Walcząc z nowelizacją krajowego systemu cyberbezpieczeństwa, Huawei używa tej samej broni, która ma wykluczyć go z rynku.
Producent sprzętu telekomunikacyjnego wskazuje, że projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) może być niezgodny z Konstytucją RP i innymi przepisami prawa polskiego, a także naruszać prawa Unii Europejskiej.
Jednym z argumentów chińskiej firmy jest zagwarantowane w Europejskiej Konwencji Praw Człowieka prawo każdej osoby fizycznej i prawnej do poszanowania jej mienia. „W przypadku wejścia w życie projektu, operatorzy telekomunikacyjni zostaną de facto wywłaszczeni z posiadanego sprzętu”, tzn. będą musieli usunąć go z sieci – stwierdza Huawei w piśmie do resortu cyfryzacji, gdzie powstała nowelizacja KSC (po likwidacji ministerstwa jego kompetencje przejęła KPRM).
Właśnie prawa człowieka zastosowano w niej jako jedno z kryteriów oceny ryzyka dostawcy sprzętu lub oprogramowania – głównie do sieci komórkowej piątej generacji (5G). Poziom ryzyka ma ustalać działające przy Radzie Ministrów Kolegium ds. Cyberbezpieczeństwa, które – jak stanowi projekt – weźmie pod uwagę „prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego” i „prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka”. Sprzęt firmy sklasyfikowanej jako stanowiąca wysokie ryzyko trzeba będzie wycofać z infrastruktury w ciągu pięciu lat, nie można też kupować nowego.
Kancelaria Squire Patton Boggs w analizie sporządzonej dla Huaweia – który nie został w KSC wskazany palcem, ale powszechnie wiadomo, że jest na celowniku ustawy ‒ podkreśla rozbieżność projektu KSC z założeniami bezpieczeństwa sieci 5G przyjętymi w styczniu br. przez Komisję Europejską (tzw. toolboxem). Ten ostatni dokument do oceny ryzyka zaleca kilka narzędzi. Jest wśród nich prawdopodobieństwo, że dostawca zostanie poddany ingerencji kraju spoza UE, ale są też kryteria techniczne, tj. zdolność dostawcy do zapewnienia dostaw, jakość jego produktów i praktyki w zakresie cyberbezpieczeństwa. „Tymczasem mechanizm szacowania ryzyka dostawcy, sformułowany w Projekcie, skupia się na pierwszym z ww. kryteriów, tj. jest kryterium pochodzenia dostawcy” ‒ stwierdza kancelaria.
Squire Patton Boggs podważa też zgodność nowelizacji KSC z konstytucyjną zasadą proporcjonalności – wymagającą, by spośród dostępnych środków ustawodawca wybrał ten najmniej uciążliwy lub zapewnił stosowanie go wyłącznie w zakresie niezbędnym do osiągnięcia celu. „Mechanizm oceny ryzyka dostawcy, który nie bazuje na obiektywnych kryteriach, może naruszać tę zasadę” ‒ stwierdza na tej podstawie Huawei. Dodaje, że projektowane rozwiązania „pozwalają na arbitralne wykluczenie dostawców” w oparciu „o nieokreślone kryteria, które nie zawierają elementów analizy technicznej”. Ponieważ od oceny wysokiego ryzyka będzie się można odwołać tylko do kolegium, które ją wydało, firma wysuwa też wątpliwości odnośnie do zachowania konstytucyjnego prawa do sądu.
Jej argumenty dotyczą też m.in. ograniczenia konstytucyjnej swobody działalności gospodarczej, braku analizy skutków regulacji, braku notyfikacji KE, dyskryminacji niezgodnej z Traktatem Unii Europejskiej oraz niezgodności proponowanych przepisów z unijną dyrektywą o konkurencji.
Huawei – mający największy udział w polskiej sieci 4G ‒ uważa, że nowelizacja KSC może doprowadzić do wykluczenia z rynku „niektórych podmiotów” bez zwiększenia, „a w niektórych sytuacjach nawet ze skutkiem w postaci pogorszenia bezpieczeństwa” sieci. Przypomina, że koszt wymiany infrastruktury przez operatorów jest szacowany na 3 mld zł lub więcej, co z kolei może „rodzić odpowiedzialność odszkodowawczą po stronie Skarbu Państwa”. Nowelizacja ustawy o KSC nie przewiduje rekompensat dla telekomów.
Huawei przesłał swoją opinię, mimo że nie został zaproszony do konsultacji. Spytaliśmy resort cyfryzacji i KPRM, jak autorzy projektu odnoszą się do tych argumentów i jakie zmiany zostaną wprowadzone w nowelizacji, ale nie otrzymaliśmy odpowiedzi.
Dla operatorów ewentualna konieczność wymiany sprzętu nie jest jedynym mankamentem obecnego projektu. Konfederacja Lewiatan w swoim stanowisku konsultacyjnym zaznacza, że firmy telekomunikacyjne ani platformy internetowe nie powinny być obarczane nowymi obowiązkami i włączane do krajowego systemu cyberbezpieczeństwa. „Rynek komunikacji elektronicznej powinien nadal pozostać kompleksowo regulowany sektorowo ze względu na jego szczególne cechy, aktualny kształt przepisów unijnych oraz bardzo ograniczony czas na wprowadzenie rewolucyjnych zmian w tym zakresie” ‒ argumentuje Lewiatan. Organizacja chce m.in. wykreślenia przepisów wprowadzających nowe zasady raportowania incydentów bezpieczeństwa, które obecnie są zgłaszane Urzędowi Komunikacji Elektronicznej.