Branża telekomunikacyjna długo czekała na nowy projekt ustawy o krajowym systemie cyberbezpieczeństwa i wiązała z nim niemałe nadzieje. Gdy pojawił się 13 października wywołał zaskoczenie. Według ekspertów, tylko nieliczne zastrzeżenia do projektu zostały wzięte pod uwagę, a resort cyfryzacji dał za mało czasu, bo tylko tydzień, na ustosunkowanie się do proponowanych rozwiązań.

Tygodniowy termin na zgłaszanie poprawek do nowej ustawy, wprowadził branżę w konsternację, zdziwienia nie ukrywają również eksperci. Martwią się, że ważne postulaty mogą znowu zostać pominięte.

- Konfederacja Lewiatan monitoruje prace nad projektem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa od momentu publikacji pierwszej wersji projektu. Nowa ustawa została opublikowana na archiwalnej stronie Ministerstwa Cyfryzacji 13 października br. i spotkała się niemal natychmiast z zaskoczeniem ze strony rynku – mówi mecenas Aleksandra Musielak z Konfederacji Lewiatan.

- Projekt w najnowszej odsłonie zawiera, w stosunku do poprzedniej wersji, szereg elementów, które mogą mieć istotny wpływ na funkcjonowanie firm objętych jego zakresem. Wśród nowości warto wymienić Dział III zatytułowany Strategiczna sieć bezpieczeństwa - obejmujący kwestie Spółki Polskie 5G i Funduszu celowego na rzecz strategicznej sieci bezpieczeństwa. Do projektu dodany został także nowy rozdział 13a zatytułowany Fundusz Cyberbezpieczeństwa – dodaje mecens.

Zdaniem organizacji, projekt należy uznać jako całkowicie nową propozycję legislacyjną, którą trzeba poddać konsultacjom publicznym, dając tym samym stronie społecznej miesiąc na ustosunkowanie się do zaproponowanych rozwiązań.

- Konfederacja Lewiatan z niepokojem dostrzega, że projekt został przesłany z prośba o opinię tylko do kilku wybranych izb branżowych. Konsultacje potrwają tydzień. Konkretnie do 22 października 2021 r. jednak z pominięciem standardów obowiązujących w ramach konsultacji publicznych – twierdzi Musielak.

W prace nad ustawą od samego początku jest również silnie zaangażowana Krajowa Izba Komunikacji Ethernetowej (KIKE). Ta ma na względzie przede wszystkim interesy zrzeszonych przedsiębiorców telekomunikacyjnych.

- Od czasu opublikowania poprzedniej wersji - datowanej na styczeń 2021 r. - w temacie prac nad ustawą nie było zbyt wielu informacji, stąd też otrzymanie po 8 miesiącach kolejnej (już trzeciej) wersji nowelizacji ustawy było dla KIKE zaskoczeniem – mówi Anna Szura, KIKE – GRAP; prawnik z kancelarii itB Legal Bazański, Grabiec.

W ocenie KIKE siedmiodniowy termin jest zbyt krótki by szczegółowo przeanalizować, jakie nowe zmiany zostały wprowadzone, a z jakich zmian zrezygnowano i jaki może mieć to wpływ działalność przedsiębiorców.

- Obecna wersja projektu zawiera szereg nowych, dotychczas w ogóle niekonsultowanych zmian. W tym plan powołania operatora strategicznej sieci bezpieczeństwa, utworzenia spółki Polskie 5G czy plan utworzenia Funduszu Cyberbezpieczeństwa i zasilenie go m.in. środkami z Funduszu Szerokopasmowego. Przewidziana jest również ingerencja w zasady przyznawania zasobów określonych częstotliwości – informuje Szura. - Są to kwestie, które w większym, bądź mniejszym stopniu dotyczą interesów przedsiębiorców telekomunikacyjnych i przewidziane siedem dni na przeanalizowanie tych zmian i ich skutków oraz zgłoszenie uwag, jest bardzo krótkim terminem. Projekt z października jest diametralnie innym projektem niż ten, ze stycznia 2021 r. Zupełnie zmieniony został przedmiot ustawy – dodaje przedstawiciel Izby.

