Obecnie nadal trwają prace nad ustawą o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo telekomunikacyjne („nowela”).
Gdyby nie zawarte w tej noweli przepisy dotyczące bezpieczeństwa sprzętu dostarczanego do budowy sieci 5G w zakresie oceny tzw. dostawców wysokiego ryzyka („HRV” – High Risk Vendors) oraz zbliżająca się aukcja na rozdysponowanie dla operatorów komórkowych częstotliwości niezbędnych do budowy sieci 5G, poza ekspertami, nie byłoby większego zainteresowania kolejną nowelą tej ustawy. Tymczasem prace nad nowelą nabrały nie tylko wymiaru prawnego i regulacyjnego, ale także politycznego. Powstaje pytanie, co mogłoby zapewnić przyśpieszenie prac nad nią oraz gdzie można poszukiwać obszarów do zmian i uzupełnień możliwych do zaakceptowania przez zainteresowanych.
Kryteria techniczne oceny
O kryteriach oceny HRV powiedziano już dużo. W noweli dodano pewne elementy oceny o charakterze technicznym. Wydaje się jednak, że można zrobić jeszcze więcej w tym obszarze. Poszczególne kraje w UE prezentują różne podejście w zakresie tych kryteriów. W Austrii 22 września br. do austriackiego parlamentu został wniesiony projekt ustawy prawo telekomunikacyjne. Wśród kryteriów oceny HRV (§ 45 tej ustawy) wymienia się:
– niedociągnięcia w jakości produktów oraz praktyki producenta w zakresie cyberbezpieczeństwa, w szczególności niewystarczający poziom kontroli nad własnym łańcuchem dostaw;
– brak umów o bezpieczeństwie lub ochronie danych między UE a krajem siedziby dostawcy lub oświadczeń dostawców zobowiązujących ich do podjęcia środków technicznych i organizacyjnych w celu zapewnienia, że dane użytkownika nie mogą być przekazywane bezprawnie poza UE lub uzyskane bezpośrednio lub pośrednio przez organizacje, instytucje lub władze tych krajów;
– niewystarczający poziom zdolności producenta do zapewnienia ciągłości dostaw.
Postanowienia § 45 austriackiego prawa telekomunikacyjnego nie wymieniają natomiast przesłanek w postaci zdolności ingerencji państwa trzeciego w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania czy struktury własnościowej dostawcy sprzętu lub oprogramowania.
Z kolei w Niemczech dominują szeroko rozbudowane kryteria techniczne oceny. Ponadto, zgodnie z nowelą niemieckiej ustawy prawo telekomunikacyjne oraz ustawy o Urzędzie Federalnym ds. Bezpieczeństwa Technologii Informacyjnych, środki ograniczające ryzyko naruszenia bezpieczeństwa sieci telekomunikacyjnych będą stosowane do komponentów krytycznych. Identyfikacja takich urządzeń będzie prowadzona przez operatorów telekomunikacyjnych w oparciu o funkcje krytyczne opracowane przez niemieckiego regulatora (BNetzA), zgodnie z załącznikiem nr 2 do Katalogu wymagań bezpieczeństwa działania systemów telekomunikacyjnych i systemów przetwarzania danych oraz danych osobowych. Urządzenia zdefiniowane jako krytyczne będą mogły być wykorzystywane w sieciach telekomunikacyjnych pod warunkiem uzyskania certyfikacji bezpieczeństwa IT.
Powstaje więc pytanie, dlaczego w Polsce nie mogą być stosowane rozwiązania takie jak Austrii, Niemczech czy Finlandii, a powinny być stosowane takie jak w Szwecji czy Rumunii. Dotychczasowa praktyka legislacyjna w krajach UE w omawianym zakresie pokazuje, że każdy z krajów przyjmuje indywidualne rozwiązania.
