Od kilku miesięcy trwają prace nad nowelizacją ustawy o krajowy systemie cyberbezpieczeństwa, 21 stycznia opublikowano drugą wersję projektu nowelizacji.

Trudno to uznać za drugą wersję – to raczej zupełnie nowy projekt. Zaczynając od tytułu dokumentu – we wrześniu był to projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych, styczniowy nosi nazwę ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo telekomunikacyjne. Oba projekty znacząco różnią się także zawartością. Ten ze stycznia zawiera cały nowy, bardzo ważny rozdział na temat certyfikacji. Więc tak naprawdę należałoby zacząć prace od początku i rozpocząć teraz rzetelne konsultacje publiczne i to co najmniej 45-dniowe. Jest to tym bardziej ważne, że – jak pokazały konsultacje wrześniowego projektu – materia jest bardzo skomplikowana i dotyka bardzo wielu podmiotów. Przyglądam się procesom legislacyjnym w Polsce od wielu lat i naprawdę nie zdarza się, żeby do projektu nowelizacji ustawy uwagi zgłaszało aż 114 różnych podmiotów.

Dlaczego aż tak wiele?

Bo wbrew pozorom najważniejsze zmiany proponowane w tych przepisach nie dotyczą tylko dostawców sprzętu i oprogramowania czy operatorów telekomunikacyjnych. Tak naprawdę dotyczą one każdego – dotkną statystycznego Kowalskiego i to na wiele sposobów. Jeśli zapisy pozostaną w takim kształcie proces cyfryzacji w Polsce zostanie zahamowany. Cyfryzacja to nie tylko dostęp do szybkiego internetu dla obywateli, to tak naprawdę podstawa działania i rozwoju wszelkich gałęzi gospodarki i życia publicznego. Bez możliwości szybkiego przesyłu danych, nie ma mowy o sprawnym zarządzaniu np. gminą, przecież możliwości jakie daje smartcity oznaczają realne oszczędności, bo można lepiej zarządzać miejską komunikacją czy wywozem śmieci i nie tracić pieniędzy na puste przewozy. Nie ma mowy także o wygodnym dostępie do usług cyfrowych dla obywateli czy zarządzaniu firmą – a jak pokazała pandemia, to dzięki przeniesieniu się do internetu udało nam się działać w czasie lockdownu. Jeśli ustawa wejdzie w życie w takim kształcie, te wszystkie obszary będą zagrożone.

Z jakiego powodu i czy to będzie oznaczać podniesienie rachunków za internet czy telefon dla przeciętnego Kowalskiego?

Jeśli chodzi o rachunki, to w perspektywie krótkookresowej podwyżek raczej nie będzie, bo rynek jest bardzo konkurencyjny, ale z pewnością w dłuższym okresie przeciętny Kowalski będzie musiał głębiej sięgnąć do kieszeni, by zapłacić więcej za szybkość przepływu danych i za wszystkie nowości, które będą pojawiały się na rynku. Projekt nowelizacji ustawy, zarówno ten pierwszy, jak i ten drugi, pozwala wykluczyć z rynku telekomunikacyjnego niektórych graczy, przy tych zapisach bardzo poważnych graczy m.in. chińskich. Jeśli zostaną oni uznani za dostawców wysokiego ryzyka oznacza to, że automatycznie operatorzy będą w ciągu 5 lub 7 lat musieli wymienić cały sprzęt, który od nich pochodzi. A mówimy o całej infrastrukturze telekomunikacyjnej – więc o ogromnych kosztach, które całkowicie przerzucone są na operatorów (w projekcie nie ma mowy o odszkodowaniach od państwa lub pomocy państwa w wymianie sprzętu) Wymiana sprzętu będzie niosła za sobą konieczność wstrzymania inwestycji – a co jeszcze ważniejsze taka sytuacja sprawi, że operatorzy, zwłaszcza ci zagraniczni uznają, że Polska jest krajem wysokiego ryzyka inwestycyjnego, bo nie wiadomo, czy za chwilę znów nie zmienią się przepisy i znów ktoś nie zostanie wykluczony. To sprawi, że przestaniemy być atrakcyjnym rynkiem i to nie u nas będą pojawiały się najnowsze rozwiązania. A jeśli już będą to ich koszty dla odbiorców będą wyższe, bo ryzyko inwestycyjne związane z ich wprowadzeniem również będzie wysokie.

W nowym projekcie pojawia się cały rozdział o certyfikacji, która ma być kluczem do dbania o cyberbezpieczeństwo.

To ważny element i zdecydowanie trzeba o nim rozmawiać, bo cyberzagrożenia to nie tylko cyberprzestępcy, ale także szpiegostwo gospodarcze czy państwowe. Więc prace nad uszczelnianiem zabezpieczeń z pewnością powinny być stale prowadzone i powinna być stała współpraca między państwem a np.firmami, która polegałaby na wymianie informacji i doświadczeń, tak by jak najlepiej dbać od bezpieczeństwo w sieci. Niestety zapisy projektu nie dają pola do współpracy, a raczej są próbą uzyskania kontroli państwowej nad działalnością firm. Przykładem mogą być choćby zapisy o tym, że w przypadku incydentu związanego z cyberbezpieczeństwem wojewoda będzie mógł kontrolować nie tylko zadania zlecone samorządów, ale także ich zadania własne. Taki zapisów, które zawierają element kontroli, a nie współpracy jest więcej – jak choćby wydawanie decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka bez uzasadnienia, czy prowadzenie niejawnego postępowania w sądzie administracyjnym – to wszystko sprawia, że firmy nie są w walce o cyberbezpieczeństwo partnerami państwa, tylko pionkami, które nawet nie mają szansy bronić swojego dobrego imienia.

Co należałoby zrobić w tej sytuacji?

Usiąść i rzetelnie porozmawiać. Na początek o tym, jak rzetelnie dbać o cyberbezpieczeństwo państwa i jak możemy to robić razem. Bo z pewnością ten projekt nie jest sposobem na ochronę przed cyberprzestępcami.

Mariusz Busiło jest prawnikiem specjalizującym się w prawie telekomunikacyjnym, prawie IT, prawie mediów oraz prawie autorskim.