W projekcie proponuje się zapisy, które pozwalają oceniać bezpieczeństwo sprzętu i oprogramowania przez pryzmat kraju, z jakiego pochodzą jego producenci.

To prawda, dlatego wciąż zabiegamy jako organizacja o to, by kryteria oceny wszystkich dostawców (nie tylko telekomunikacyjnych) były obiektywne i mierzalne. Uważamy, że należy raz jeszcze pochylić się nad kryteriami technicznymi oceny dostawców i włączyć je do projektu w stopniu szerszym niż w zaproponowanej w styczniu wersji projektu ustawy. Tylko podejście oparte na ocenie sprzętu i oprogramowania, a nie dostawców i ich kraju pochodzenia, pozwoli na równe i niedyskryminacyjne potraktowanie wszystkich firm na rynku objętych ewentualną oceną ze strony kolegium ds. cyberbezpieczeństwa czy ministra właściwego ds. informatyzacji.

Jak proponowane przepisy wpisują się w unijne rozwiązania stosowane w tej sprawie?

UE stworzyła ramy prawne dla państw członkowskich do stworzenia przez nie krajowych systemów cyberbezpieczeństwa (tzw. dyrektywa NIS). Komisja Europejska oraz ENISA (Agencja UE ds. Cyberbezpieczenstwa) są zaangażowane w formułowanie wymagań dotyczących bezpieczeństwa sieci 5G (m.in. 5G Toolbox, zawierający zestaw środków zabezpieczających na poziomie strategicznym i technicznym oraz określający działania wspierające stosowanie tych środków dla ograniczenia ryzyk cyberbezpieczeństwa w sieciach 5G).

Przewidziane w projekcie ustawy o krajowym systemie cyberbezpieczeństwa mechanizm oceny dostawców sprzętu nie jest w pełni zgodny z wymaganiami określonymi w dokumencie 5G Toolboxw zakresie środków strategicznych. Chodzi o środek określony jako SM03: „Ocena profilu ryzyka dostawców i zastosowanie ograniczeń do dostawców uznanych za wysokiego ryzyka — ma następować w odniesieniu do kluczowych aktywów”. Mechanizm oceny powinien więc dotyczyć „key assets” – kluczowych aktywów (zdefiniowanych w Toolbox), a nie dostawców, którzy dostarczają wspomniane „key assets”. Kryterium powinno mieć zatem charakter przedmiotowy i odnosić się do konkretnie zdefiniowanych rodzajów zasobów. Powyższą interpretację potwierdza ocena realizacji Toolbox w krajach członkowskich UE w dokumencie z lipca 2020 r. NIS Cooperation Group pt. Report of Member States’ Progress in Implementing the EU Toolbox on 5G Cybersecurity.

A jak proponowane rozwiązania mają się do przepisów międzynarodowych dotyczących wolnego handlu m.in. GATT czy bilateralnych umów międzynarodowych

To kwestia wciąż wymagająca dodatkowych analiz, ale w Konfederacji Lewiatan widzimy potencjalną niezgodność nowej wersji projektu z GATT czy BITami. Art. XXI porozumienia GATT pozwala na stosowanie przez strony porozumienia wszelkich działań, jakie uważają one za niezbędne do ochrony swych żywotnych interesów bezpieczeństwa. Czy wymagania zdefiniowane w ustawie o krajowym systemie cyberbezpieczeństwa mieszą się czy nie w pojęciu „żywotnych interesów bezpieczeństwa” wymagałoby ewentualnego zbadania przez Światową Organizację Handlu (WTO) w ramach procedury rozjemczej.

A co z ze zgodnością z polskim systemem prawnym – w ustawie stosuje się przepisy wynikające z kodeksu administracyjnego, ale jednocześnie wprowadza się wiele wyjątków, które pozwalają m.in. na brak uzasadnienia decyzji o uznaniu za dostawcę wysokiego ryzyka lub niejawne posiedzenia sądu w tej sprawie?

Zdaniem Konfederacji Lewiatan brak uzasadnienia decyzji i niejawność posiedzeń, ale co najistotniejsze, nadawanie decyzjom (poleceniom zabezpieczającym wydawanym przez ministra właściwego do spraw informatyzacji) rygoru natychmiastowej wykonalności to środki nieproporcjonalne, które przede wszystkim utrudnia dochodzenie praw firm na poziomie krajowym. Brak uzasadnienia decyzji powoduje niemożność odniesienia się przez dostawcę, uznanego za potencjalnie ryzykownego, do przyczyn wykluczenia z rynku, a co za tym idzie znaczne ograniczenie praw do obrony. Z kolei rygor natychmiastowej wykonalności decyzji powoduje, że nawet jeżeli dostawca wygra sprawę w sądzie, to skutki wcześniejszej decyzji będą w zasadzie nieodwracalne.

Co byłoby najlepszym rozwiązaniem w dalszych pracach nad tym projektem?

Zdecydowanie cały rynek telekomunikacyjny domaga się przeprowadzenia ponownych konsultacji publicznych, odnoszących się do zaproponowanej w styczniu wersji projektu, zorganizowanie wysłuchania publicznego oraz konferencji uzgodnieniowej z udziałem wszystkich interesariuszy uczestniczących w konsultacjach publicznych.

Głównym powodem jest to, że nowa wersja projektu o krajowym systemie cyberbezpieczeństwa diametralnie różni się od pierwotnie zaproponowanej. Wprowadzenie do projektu ustawy zmian dotyczących m.in. powołania Operatora Strategicznej Sieci Komunikacji Elektronicznej oraz nowego trybu przydziału częstotliwości w celu oferowania usług na warunkach hurtowych na tym etapie prac legislacyjnych, bez ponownego przeprowadzenia etapu konsultacji, stanowi w naszej ocenie naruszenie podstawowych zasad dialogu w ramach procesu legislacyjnego. Nowości nie są zmianami technicznymi, a wręcz rewolucyjnymi i będą miały dla kręgu swoich adresatów ogromne znaczenie praktyczne, mogąc skutkować poważnymi zmianami na rynku telekomunikacyjnym.

Aleksandra Musielak – doktor nauk prawnych, absolwentka Wydziału Prawa i Administracji Uniwersytetu Mikołaja Kopernika w Toruniu oraz Wydziału Prawa Uniwersytetu Warwick. Od marca 2017 r. ekspert w Departamencie Prawa Gospodarczego Konfederacji Lewiatan.

Od 2018 r. w Polsce obowiązuje ustawa o Krajowym Systemie Cyberbezpieczeństwa, w którym zostały wpisane obszary kluczowe dla bezpieczeństwa państwa (energia, zdrowie, transport, banki, finanse, infrastruktura cyfrowa i zaopatrzenie w wodę). We wrześniu 2020 roku rozpoczęto konsultacje na temat zmian w tej ustawie. W projekcie proponuje się poszerzenie obszarów kluczowych o telekomunikację. Zdefiniowano w nim także kryteria oceny firm, które mogą dostarczać sprzęt i oprogramowanie.