Ekspert o projekcie KSC: Nie będzie bezpieczniej, może być drożej

Ekspert o projekcie KSC: Nie będzie bezpieczniej, może być drożej

Mariusz Busiło. Telco.legal
Mariusz Busiło. Telco.legal Źródło: Telco.legal
– Kompetencją premiera będzie blokowanie adresów internetowych lub aplikacji „na czas incydentu bezpieczeństwa”, tj. do dwóch lat. Ciekawe, czy pierwszym poleceniem zabezpieczającym będzie zablokowanie aplikacji Telegram? – o projekcie Ustawy o Krajowym Systemie Cyberbezpieczeństwa, który jest procedowany bez konsultacji ze środowiskiem eksperckim mówi Mariusz Busiło, ekspert w zakresie prawa telekomunikacyjnego.

Dlaczego Ustawa o KSC jest procedowana bez konsultacji społecznych?

Prace nad nowelizacją ustawy o KSC trwają od 13 miesięcy. W październiku 2020 r., kiedy pojawiał się pierwszy projekt, zostały przeprowadzone konsultacje publiczne stosownie do obowiązującego Regulaminu pracy Rady Ministrów. Celem projektu było m.in. wdrożenie europejskiego „soft law”, czyli wytycznych regulacyjnych: tzw. narzędzi na potrzeby cyberbezpieczeństwa sieci 5G – nazywanych Toolbox 5G. Tollbox nie jest prawem unijnym, tzn. ani rozporządzeniem, jak RODO, ani nawet dyrektywą – jak dotycząca cyberbezpieczeństwa Dyrektywa NIS z 2016 r. czy Europejski Kodeks Łączności Elektronicznej z 2018 r. Jest, jak określono w jego treści, zestawem narzędzi, z których państwa członkowskie mogą korzystać w zależności od potrzeb wewnętrznych.

W toku tamtych konsultacji wpłynęło 100 stanowisk, a tabela uwag zawierała prawie 800 stron. Głównie negatywnych. Pewna część tych uwag została uwzględniona w kolejnych wersjach projektu. Jednak obecna, szósta już wersja, zawiera całkowicie nowe obszary regulacji i niezwykle istotne rozwiązania nieistniejące w wersji poddanej konsultacjom publicznym i dlatego należałoby poddać projekt pełnej procedurze. Tymczasem KPRM zwrócił się jedynie do wybranych przez siebie podmiotów o uwagi, wyznaczając pierwotnie termin 7-dniowy, a później przedłużając go do dni dziewiętnastu. Ogłoszenie o tym fakcie nie pojawiło się na stronach Rządowego Centrum Legislacji, jak należałoby to zrobić w przypadku konsultacji publicznych.

Jakie punkty budzą największe kontrowersje?

Niestety zdecydowanie jest ich za dużo. Do tego, poza budzącymi wątpliwości już 13 miesięcy temu, doszły nowe. Zastosowanie nieostrych kryteriów, niejasnej procedury czy praktycznie nieograniczonej uznaniowości administracji w procesie oceny sprzętu i wykluczania dostawcy. Procedura ta rodzi poważne skutki ekonomiczne dla polskich przedsiębiorców i konsumentów, a ocena tych skutków nie została do dzisiaj rzetelnie przeprowadzona. W toku jej podejmowania nie przewidziano zapewnienia udziału zainteresowanych stron, w tym przedstawicieli przedsiębiorstw, dla których decyzje o wykluczeniu będą w praktyce oznaczały wywłaszczenie. Polecenia zabezpieczające nowy projekt przewiduje wyznaczanie operatora strategicznej sieci bezpieczeństwa, który z pominięciem zamówień publicznych świadczyłby usługi telekomunikacyjne i IT dla szeroko rozumianego sektora publicznego. Do tego ma otrzymać za darmo zasoby częstotliwości warte co najmniej miliard złotych i szereg przywilejów w dostępie do infrastruktury w rękach prywatnych przedsiębiorców oraz samorządów. Na to wszystko mają się zrzucić operatorzy telekomunikacyjni z podniesionych opłat za numerację, częstotliwości i z przyszłych kar.

