Czy w projekcie ustawy o krajowym systemie cyberbezpieczeństwa chodzi o stworzenie ram prawnych dla cyberbezpieczeństwa w Polsce, czy o wykluczenie jednego podmiotu z naszego rynku?
dr Jarosław Tworóg, wiceprezes Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji:
Ustawa jest potrzebna, bez dwóch zdań. Ale nie musi być tak skomplikowana, jak się planuje. I nie musi zawierać wielu rozwiązań, które się w niej mają znaleźć. To, co zostało przygotowane, na pewno nie przysłuży się niczemu dobremu
Mogę powiedzieć, o co powinno chodzić. Bo o co chodzi politykom – naprawdę nie wiem.
Istotą problemu jest to, że w ciągu ostatnich 20 lat nastąpiła tak daleko idąca cyfryzacja, że dostęp do danych stał się podstawą funkcjonowania. Także pozyskiwanie danych nienależących do nas stało się źródłem określonych korzyści. I stoimy przed wyzwaniem, jak uczynić, by nie dopuszczać do zjawiska, że ktoś wchodzi w posiadanie informacji dla niego nieprzeznaczonych. Ponadto łamanie zabezpieczeń informatycznych prowadzi do dysfunkcyjności systemów. Jest również trzeci aspekt, dla mnie szczególnie ważny – budowa w przestrzeni biznesowej czegoś, co powinno się określać mianem suwerenności cyfrowej. Chodzi o to, by podmioty, których funkcjonowanie zależy od kontroli nad własnymi danymi, miały taką możliwość. Ustawa powinna zapewnić warunki prawne, by można było swoje dane chronić. Jest ona potrzebna, bez dwóch zdań. Ale nie musi być tak skomplikowana, jak się planuje. I nie musi zawierać wielu rozwiązań, które się w niej mają znaleźć. Tak więc widzę potrzebę uchwalenia ustawy, ale to, co zostało przygotowane, na pewno nie przysłuży się niczemu dobremu.
Łukasz Bazański, radca prawny, partner w kancelarii itB Legal Bazański, Grabiec:
Cała procedura konsultacji sprawia wrażenie dość fasadowej. Organizacje biznesu, eksperci oceniają bowiem jedne rozwiązania, a w poprawionym projekcie pojawiają się zupełnie nowe regulacje, w ogóle niezwiązane ze zgłoszonymi uwagami
Pamiętajmy o tym, że ustawa o krajowym systemie cyberbezpieczeństwa już obowiązuje od 2018 r. Teraz przygotowana została nowelizacja, która jest niesłychanie rozbudowana. Co więcej, w pierwszym projekcie nowelizacji było znacznie mniej proponowanych przepisów niż jest teraz. Mam wrażenie, że decydenci mnożą bez potrzeby i nadmiernie komplikują przepisy. Tymczasem potrzebne byłyby uproszczenia. Cała procedura konsultacji sprawia wrażenie dość fasadowej. Organizacje biznesu, eksperci oceniają bowiem jedne rozwiązania, a w poprawionym projekcie pojawiają się zupełnie nowe regulacje, w ogóle niezwiązane ze zgłoszonymi uwagami.
Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej:
Błędne jest założenie, że urządzenia produkowane w państwach członkowskich Unii Europejskiej są bezpieczniejsze od tych produkowanych poza Unią. Powiedzmy sobie wprost: w Europie niemalże nie ma producentów produkujących profesjonalny sprzęt telekomunikacyjny wysokiej klasy
Jeśli ustawa zostanie uchwalona w takiej postaci, jak to obecnie jest proponowane – sytuacja zmieni się na o wiele gorszą dla niemal wszystkich zainteresowanych osób. Jako izba widzimy, że błędne są nie tylko poszczególne przepisy, co błędne są w ogóle założenia reformy. Całkowicie chybionym założeniem jest, aby jakaś centralna komisja decydowała o losach operatorów telekomunikacyjnych. To dowód na nieznajomość zagadnienia, bo nie ma możliwości, ażeby eksperci z Warszawy, nieznający konkretnej sieci i jej mechanizmów, mogli decydować, czy coś jest bezpieczne, czy jest niebezpieczne.
