Powtarzając polską ludową mądrość, że od przybytku głowa nie boli, szukamy wytłumaczenia tego, że nadmiar nie musi być szkodliwy.
Prawda tej mądrości zależna jest jednak od tego, czy wspomniany nadmiar dotyczy rzeczy wartościowych oraz czy cena tego nadmiaru, nie jest zbyt wysoka. Mam wrażenie, że autorzy najnowszej wersji zmian do ustawy o krajowym systemie cyberbezpieczeństwa zapomnieli o zachowaniu roztropnego umiaru, co w efekcie może wszystkich przyprawić o duży ból głowy. Proponowany w tej ustawie „koktajl” regulacyjny narusza zasady przyzwoitej legislacji, a w efekcie zasadę zaufania obywatela do państwa i prawa określone w art. 2 Konstytucji RP.
Skąd to zamieszanie? Trzynaście (!) miesięcy temu do konsultacji społecznych trafiła przygotowana przez Ministerstwo Cyfryzacji pierwsza wersja projektu, którego celem było m.in. wdrożenie europejskich, miękkich wytycznych regulacyjnych: tzw. narzędzi na potrzeby cyberbezpieczeństwa sieci 5G – nazywanych Toolbox 5G. Nie jest on ani rozporządzeniem, jak RODO, ani nawet dyrektywą – jak dotycząca cyberbezpieczeństwa Dyrektywa NIS z 2016 r. czy Europejski Kodeks Łączności Elektronicznej z 2018 r.
Projekt wywołał niespotykaną od czasu ACTA reakcję organizacji społecznych, samorządów terytorialnych i przedsiębiorców. Wpłynęło 100 stanowisk, a tabela uwag zawierała prawie 800 stron. Wyrażane opinie były dalekie od ciepłych i wspierających. Wskazywano zastosowanie nieostrych kryteriów, niejasnej procedury, czy praktycznie nieograniczonej uznaniowości administracji. Projektowane uznaniowe kompetencje administracji państwowej pozwalały na działania o poważnych skutkach ekonomicznych dla polskich przedsiębiorców, a w efekcie ingerencję w wolną konkurencję. Powodowały także negatywne konsekwencje dla wszystkich Polaków, którzy w trakcie pandemii utrzymali swoje aktywności dzięki nowoczesnej technologii zapewniającej łączność z rodziną, pracą czy szkołą w trudnym czasie izolacji. Bezpośrednim skutkiem projektu było wstrzymanie aukcji częstotliwości dla sieci 5G i jak na razie roczne opóźnienie w rozwoju tej technologii w Polsce, a pośrednim zmiana Prezesa UKE, w związku z którą Komisja Europejska wszczęła niedawno formalne postępowanie naruszeniowe przeciwko Polsce. Całkiem sporo bólu głowy, jak na jeden projekt.
W ciągu roku, który upłynął od mało udanego debiutu nowelizacji, wydarzyło się sporo. U naszego sojusznika za oceanem zmienił się prezydent, ruszyła z kopyta ostatnia faza budowy bałtyckiego gazociągu, likwidacji uległo Ministerstwo Cyfryzacji (MC), a najpoważniejsza cybernetyczna wpadka, polegająca na wycieku służbowej korespondencji prowadzonej z wykorzystaniem skrzynki mailowej oferowanej w modelu „usługa za czytanie korespondencji i targetowane reklamy” dotknęła ośrodka administracji, który – zgodnie z projektem – miał być kluczowym beneficjentem nadzwyczajnych uprawnień, ograniczających konstytucyjnie gwarantowane swobody, dla zapewnienia bliżej niesprecyzowanego „bezpieczeństwa cybernetycznego”.
Nie wiem czy to w wyniku obserwacji powyższych wydarzeń, czy też wręcz przeciwnie, urzędnicy z Kancelarii Prezesa Rady Ministrów, która „odziedziczyła” po MC prace nad nowelizacją, pokazali kolejną, szóstą już chyba, wersję projektu. W odróżnieniu od wersji drugiej i trzeciej, zdecydowano się na konsultacje społeczne. Biorąc pod uwagę ile nowości znajduje się w tym dokumencie, to bardzo dobra decyzja. W tym kontekście niezrozumiałe jest dlaczego na te konsultacje wyznaczono niezwykle krótki, siedmiodniowy termin, w miejsce co najmniej 30 przewidzianych w przepisach. Wydaje się, że dla uniknięcia zarzutu pozornych konsultacji i naruszenia zasad przyzwoitej legislacji, należy wydłużyć ten okres. Szczególnie, że nowe rozdziały nowelizacji wykraczają daleko poza pierwotne założenia zawarte w Toolbox 5G.
Dla zapewnienia bezpieczeństwa, projekt przewiduje wyznaczanie operatora strategicznej sieci bezpieczeństwa, który z pominięciem zamówień publicznych świadczyłby usługi telekomunikacyjne i IT dla szeroko rozumianego sektora publicznego. Patrząc po entuzjastycznych reakcjach prezesa jednego z dwóch posiadających częstotliwości radiowe telekomów będących spółkami Skarbu Państwa, wybór wydaje się już przesądzony. Operator ten w ustawowym wianie dostanie też częstotliwości, których wartość rynkową można szacować w miliardach złotych. Z dodatkową opcją na jeszcze więcej, jeśli nie znajdą się prywatni przedsiębiorcy, którzy postanowią utworzyć z tym operatorem spółkę, na warunkach określanych przez Skarb Państwa. Na to wszystko przewidziano zrzutkę dotychczasowych operatorów z podniesionych opłat za wykorzystywanie częstotliwości. Oczywiście wszystko, w celu zapewnienia cyberbezpieczeństwa.
I właśnie w tym punkcie pojawia się ów „przybytek”, od którego może rozboleć głowa, a ceny usług telekomunikacyjnych mogą podskoczyć wyżej niż gaz, prąd i benzyna razem wzięte. Ponieważ wszystkie te nowe rozwiązania, zostały „doklejone” do proponowanych w pierwotnej wersji kompetencji urzędników do ograniczania swobody działalności gospodarczej, czy blokowania internetu lub aplikacji. Zupełnie jakby projektodawca nie wierzył, że operator strategicznej sieci bezpieczeństwa, podoła stawianemu przed nim zadaniu i na wszelki wypadek pozostawił urzędnikom prawo wywłaszczenia przedsiębiorców oraz wspomniane blokowanie adresów internetowych lub aplikacji „na czas incydentu bezpieczeństwa”… tj… do dwóch (!) lat. Przy podejmowaniu tych ważkich dla konsumentów i przedsiębiorców decyzji nie przewiduje się zapewnienia udziału zainteresowanych stron ani konsultacji z przedstawicielami przedsiębiorstw, czy samorządów.
Polskie społeczeństwo, do swojego rozwoju wymaga bezpiecznych i nowoczesnych usług łączności oraz IT. Cyberbezpieczeństwo jest ważnym aspektem, który musi być w tym rozwoju uwzględniony. Niestety, w mojej opinii aktualny projekt oddala nas od deklarowanych celów. Skorzystajmy z dobrych doświadczeń współpracy administracji, nauki i biznesu. Najlepszym środkiem do tego celu będą szerokie konsultacje i wysłuchania publiczne, w toku których można będzie m.in. przeanalizować doświadczenia krajów, które już wdrożyły Toolbox 5G i przygotować nowy projekt zgodnie z zasadami przyzwoitej legislacji.