Adekwatność i proporcjonalność decyzji do zagrożeń – ultima ratio
W noweli w obecnym kształcie nie ma rozwiązań, które pozwalałyby na wydanie decyzji dotyczącej HRV co do niektórych tylko produktów czy usług. Decyzja zakazująca zakupu produktów od określonego dostawcy będzie wydawana do wszystkich jego produktów, nawet tych, które nie mają żadnego znaczenia dla bezpieczeństwa infrastruktury telekomunikacyjnej. Będzie w praktyce oznaczać całkowite wykluczenie danego dostawcy z polskiego rynku w zakresie dostaw infrastruktury telekomunikacyjnej. Tymczasem decyzja powinna być adekwatna i proporcjonalna do istniejących zagrożeń bezpieczeństwa.
Przykładem uregulowań spełniających wymóg adekwatności i proporcjonalności wydawanych decyzji w stosunku do HRV są postanowienia przywołanego już projektu § 45 austriackiego prawa telekomunikacyjnego. Zgodnie z tym przepisem, właściwy minister może stwierdzić, że klasyfikacja jako dostawcy wysokiego ryzyka jest ograniczona do określonych obszarów działalności istotnych z punktu widzenia bezpieczeństwa, grup towarów lub usług lub poszczególnych komponentów sprzętu albo oprogramowania oraz do określonego okresu lub obszaru geograficznego.
Warto zauważyć, że elementy oceny na zasadzie proporcjonalności i adekwatności były już przewidziane w noweli w wersji z 7 września 2020 r. (art. 66a ust. 5). Określone były cztery poziomy ryzyka dla bezpieczeństwa (wysokie, umiarkowane, niskie, brak ryzyka) oraz przewidziany sposób postępowania w zależności od poziomu ryzyka.
Przepisy noweli nie przewidują także żadnych postanowień, które dawałyby możliwość podjęcia właściwych środków zaradczych przez HRV, w szczególności wezwanie takiego dostawcy do usunięcia wskazanych zagrożeń z zakreśleniem terminu do ich usunięcia, z zastrzeżeniem, że w razie ich nieusunięcia w określonym terminie zostanie wydana decyzja. Decyzja powinna stanowić ultima ratio, czyli być podejmowana dopiero wtedy, gdy inne, mniej dotkliwe, ale możliwe środki zaradcze okazały bezskuteczne.
Znowu należy zauważyć, że takie środki zaradcze były także przewidziane we wspomnianej noweli w wersji z 7 września 2020 r., tj. istniała możliwość przedstawienia przez dostawcę środków zaradczych eliminujących ryzyka (art. 66a ust. 7). Trudno wyjaśnić, dlaczego projektodawcy zrezygnowali z tych rozwiązań, tym bardziej że takie rozwiązania funkcjonują już w innych krajach (zob. § 244a fińskiej ustawy o usługach łączności elektronicznej).
Udział przedstawicieli środowiska telekomunikacyjnego
Nowela nie przewiduje zarówno pod względem formy, jak i procedury, rozwiązań, które pozwalałyby się wypowiedzieć w kwestiach oceny dostawców przedstawicielom rynku telekomunikacyjnego. Tymczasem takie rozwiązania funkcjonują już w Finlandii i są przewidziane w projekcie ustawy w Austrii. Przykładowo mogłaby zostać powołana Rada ds. Bezpieczeństwa Elektronicznych Sieci Komunikacyjnych. W skład takiej rady wchodziliby zarówno przedstawiciele administracji rządowej odpowiedzialnej za bezpieczeństwo sieci telekomunikacyjnych, Urzędu Komunikacji Elektronicznej, jak i operatorów telekomunikacyjnych, producentów sprzętu oraz izb branżowych. Do zadań rady należałoby doradzanie w zakresie bezpieczeństwa sieci łączności elektronicznej oraz przygotowywanie ekspertyz w procedurach klasyfikowania producenta elementów sieci jako HRV. Rada formułując opinię o dostawcy, uwzględniałaby także potencjalny wpływ na rynek telekomunikacyjny wykluczenia dostawcy w zakresie konkurencji na rynku oraz korzystania z usług przez użytkowników.