Ponadto błędne jest założenie, że urządzenia produkowane w państwach członkowskich Unii Europejskiej są bardziej bezpieczne od tych produkowanych poza Unią. Powiedzmy sobie wprost: w Europie niemalże nie ma producentów produkujących profesjonalny sprzęt telekomunikacyjny wysokiej klasy. Tak się ten rynek ukształtował na przestrzeni ostatnich lat, że dobry sprzęt produkuje się wszędzie, tylko nie w Europie. Gdybyśmy więc chcieli ograniczyć się do wykorzystywania jedynie europejskiego sprzętu, to będzie znacznie gorzej, drożej i wcale nie będzie bezpieczniej. A cała koncepcja uderzy najbardziej w drobnych polskich operatorów telekomunikacyjnych, których nie będzie stać na wymianę sprzętu z azjatyckiego na europejski.
A może centralna komisja w Warszawie to nie taki głupi pomysł? Zakładam, że operatorzy, którzy mieliby kłopot z zapewnieniem bezpieczeństwa swoich sieci, sami nie rwaliby się do poprawiania sytuacji. A komisja będzie obiektywna.
prof. Robert Gwiazdowski, adwokat, Uczelnia Łazarskiego:
Jeśli sprzęt europejski nie jest lepszy, na pewno jest droższy oraz nic nie wskazuje na to, ażeby był bardziej bezpieczny, to dlaczego podejmować politycznie uwarunkowaną decyzję o wykluczeniu części producentów z rynku? Zapłacą za to wszyscy odbiorcy usług telekomunikacyjnych
Projektowana ustawa to klasyczny przykład, jak nie należy tworzyć prawa. Jest też przykładem na to, że kolejne regulacje tworzą więcej nowych problemów, aniżeli rozwiązują starych. I wreszcie to dowód na to, iż sprawdza się pierwsze prawo Murphy’ego. Czyli jeśli coś może pójść źle, to na pewno pójdzie źle.
Każdy organ ma naturalną biurokratyczną tendencję do poszerzania swoich własnych uprawnień. Ustawodawca chce więc scentralizować system cyberbezpieczeństwa, mimo że projektem ustawy pokazuje, iż nie ma o nim pojęcia. Nowo powołana komisja też będzie chciała pokazać, jak bardzo jest potrzebna. Zacznie coś narzucać operatorom telekomunikacyjnym, mimo że jej członkowie zapewne nie będą mieli pojęcia o uwarunkowaniach technicznych oraz biznesowych podmiotów, na które zaczną nakładać obowiązki.
Scenariusz rysuje się więc moim zdaniem czarny. I co gorsza, raptem w 2018 r. uchwalono ustawę. Widzimy, że ona nie działa. Projektodawca zaś, zamiast przeanalizować sytuację i wyciągać wnioski, udaje, jakby ustawy z 2018 r. nie było i tworzy nowe, oderwane od rzeczywistości przepisy.
Dlaczego jednak ustawodawca miałby nie móc wskazać, że woli europejskich dostawców sprzętu telekomunikacyjnego od azjatyckich?
Robert Gwiazdowski: Ależ może wskazać! Należy sobie jednak zadać pytanie, po co miałby to robić i w czyim interesie? Jeśli sprzęt europejski nie jest lepszy, na pewno jest droższy oraz nic nie wskazuje na to, ażeby był bardziej bezpieczny, to dlaczego podejmować politycznie uwarunkowaną decyzję o wykluczeniu części producentów z rynku? Przecież zapłacą za to wszyscy odbiorcy usług telekomunikacyjnych. Nie ma innej możliwości. Czy suweren zainteresowany jest tym, by mieć szybciej dostęp do nowoczesnej infrastruktury, która mu się przydaje w biznesie i w życiu codziennym, czy też może na to jeszcze poczekać w imię realizacji politycznych celów władzy? Czy przeciętny Polak woli mieć taniej czy drożej? I wreszcie: czy istotniejsze jest to, żeby biznes telekomunikacyjny mógł się w Polsce rozwijać, czy żeby zyskać na ograniczeniu konkurencji mogło kilka firm, które akurat z rynku nie zostaną wyrzucone?
Jarosław Tworóg: Warto dodać, że już ustawa z 2018 r. została skonstruowana bez zrozumienia tematu. Nie wiadomo, z jakiego powodu skupiono się na operatorach telekomunikacyjnych, którzy przecież odpowiadają głównie za transport danych, a nie za ich bezpieczeństwo. Zabrakło zrozumienia, że cyberbezpieczeństwo nie jest zagadnieniem regionalnym, sektorowym czy branżowym, tylko jest problemem sieciowym i dotyczy warstw sieci. Czyli dotyczy czegoś, co nie daje się umiejscowić geograficznie. Nie ma przecież narodowej sieci, państwowych granic sieci itd. Obrona infrastruktury prowadzona jest na poziomie podmiotów, które mają dane, oraz sieci jako takiej. Najprostszy przykład: nie mówi się o tym, że załamało się bezpieczeństwo sieci telekomunikacyjnej. Mówi o kłopotach konkretnego banku, zakładu ubezpieczeń czy koncernu energetycznego.
Unarodowienie sieci oraz sprzętu to błąd. Obecnie żaden końcowy produkt nie ma jednego konkretnego miejsca wytworzenia. To, na ile bezpieczny jest dowolny element systemu telekomunikacyjnego, zależy od projektantów, konstruktorów i producentów z całego świata. W efekcie jedynym sensownym rozwiązaniem jest przyglądanie się poszczególnym produktom przez specjalistów. Projektodawca tymczasem chce oceniać bezpieczeństwo przez pryzmat części świata, z której pochodzi dane urządzenie. Każdy specjalista przyzna, że to absurd, który nie może w niczym pomóc.
Łukasz Bazański: To prawda. Mam wrażenie, że twórcy projektu ustawy nie rozumieją realiów hurtowej współpracy międzyoperatorskiej. Wprowadzony ma zostać mechanizm, zgodnie z którym gdy organ de facto polityczny uzna danego dostawcę sprzętu za dostawcę wysokiego ryzyka, to operatorzy będą mieli określony czas na wycofanie sprzętu tego podmiotu z rynku. Na marginesie, wydłużono ten termin do 7 lat, ale na wymianę krytycznego sprzętu, wskazanego w załączniku numer 3 do projektu ustawy, wciąż dostaną 5 lat. Decyzja ta zawsze ma podlegać rygorowi natychmiastowej wykonalności. To czas, który nie wystarczy na zamortyzowanie kosztu zakupu nowego sprzętu.
To zaś, co zmieniono po uwagach branży, to uznano, że tylko najwięksi operatorzy będą musieli wycofywać sprzęt. Chodzi o ok. 100 podmiotów. Tyle że w ten sposób nie uda się rozwiązać żadnego problemu na gruncie cyberbezpieczeństwa, bo operatorzy, których obejmie nowy wymóg, często korzystają z sieci innego mniejszego operatora (i vice versa), którego teoretycznie tenże wymóg wymiany sprzętu nie obejmie. W ten sposób ustawodawca, chyba niechcący, zabije praktykę współdzielenia sieci przez operatorów telekomunikacyjnych. Podczas gdy w ramach programu „Polska cyfrowa” sam do tego zachęca.