KIKE, po pobieżnej tylko weryfikacji zapisów kluczowych dla przedsiębiorców telekomunikacyjnych, które były już wcześniej konsultowane, widzi, że projektodawca nie jest chętny, by iść na ustępstwa. Wiele uwag nie zostało uwzględnionych. Izba nadal ma zastrzeżenia do procedury „w sprawie uznania za dostawcę wysokiego ryzyka dostawcy sprzętu lub oprogramowania”, która była krytykowana m.in. z uwagi na możliwe skutki gospodarcze dla zrzeszonych w KIKE przedsiębiorców.

- Naturalnie, interes publiczny związany z bezpieczeństwem w cyberprzestrzeni jest bardzo ważny, ale nie powinien on zupełnie pomijać interesu prywatnego. Zdaje się, że projektodawca chciałby kompleksowo uregulować kwestie cyberbezpieczeństwa na szczeblu centralnym i decyzjami określić co jest bezpieczne, a co nie, kierując się nieobiektywnymi kryteriami. Tymczasem konieczne jest indywidualne podejście do sfery cyberbezpieczeństwa, uwzględniające rozwiązania informatyczne stosowane przez poszczególnych przedsiębiorców – mówi przedstawiciel KIKE. I dodaje. - Zamiast dokładać przedsiębiorcom kolejnych obowiązków, wspierajmy współpracę z wyspecjalizowanymi organami bez nadmiernej biurokracji i zapewniajmy wymianę informacji w zakresie dobrych praktyk. Lepsze rezultaty osiągniemy współpracą i partnerskim podejściem mając ten sam cel, niż odgórnymi nakazami stosowania określonych rozwiązań. W ocenie KIKE właśnie takich założeń brakuje w projekcie nowelizacji.

Zastrzeżenia do projektu ma również prof. dr hab. Maciej Rogalski z Uczelni Łazarskiego, który przedstawił swoją opinię ISBnews. Według niego projekt uległ poważnej modyfikacji i jego obecne zapisy dotyczące m.in. wyłączenia jawności postępowania, decyzji o wykluczeniu dostawcy z rynku, powinny zostać zmienione, jak i powinny zostać przeprowadzone ponownie konsultacje społeczne.

„Niestety, tylko nieliczne uwagi sformułowane przez środowisko telekomunikacyjne zostały uwzględnione. Analizując kolejne wersje noweli ustawy o krajowym systemie cyberbezpieczeństwa dostrzec można ewolucję - z noweli, która początkowo regulowała kwestie związane z cyberbezpieczeństwem - do aktu prawnego, który przewiduje tworzenie nowych operatorów telekomunikacyjnych, spółek, które mają nimi zarządzać i zasady rozdysponowywania częstotliwości. Kwestie te są niezwykle ważne dla funkcjonowania rynku telekomunikacyjnego, gdyż wpływać będą bezpośrednio na konkurencję na tym rynku, w tym na sytuację mniejszych operatorów telekomunikacyjnych.” - czytamy w wypowiedzi Rogalskiego dla ISB News.

Przypomnijmy, 1 sierpnia 2018 r. prezydent podpisał ustawę o krajowym systemie cyberbezpieczeństwa. Ta zaimplementowała do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148, dyrektywa NIS. Celem ustawy było opracowanie uregulowań prawnych umożliwiających implementacje dyrektywy NIS oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym.

Rozwiązania legislacyjne dotyczą w szczególności: niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcia odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.

Według informacji przekazanych przez Cyfryzacja KPRM, system obejmuje operatorów usług kluczowych (m.in.: z sektora energetycznego, transportowego, zdrowotnego i bankowości), ale także dostawców usług cyfrowych, zespoły CSIRT poziomu krajowego, sektorowe zespoły cyberbezpieczeństwa, podmioty świadczące usługi z zakresu cyberbezpieczeństwa, czy też organy właściwe do spraw cyberbezpieczeństwa.

Według założeń, operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z CSIRT poziomu krajowego.

Wymaganiami z zakresu cyberbezpieczeństwa zostali objęci także dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe.