowe. Takie postanowienia, jakie proponuje nowelizacja, wpływają nie tylko na wolność podejmowania tych decyzji, ale także poprzez przepis o konieczności wycofania sprzętu od firmy uznanej za dostawcę wysokiego ryzyka w ciągu 5 lat, zmuszają operatorów do weryfikacji decyzji, które podjęli wcześniej, a to będzie generować ogromne koszty. Już dziś eksperci mówią, że jeśli okaże się, że telekomy będą musiały wycofać infrastrukturę pochodzącą z Chin, to będą to miliardowe koszty. Ktoś te koszty musi ponieść. Nowelizacja nie wspomina o rekompensacie rządowej dla operatorów, którzy zostaną zmuszeni do wymiany sprzętu. A skoro rząd zdecydował o tak daleko idących zmianach, to rekompensaty wydają się być naturalną konsekwencją podejmowanych decyzji. Tak właśnie dzieje się w USA. W przypadku wykluczenia dostawcy, jednocześnie zapewniono firmom rekompensaty finansowe za wdrożenie w życie tych wymogów.
Jaki, pańskim zdaniem, powinien być kolejny krok?
To, co w przypadku tej nowelizacji budzi poważne zastrzeżenia to tryb procedowania nad nią. Tak kluczowe zmiany nie mogą być wprowadzane w ekspresowym tempie. Wystarczy przypomnieć choćby prace nad rozporządzeniem ministra cyfryzacji z 22 czerwca 2020 r. w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług. Dokument ma zaledwie dwie strony, a prace nad nim rozpoczęły się w październiku 2019 r. a skończyły w czerwcu 2020 r. Były 4 publiczne konsultacje a powstało kilka wersji projektu tego rozporządzenia. Mówimy o zmianach, które mają wpływ nie tylko na operatorów, dostawców, ale także klientów. Pierwotnie wyznaczono zaledwie 14-dniowe konsultacje noweli. Pozytywnie więc należy ocenić decyzję Ministerstwa o przedłużeniu terminu na konsultacje do miesiąca. Mam nadzieję, że to dopiero początek merytorycznej debaty i rozpoczną się konferencje uzgodnieniowe, dyskusje eksperckie, do których zaproszeni zostaną operatorzy i dostawcy, ale także i przedstawiciele klientów korzystających z usług telekomunikacyjnych. To ważne, bo zaprezentowany projekt, w mojej opinii, wprowadza co najmniej małą rewolucję na rynku telekomunikacyjnym, której konsekwencji i to nie tylko finansowych, ale także społecznych nie jesteśmy sobie w pełni przewidzieć.
Prof. dr hab. Maciej Rogalski – absolwent Wydziału Prawa i Administracji Uniwersytetu Marii Curie - Skłodowskiej w Lublinie Filia w Rzeszowie. Wykładowca na Wydziale Prawa i Administracji Uczelni Łazarskiego. Od 2018 roku pełni funkcję rektora Uczelni Łazarskiego. Jest wspólnikiem w kancelarii prawnej Rogalski i Wspólnicy. Specjalizuje się w prawie karnym oraz regulacjach sektorowych, w szczególnosci prawie telekomunikacyjnym.Od 2018 r. w Polsce obowiązuje ustawa o Krajowym Systemie Cyberbezpieczeństwa, w którym zostały wpisane obszary kluczowe dla bezpieczeństwa państwa (energia, zdrowie, transport, banki, finanse, infrastruktura cyfrowa i zaopatrzenie w wodę). 7 września tego roku rozpoczęły się 14-dniowe konsultacje na temat zmian w tej ustawie. W projekcie proponuje się poszerzenie obszarów kluczowych o telekomunikację. Zdefiniowano w nim także kryteria oceny firm, które mogą dostarczać sprzęt i oprogramowanie. Wśród ocenianych zagadnień, zgodnie z proponowaną nowelą, ma być: „prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, uwzględniającą:
a) stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem,
b) prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka”.
Przyjęcie tego zapisu może oznaczać, że firmy chińskie zostaną wykluczone z przetargów na dostawę sprzętu i oprogramowania.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy tygodnika Wprost.
Regulamin i warunki licencjonowania materiałów prasowych.