Nie mam wątpliwości, że wejście w życie ustawy oraz uznanie sprzętu pozaunijnych dostawców za niebezpieczny przełoży się na zniknięcie z rynku małych i średnich operatorów. W efekcie skutki dotkną także końcowych użytkowników, czyli nas wszystkich.
Robert Gwiazdowski: Mówiąc krótko: Gwiazdowski, Słowik czy Kowalski zapłacą więcej. Bo ustawodawca wymyślił sobie pewną wizję i za pomocą kija bejsbolowego będzie ją realizował, pomijając przy tym całkowicie zasady ekonomii, prawidła technologii i zwykły zdrowy rozsądek.
Tworzą panowie zupełnie apokaliptyczną wizję, że mali i średni przedsiębiorcy poupadają, a przeciętni obywatele będą więcej płacili za użytkowanie telefonu komórkowego i internet. A może to tylko strachy na lachy i po prostu przedsiębiorcy zaczną zarabiać odrobinę mniej?
Karol Skupień: Samo wejście ustawy w życie nie dobije polskich operatorów. Ale już jej wykorzystanie w postaci decyzji szanownego gremium z Warszawy o nakazie usunięcia urządzeń określonych producentów z naszych sieci – tak, to nas zabije. Niemal wszyscy albo wszyscy mali i średni operatorzy wówczas zbankrutują. Bo nie ma podmiotów, które opierałyby swoją infrastrukturę na sprzęcie europejskim. Nawet jeśli ktoś go ma, to odsetek tego sprzętu wynosi kilka procent w ogóle wykorzystywanego sprzętu.
Ustawodawcy się wydaje, że bezpieczeństwo sieci to sprawa producentów. Tyle że nawet jeśli byłby po naszej stronie jakikolwiek błąd, jakakolwiek wina, to najlepiej by było pomóc nam ten kłopot rozwiązać, a nie skazać całą branżę na bankructwo. Próbuje się nas potraktować tak, jak nie traktuje się żadnej innej branży. Pamiętajmy, że my otwieraliśmy swoje firmy i kupowaliśmy sprzęt w dobrej wierze. I nie ma żadnego obiektywnego i rozsądnego powodu, aby teraz zmieniać w pośpiechu zasady naszego funkcjonowania. Co więcej, wyobraźmy sobie nawet sytuację, że operator wymienia sprzęt producenta X na sprzęt producenta Y. Zapożycza się na to, ale wierzy, że uda mu się przetrwać. A warszawska komisja po roku od tej wymiany stwierdzi, że sprzęt Y też jest niebezpieczny i należałoby wymienić na Z. To przecież całkiem realny scenariusz, bo nowo powołane gremium będzie mogło w każdej chwili wykluczyć danego producenta z rynku telekomunikacyjnego. Uchwalenie ustawy będzie oznaczało więc upadek polskich przedsiębiorców – wcześniej albo odrobinę później.
Robert Gwiazdowski: Niektórzy mogą przetrwać. Albo znajdą inwestora, który ich wykupi, albo większego partnera, albo w największym możliwym stopniu zoptymalizują koszty. Tyle że rynek zmieni się na gorsze i tak. Mniejsza konkurencja przełoży się na gorsze warunki dla odbiorców końcowych. Tak więc te apokaliptyczne wizje nie są wcale aż tak apokaliptyczne. A drobna przesada to po prostu chęć pokazania absurdu, do jakiego chce doprowadzić ustawodawca.