Co będzie oznaczać, jeśli ustawa zostanie ogłoszona w obecnym brzmieniu?

Ograniczenie dostępu polskich konsumentów i przedsiębiorców do nowoczesnych technologii telekomunikacyjnych i IT. Niestety pewno także wzrost cen usług telekomunikacyjnych, porównywalny z podwyżkami energii, gazu czy benzyny. Drastycznie spadnie atrakcyjność inwestycyjna na polskim rynku telko i IT. Z pewnością natomiast nie będzie bezpieczniej. Niewykluczone, że pojawią się zarzuty o naruszeniu przez Polskę Traktatu o funkcjonowaniu Unii Europejskiej oraz Układu ogólnego w sprawie taryf celnych i handlu (GATT), światowego porozumienia przy Światowej Organizacji Handlu, której Polska jest członkiem i beneficjentem.

Czy wiadomo coś więcej o kolegium, które będzie oceniać dostawców wysokiego ryzyka?

Członków kolegium będą wybierali ministrowie: spraw wewnętrznych, MON, spraw zagranicznych, informatyzacji i energii oraz szef Biura Bezpieczeństwa Narodowego. W pracach będą mogli uczestniczyć także licznie reprezentowani szefowie pięciu służb specjalnych oraz dyrektor NASK. Praktycznie sama administracja rządowa. Brak samorządów, środowisk naukowych, konsumentów, przemysłu, biznesu, ekspertów ds. cyberbezpieczeństwa, rzeczników swobód i wolności konstytucyjnych, w tym swobody działalności gospodarczej i wolności słowa, na które ten projekt istotnie wpływa. Kompetencją przewidzianą w projekcie do wydawania przez ministra ds. informatyzacji (obecnie rola ta jest ulokowana w Kancelarii Premiera) jest wspomniane blokowanie adresów internetowych lub aplikacji „na czas incydentu bezpieczeństwa”, tj. do dwóch (!) lat. Ciekawe, czy pierwszym poleceniem zabezpieczającym będzie zablokowanie aplikacji Telegram?

Czy to prawda, że projekt w proponowanym brzmieniu może być niezgodny z prawem UE?

Jak już wspomniałem wcześniej, projekt rodzi istotne wątpliwości co do zgodności z przepisami Traktatu o funkcjonowaniu Unii Europejskiej. Przyznane w nim kompetencje mogą prowadzić do naruszeń podstawowych wolności zawartych w TFUE, w tym swobody przepływu towarów i usług (np. przez ograniczenia względem sprzętu wyprodukowanego lub dopuszczonego do obrotu w jednym z krajów UE).

Jak inne kraje rozwiązują ten problem?

Korzystanie przez kraje europejskie z narzędzi zawartych w Toolboxie 5G jest bardzo zróżnicowane. Z wyjątkiem Szwecji, gdzie decydujący głos mają służby bezpieczeństwa i wojsko na etapie konsultacji przez regulatora zasad rozdysponowania częstotliwości, pozostałe kraje wdrażają różne modele współpracy z przedstawicielami biznesu i ekspertami spoza administracji. Rozsądne rozwiązania w zakresie szczegółowego opisania funkcji sieci, jej elementów i dopasowania środków bezpieczeństwa do tych funkcji oraz odpowiednie schematy certyfikacji sprzętu są w mojej opinii podejściem sensownym i stosowanym w praktyce bezpieczeństwa. Na tym tle polski projekt jest miksem najbardziej skrajnych – rozwiązań w mojej opinii nieproporcjonalnych. W szczególności jeśli autorzy decydują się na powołanie narodowego operatora, to powinni zrezygnować z ograniczania konstytucyjnych wolności operatorom komercyjnym.

Źródło: Wprost