Cyberbezpieczeństwo w aukcji

Cyberbezpieczeństwo w aukcji

Cyberbezpieczeństwo, zdjęcie ilustracyjne
Cyberbezpieczeństwo, zdjęcie ilustracyjne Źródło: Unsplash / Compare Fibre
Technologia 5G do dalszego rozwoju pilnie potrzebuje nowych częstotliwości, ale ich wiosenną aukcję odwołano z powodu pandemii, a zorganizowanie kolejnej stopniem skomplikowania przypomina węzeł gordyjski. Przed UKE zadanie trudne, lecz nie niewykonalne.

5G To nie tylko znacznie szybszy przesył ogromnego wolumenu danych czy możliwość obsługi niemal bez opóźnień wzrastającej liczby użytkowników. To także zupełnie nowe, przełomowe możliwości w transporcie, logistyce czy medycynie. Jednak w Polsce 5G działa głównie na częstotliwościach obsługujących także 4G, co znacznie zmniejsza przepustowość sieci. Rozwiązaniem mają być nowe częstotliwości, przeznaczone wyłącznie dla 5G, rezerwowane w systemie aukcyjnym. I tu pojawia się problem. Ogłoszona w marcu br. aukcja została wkrótce po ogłoszeniu unieważniona na podstawie przepisów z tzw. pierwszej tarczy antykryzysowej, a ogłoszenie nowej wymaga doprecyzowania wielu kwestii, z których obecnie najważniejsze wydają się zagadnienia tzw. cyberbezpieczeństwa.

Gordyjski węzeł w UKE

Kiedy nowa aukcja? To skomplikowane. UKE czyli organizujący aukcje Urząd Komunikacji Elektronicznej przekonuje, że robi wszystko, by nowe postępowanie zorganizować jak najszybciej. Jeszcze w 2020 roku. Problem w tym, że zgodnie z zapowiedziami ogłoszenie poprzedzić ma wciąż trwająca „analiza sytuacji na rynku”, a także „opracowanie wymagań dotyczących bezpieczeństwa infrastruktury telekomunikacyjnej”, co jest o tyle trudne, że jedna z kluczowych w tej kwestii ustaw – Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) – jest właśnie nowelizowana. Przed UKE zadanie przygotowania aukcji i określenie jej zasad, nie tylko w zgodzie z obecnie obowiązującym prawem, ale także, jak się wydaje, zgodnie z prawem, nad którym dyskusje wciąż trwają i którego możliwy kształt już dziś budzi sporo kontrowersji, wywołując sprzeciw nie tylko przedsiębiorców, ale i instytucji publicznych. Czego dotyczą uwagi? Między innymi kwestii, które przy ustalaniu zasad aukcji mogą okazać się kluczowe, czyli przepisów związanych z wyborem dostawców usług telekomunikacyjnych i sprzętu.

Nieoszacowane koszty

Wśród krytyków projektu nowelizacji ustawy o KSC znalazło się m.in. Ministerstwo Rozwoju. W jego opinii, przesłanej Ministerstwu Cyfryzacji we wrześniu br., znajdujemy uwagi dotyczące m.in. kryteriów „oceny ryzyka” dostawców sprzętu i oprogramowania. Dostawców, z którymi współpracują nie tylko instytucje publiczne, ale i operatorzy wdrażający technologie 5G na terenie Polski. Zgodnie z projektem nowelizacji, poziom ryzyka dostawców miałby być oceniany przez działające przy Radzie Ministrów Kolegium ds. Cyberbezpieczeństwa. W ocenie brano by pod uwagę m.in. okoliczność pozostawania przez dostawcę „pod wpływem państwa spoza UE lub NATO”, a sprzęt firm sklasyfikowanych jako wysoce ryzykowne w ciągu pięciu lat wycofywany byłby z użycia na terenie Polski. Według Ministerstwa Rozwoju ocena kosztów tego typu rozwiązań dla polskiej gospodarki, konkurencyjności polskich przedsiębiorstw na rynkach europejskich i przedsiębiorczości w ogóle, przeprowadzona została „zbyt powierzchownie”. Nie oszacowano także, ile mogłaby kosztować wymiana sprzętu nabytego od firm pochodzących spoza preferowanych obszarów i czy wymiana taka w ogóle leży w zasięgu możliwości finansowych/organizacyjnych przedsiębiorstw. Resort ostrzega także, że koszty koniecznej wymiany sprzętu mogą niekorzystnie odbić się na możliwościach inwestycyjnych firm.