Jarosław Tworóg: Mniej szkodliwe są te ustawy, które od razu, bezpośrednio po ich wejściu w życie, są tak fatalne, że wszyscy to dostrzegają. Wtedy bowiem często wprowadzane są jakieś zmiany, politycy się wycofują. W przypadku ustawy o krajowym systemie cyberbezpieczeństwa niestety będzie gorzej, bo negatywne skutki będą rozłożone w czasie. Nie mam wątpliwości, że sposób, w jaki politycy grzebią w tak istotnej sprawie, jak transformacja obecnej gospodarki i przejście do gospodarki cyfrowej, może nas opóźnić o dekadę w rozwoju technologicznym. Skutki tych decyzji odczują kolejne dwa albo może nawet i trzy pokolenia. Wejście w życie ustawy to nie tylko zniszczenie operatorów telekomunikacyjnych i wyższe rachunki, lecz także niszczenie systemów elektroenergetycznych, pogorszenie zarządzania magazynami energii, gorsze wykorzystanie potencjału transportowego, gorsza edukacja itd. Nieodpowiedzialne grzebanie w gospodarce cyfrowej, wbrew wskazaniom w zasadzie wszystkich ekspertów, będzie miało paskudne konsekwencje daleko wykraczające poza to, co możemy sobie na pierwszą myśl wyobrazić. I co gorsza, my – eksperci – naprawdę nie możemy zrozumieć, w imię czego politycy to chcą zrobić.
Ustalmy to, co dla przeciętnego czytelnika dziś i jutro będzie najważniejsze: czy po wejściu w życie ustawy zapłacę wyższy abonament za telefon komórkowy i będę płacił więcej za internet?
Robert Gwiazdowski: Tak, nie mam wątpliwości, że tak.
Łukasz Bazański: Przy czym może to być odroczone w czasie, w zależności od tego, czy będzie pan miał szczęście korzystać z operatora w większym stopniu wykorzystującego sprzęt europejski, czy też nieszczęście korzystać z usług operatora wykorzystującego sprzęt uznany za stwarzający zagrożenie dla naszego bezpieczeństwa. W gorszym wariancie zapłaci pan więcej niemal od razu. W lepszym – po pewnym czasie. Bo operatorzy, którzy pozostaną na rynku, bardzo szybko dostrzegą, że zmniejszyła się konkurencja, ich koszty wzrosły, więc można podnieść opłaty. A będzie je można podnieść bez ryzyka, że pan zrezygnuje z usług, bo opłaty podniosą wszyscy, a jednocześnie dostęp do telefonu czy internetu jest już na tyle powszechny, że ryzyko, iż pan uzna, że w ogóle nie będzie z nich korzystał, jest minimalne.
Wszyscy operatorzy bazują na sprzęcie azjatyckim? Dlaczego więc nie można by premiować tych, którzy od wielu lat korzystali ze sprzętu europejskiego?
Karol Skupień: Nie znam takiej firmy, która by nie korzystała ze sprzętu azjatyckiego i preferowała sprzęt europejski. Oparcie firmy wyłącznie na sprzęcie europejskim jest po prostu niemożliwe. Możliwe jest używanie jakichś części, ale nie całego sprzętu. Producenci w Europie istnieją, nawet w Polsce znam kilku niewielkich, ale to jest kropla w morzu. Jeżeli mamy do wyboru sprzęt europejski albo 20-krotnie tańszy chiński, to odpowiedź na pana pytanie jest oczywista. Często operatorzy korzystają z parametru stosunek jakości do ceny. I w tym aspekcie sprzęt chiński, który jest stosowany masowo, jest wręcz kosmicznie lepszy od sprzętu europejskiego. Gdybyśmy musieli kupić sprzęt europejski, nigdy nie założylibyśmy naszych firm. Ponadto jest wielu europejskich producentów, którzy są wielkimi korporacjami. I oni w ogóle nie są zainteresowani rozmową z małymi polskimi firmami. Żadna korporacja, nie czując presji Azji, nie będzie nam sprzedawać sprzętu w dobrych cenach. Najpierw sprzęt sprzeda dużym firmom, a ponadto zaoferowana nam cena będzie kilkakrotnie wyższa niż dla dużych operatorów. Mali operatorzy nie są w stanie konkurować na rynku, będąc uzależnieni od jednego czy dwóch producentów. To prosta droga do bankructwa małych firm.
Czyli należałoby odstąpić od prac legislacyjnych nad tą ustawą?
Łukasz Bazański: Wydaje mi się, że nikt nie mówi, iż niepotrzebna jest dobra ustawa o krajowym systemie cyberbezpieczeństwa. Problematyka cyberbezpieczeństwa i zagrożeń istnieje i w miarę rozwoju informacyjnego będzie występowała. Co do faktu istnienia zagrożeń nie mam wątpliwości. Kłopotem jest to, że przedłożona propozycja nie jest dobra. A jest – mówiąc wprost – zła i destrukcyjna.
Rozsądny ustawodawca po opublikowaniu projektu i zebraniu uwag powinien zastanowić się, czy obrał właściwą ścieżkę. W przypadku tego projektu nie została dokonana analiza wpływu projektowanej regulacji na działanie gospodarki i państwa i jej przewidywanych skutków społeczno-gospodarczych, w tym oceny wpływu na mikroprzedsiębiorców, małych i średnich przedsiębiorców. Do tego w zasadzie nie wsłuchano się w uwagi zgłoszone w toku konsultacji, a pojawiły się nowości wprowadzone bez drugiej tury konsultacji społecznych i konferencji uzgodnieniowej. Można odnieść wrażenie, że ustawodawca zamiast eliminować problemy, które już istnieją, chce stworzyć nowe.
Jarosław Tworóg: Rozmawiając o cyberbezpieczeństwie, w ogóle nie powinniśmy mówić o jakimkolwiek dostawcy. Dobra regulacja jest niezbędna, aby mogła funkcjonować nie jakaś gałąź gospodarki, lecz cały przemysł. W tym konkretnym przypadku mam wrażenie, że kwestie techniczne – tak ważne przecież przy tworzeniu prawa bądź co bądź opartego na wiedzy specjalistycznej – są dla polityków zupełnie bez znaczenia. Widoczny jest jakiś niezrozumiały pęd do uchwalenia rozwiązania krytykowanego przez w zasadzie wszystkich: inżynierów, prawników, przedsiębiorców.
Karol Skupień: Tak jak już mówiłem, nie można stworzyć dobrej ustawy, jeśli jej założenia są błędne. A tu są błędne, bo zakłada się, że uda się zapewnić cyberbezpieczeństwo dzięki wykluczeniu jakiegoś producenta sprzętu z rynku. Jeśli ktoś w to naprawdę wierzy, to – niestety – nie ma pojęcia o tematyce, którą postanowił się zająć. Mali i średni operatorzy telekomunikacyjni upadną. Więksi rozpoczną żonglerkę sprzętem, która na pewno nie zwiększy bezpieczeństwa. Stracą też inżynierowie, wśród których nie brakuje fachowców pracujących po 20–30 lat ze sprzętem, który nagle – decyzją powołanego centralnego organu – przestanie być bezpieczny.
Robert Gwiazdowski: Zapewniam, że gdy po dwóch latach obowiązywania ustawy dokonywana będzie analiza, to z całą pewnością władza powie, że „nastąpiło ujednolicenie”, „doszło do zapewnienia warunków”, „wzmocniono współpracę” i „umożliwiono tworzenie centrów”. I parę innych bzdur, z których nic nie wynika – ot, pustosłowie. A tak na poważnie: zagrożeniem jest zwiększenie kosztów funkcjonowania systemu, za który będą musieli zapłacić ludzie. Ponadto stworzymy niebezpieczeństwo, które będzie związane z przesiadaniem się z technologii na technologię. To zawsze jest niebezpieczne. Poza tym pogorszymy warunki funkcjonowania małych i średnich przedsiębiorstw, a polepszymy sytuację dużych. I wreszcie: tego typu regulacje, które dają urzędnikom państwowym dyskrecjonalną władzę nad gospodarką, są korupcjogenne.
Debatę prowadził Patryk Słowik
Opracowała Marzena Sosnowska