Po nowelizacji przepisów minister cyfryzacji będzie decydował, które produkty czy usługi mogą stanowić zagrożenie i muszą zostać wycofane z rynku.
Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) przewiduje wprowadzenie procedury pozwalającej na uznanie dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. W wyniku przeprowadzenia tej procedury może zostać wydana decyzja wskazująca, że określone produkty, usługi lub procesy technologii informacyjnych i komunikacyjnych (z ang. information and communication technologies; dalej: ICT) pochodzące od dostawcy wysokiego ryzyka będą musiały zostać wycofane. Czy na czarną listę trafią systemy IT i produkty z Chin?
Sieć 5G
Na początku wyjaśnijmy, że potrzeba wprowadzenia takiej procedury pojawiła się wraz z rozwojem sieci piątej generacji (5G). Zapewnia ona znacznie większe możliwości przekazywania danych, dzięki czemu pozytywnie wpływa na rozwój gospodarki. Dane są przekazywane szybciej (większe ilości, w krótszym czasie), dzięki czemu wzrasta jakość świadczenia wielu usług niezbędnych do realizacji podstawowych funkcji społecznych i gospodarczych – takich jak energetyka, transport, bankowość i opieka zdrowotna oraz systemy sterowania produkcją. Sieć 5G wiąże się jednak z ryzykiem – zwłaszcza tym związanym z jej bezpieczeństwem. Łatwo wyobrazić sobie, do czego może doprowadzić naruszenie bezpieczeństwa tej sieci. Wycieki danych, o których ostatnio było głośno, nie wydają się wcale takie straszne wobec możliwości zatrzymania pracy setek szpitali i sal operacyjnych, gdzie trwa walka o życie tysięcy ludzi. Między innymi z tych powodów (choć przynajmniej równie istotne wydaje się zapewnienie odpowiedniego poziomu obronności państwa) kwestia bezpieczeństwa sieci 5G została podjęta na poziomie unijnym.
W styczniu 2020 r. UE przyjęła tzw. Toolbox 5G – zalecenia dotyczące bezpieczeństwa sieci 5G. Określono ryzyka i środki, jakie powinny podjąć państwa członkowskie i operatorzy telekomunikacyjni, aby im przeciwdziałać. UE wskazuje, że jedno z ryzyk związanych z siecią 5G dotyczy dostawców, którzy znajdują się pod wpływem państw prowadzących agresywne działania w cyber przestrzeni. Z kolei w swoim zaleceniu z grudnia 2022 r. Rada UE wezwała państwa członkowskie do wdrożenia zalecanych środków w zakresie cyberbezpieczeństwa sieci 5G, a w szczególności do wprowadzenia ograniczeń dotyczących dostawców wysokiego ryzyka.
Szersze ramy ochrony
Warto przy tym dla porządku dodać, że skoordynowane działania w zakresie cyberbezpieczeństwa sieci 5G na szczeblu UE oraz unijny zestaw narzędzi stanowią część szerszych europejskich ram ochrony sieci łączności elektronicznej i innych infrastruktur krytycznych oraz uzupełniają inne środki, takie jak Europejski kodeks łączności elektronicznej czy dyrektywa NIS2 (dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, która powinna zostać zaimplementowana do porządku krajowego do 17 października br.). Polska implementuje zalecenia ujęte w Toolboxie 5G oraz NIS2 właśnie w ramach nowelizacji UKSC.
Nowelizacja UKSC wprowadza postępowanie, któremu może zostać poddany dostawca produktów, usług i procesów ICT nie tylko dla sieci 5G, lecz także dla innych systemów ICT. Warunkiem będzie spełnienie przesłanki zapewnienia ochrony bezpieczeństwa państwa. Dostawcą może być producent, importer, dystrybutor – a więc postępowaniem będą mogły być objęte wszystkie istotne podmioty w łańcuchu dostaw. Ta procedura co prawda nie będzie dotyczyła wszystkich produktów, usług i procesów ICT pochodzących od konkretnego dostawcy sprzętu lub oprogramowania, lecz tylko tych, które są wykorzystywane przez podmioty zdefiniowane jako kluczowe i ważne. W praktyce dotknie jednak wielu branż.
Bez udziału zainteresowanego
Postępowanie ma być wszczynane z urzędu przez ministra cyfryzacji i co do zasady prowadzone zgodnie z przepisami kodeksu postępowania administracyjnego, z pewnymi jednak odrębnościami. Sporo wątpliwości budzi wyłączenie możliwości udziału organizacji społecznej w tym postępowaniu oraz udziału strony, czyli przede wszystkim samych zainteresowanych przedsiębiorców w postępowaniu dowodowym. Uzasadnienie tych wyłączeń sprowadza się do wyjątkowego charakteru postępowania, wrażliwego charakteru informacji ujawnianych w jego toku, a w konsekwencji – względów bezpieczeństwa narodowego. Bezpieczeństwo narodowe jest nadrzędnym celem wprowadzanych regulacji i jest odmieniane przez projektodawcę przez wszystkie przypadki.
Minister cyfryzacji wyda decyzję uznającą dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli z przeprowadzonego postępowania wynika, że stanowi on poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi. Od decyzji nie będzie można się odwołać i ma być natychmiast wykonalna. Prawa strony postępowania będą zagwarantowane jedynie poprzez możliwość złożenia skargi do sądu administracyjnego.
Żeby złagodzić rygorystyczny charakter postępowania, pojawia się możliwość przystąpienia do postępowania na prawach strony kilkunastu największych przedsiębiorców komunikacji elektronicznej. Ponadto – w toku postępowania ma zostać wydana opinia, która uwzględni m.in. certyfikaty wydane dla produktów usług lub procesów ICT danego dostawcy, wydane lub uznawane w państwach członkowskich UE (w tym certyfikaty wydane w ramach europejskich programów certyfikacji cyberbezpieczeństwa) lub NATO. Opinia ma również ocenić prawdopodobieństwo, z jakim dostawca objęty postępowaniem znajduje się pod kontrolą państwa spoza terytorium UE lub NATO, z uwzględnieniem m.in. zdolności ingerencji tego państwa trzeciego w swobodę działalności gospodarczej dostawcy.
Biorąc pod uwagę niejasne powiązania polityczne chińskich dostawców ICT oraz przepisy nakazujące chińskim obywatelom i przedsiębiorcom pomoc ministrowi bezpieczeństwa w działaniach wywiadowczych, opinia w odniesieniu do dostawców z Chin, może nie być pozytywna (ku zadowoleniu dostawców z innych krajów, np. z USA, którzy takiej procedurze nie będą poddawani).
Siedem lat na wycofanie
Konsekwencją uznania danego dostawcy za dostawcę wysokiego ryzyka będzie zakaz wprowadzania do użytkowania produktów, usług i procesów objętych decyzją. Trzeba podkreślić, że nie ma w projekcie nowelizacji UKSC mechanizmu nakazującego natychmiastowe wycofanie sprzętu lub oprogramowania objętego decyzją. Dotychczas stosowane produkty, usługi i procesy będą mogły pozostać w użyciu nawet przez siedem lat. Do czasu wycofania możliwe będzie użytkowanie dotychczas posiadanych produktów, usług i procesów objętych decyzją, w zakresie naprawy, modernizacji, wymiany elementu lub aktualizacji, jeżeli jest to niezbędne dla zapewnienia odpowiedniej jakości i ciągłości świadczonych usług, w szczególności dokonywania niezbędnych napraw awarii lub uszkodzeń.
Za niewykonanie obowiązków polegających na wycofaniu, niewprowadzaniu do użytkowania produktów, usług, procesów ICT objętych decyzją przewidziane są sankcje. Na zobowiązany podmiot może zostać nałożona kara pieniężna w wysokości co najmniej 20 tys. zł – nie może ona jednak przekroczyć 10 mln euro lub 2 proc. przychodów. Ponadto podmiot naruszający przepisy może zostać zobowiązany, w drodze decyzji administracyjnej, do podania do publicznej wiadomości informacji o naruszaniu przepisów ustawy. Niewątpliwie może to negatywnie wpłynąć na kwestie wizerunkowe. Konsekwencje przewidziano również dla osób zarządzających zobowiązanym podmiotem – grozić im będzie kara pieniężna i sądowy tymczasowy zakaz zajmowania stanowiska.
Z punktu widzenia wielu przedsiębiorców korzystających z rozwiązań dostarczanych przez chińskich dostawców projektowane regulacje stanowią ograniczenie swobody prowadzenia działalności gospodarczej. Zwłaszcza że przepisami UKSC, po nowelizacji, zostaną objęte nowe branże. Z kolei organy państwowe wskazują na rosnącą skalę cyber zagrożeń w kontekście geopolitycznej sytuacji Polski oraz obowiązek zapewnienia bezpieczeństwa kraju. Ustawodawca krajowy musi pogodzić takie wartości jak bezpieczeństwo państwa i jego obywateli oraz konstytucyjne prawa i wolności – w krótkim czasie, bo dyrektywa NIS2 powinna zostać zaimplementowana za mniej niż dwa miesiące (choć już teraz można się spodziewać opóźnień). ©℗