Kolejną kwestią sporną są koszty, które w razie konieczności wymiany infrastruktury ponieśliby abonenci w momencie, gdy np. działająca na terenie Polski infrastruktura 4G w dużej części pochodzi właśnie od dostawców z państw spoza UE i NATO. Proponowane rozwiązania budzą także wątpliwości prawne. Według Ministerstwa Rozwoju, w stosunku do nowych rozwiązań, ingerujących w zasady podejmowania i wykonywania działalności gospodarczej, powinna zostać przeprowadzona ocena ich zgodności z przepisami m.in. Prawa Przedsiębiorców. MR poświęca wiele miejsca także możliwościom odwołania od decyzji Kolegium ds. Cyberbezpieczeństwa. Możliwościom, które wydają się iluzoryczne, gdy jedyną instytucją odwoławczą od działań Kolegium jest ono samo. „Proponuje się wskazanie innego niż Kolegium organu odwoławczego. Dzięki temu dostawca otrzyma większą gwarancję, że jego sprawa zostanie gruntownie rozpatrzona po raz drugi przez niezależną od Kolegium instancję” –czytamy w opinii resortu. Wątpliwości budzi także kwestia podmiotów, które uzyskają ocenę tzw. umiarkowanego ryzyka i niejasne kryteria dotyczące tego, w jaki sposób mogłyby one poprawić swoje bezpieczeństwo w celu utrzymania sprzętu na rynku.

Ograniczenia wolności gospodarczej

Swoje uwagi do nowelizacji projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa zgłosiło także Rządowe Centrum Legislacji (RCL). W datowanym na początek października br. piśmie skierowanym do Premiera/ Ministra Cyfryzacji Mateusza Morawieckiego znajdujemy, podobnie jak w piśmie MR, liczne wątpliwości dotyczące proponowanej procedury oceny dostawców usług i oprogramowania. Podstawowy zarzut to brak „zamkniętego katalogu przesłanek oceny”, co wg. RCL może doprowadzić do tego, że ocena oferentów dokonywana będzie w sposób dowolny. Dla RCL nie jest także jasne, na podstawie jakiego materiału dowodowego tezy o ewentualnym ryzyku z dostawcą związanym mają być weryfikowane. Według RCL w przedstawionym projekcie nie wskazano także przejrzystego sposobu, w jaki dokonywana ma być sama ocena, a także jej odniesienie do już istniejących norm prawnych. Ponownej analizy wymagać ma także procedura informowania o wyniku oceny ryzyka samego dostawcy. Komunikat na ten temat, zgodnie z projektem ustawy, ma być publikowany w „Monitorze Polskim”, a dostawca może wnieść odwołanie w terminie 14 dni od daty publikacji, co nakłada na niego obowiązek codziennego studiowania dzienników urzędowych i tropienia ewentualnych komunikatów, których przeoczenie skutkować może brakiem możliwości odwołania się od decyzji w przewidzianym do tego terminie. Jak zauważa RCL „brak informacji o toczącym się postępowaniu, a także brak udziału dostawcy na pierwszym etapie postępowania przed Kolegium powoduje, że procedura odwoławcza przewidziana w projektowanych przepisach może spotkać się z zarzutem iluzoryczności”, a przewidzianemu w projekcie trybowi odwoławczemu można zarzucić naruszenie Konstytucji RP. Jak zauważa recenzent, niektóre zapisy ustawy o KSC kreują także zakazy, które mogą nie tylko wpłynąć na ograniczenie wolności działalności gospodarczej, ale także tę wolność naruszyć. Dlatego konieczna jest ich ocena z perspektywy ochrony interesu publicznego oraz zasady proporcjonalności, o której mowa m.in. w Konstytucji RP.

Podobnych uwag jest wiele. Wątpliwości do nowelizacji ustawy o cyberbezpieczeństwie zgłaszają nie tylko przedsiębiorcy. Spojrzenie na nowe rozstrzygnięcia jest zróżnicowane także wewnątrz samego rządu. Efekt? Przed UKE zadanie trudne. Jak określić zasady aukcji, by wyłonieni dostawcy spełniali nie tylko obecne wymogi prawne, ale i być może te projektowane? A jeśli projekt, zgodnie z sugestiami, ulegnie zmianie? Swoisty węzeł gordyjski. Aleksander Wielki nie rozplątywał. Rozciął. Niestety w tym dylemacie jedno śmiałe cięcie nie jest rozwiązaniem. Gospodarce cięcia rzadko wychodzą na dobre.

Czytaj też:
Kontrowersyjny przetarg UKE. Co dalej z 5G?