W cieniu telekomunikacyjnych gigantów koszty ewentualnego usuwania ryzykownych urządzeń poniesie wiele innych polskich firm.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa może zmusić do zmiany dostawców sprzętu nie tylko największe telekomy budujące sieć piątej generacji, lecz także licznych lokalnych operatorów telekomunikacyjnych oraz firmy z branży internetowej.
Przepisy przygotowane przez resort cyfryzacji – obecnie te kompetencje są w gestii Kancelarii Premiera Rady Ministrów – przewidują, że Kolegium ds. Cyberbezpieczeństwa będzie oceniać dostawców sprzętu telekomunikacyjnego. Od firm, które zostaną uznane za stanowiące wysokie ryzyko, nie będzie wolno kupować nowych urządzeń, a już posiadane trzeba będzie wymienić w ciągu pięciu lat. W przypadku umiarkowanego ryzyka zablokowane zostaną tylko nowe zakupy.
Ponieważ wśród kryteriów oceny są takie czynniki jak pozostawanie dostawcy „pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego”, prawodawstwo tego państwa „w zakresie ochrony praw obywatelskich i praw człowieka” oraz zdolność jego ingerencji w swobodę działalności gospodarczej – w branży panuje przekonanie, że te zapisy wykluczą z rynku firmę Huawei.
Jak pisaliśmy w DGP, rodzi to poważne konsekwencje dla największych telekomów: ewentualna wymiana chińskiego sprzętu w sieciach 4G/5G ready kosztowałaby je według Haitong Banku 2,5–2,9 mld zł. Państwo nie zamierza rekompensować tych wydatków. Według resortu cyfryzacji będą one bowiem inwestycją „we własne cyberbezpieczeństwo”.
Izby branżowe alarmują jednak, że podobnym „inwestycjom” będą musieli sprostać także mniejsi gracze. Krajowa Izba Komunikacji Ethernetowej w dniach 24 września – 1 października przeprowadziła ankietę wśród małych i średnich operatorów telekomunikacyjnych, badając wykorzystanie sprzętu dostawców spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego (w tym Huawei i ZTE) oraz z tego obszaru (Alcatel, Ericsson, Nokia, Netgear, Linksys). Na pytania odpowiedziało 57 przedsiębiorców, czyli około jednej trzeciej członków KIKE, która zrzesza lokalnych operatorów telekomunikacyjnych.
Wszyscy w swojej działalności wykorzystują produkty firm spoza UE/NATO. Średnio stanowią one ponad 80 proc. całości sprzętu tych operatorów. 47 proc. badanych firm wykorzystuje urządzenia Huawei, a 45 proc. zbudowało swoją infrastrukturę głównie w oparciu o ten sprzęt. Natomiast z urządzeń z obszaru UE/USA korzysta niespełna 60 proc. ankietowanych, przy czym nie składają się one nawet na jedną piątą ogólnie wykorzystywanego sprzętu.
Raport KIKE wskazuje też, że łączny koszt ewentualnej wymiany urządzeń producentów spoza UE/USA jest przez ankietowanych szacowany na prawie 162 mln zł. To mniej niż miliardy gigantów rynku – ale takim wydatkom muszą sprostać operatorzy mający ok. 250 tys. aktywnych abonentów.
Dlatego KIKE w swojej ocenie projektu nowelizacji KSC podkreśla, że ustawa „wpłynie na ciągłość działania dostawców sieci i usług łączności elektronicznej oraz na konkurencję na rynku telekomunikacyjnym, co może mieć także istotne przełożenie na sytuację i interesy konsumentów, będących ostatecznymi odbiorcami usług”. Tym bardziej że oprócz ewentualnej konieczności wymiany urządzeń trzeba się liczyć z zakazem nowych zakupów. Firmy nie będą więc mogły np. aktualizować oprogramowania, co zdaniem KIKE „ma bezpośredni, negatywny wpływ na cyberbezpieczeństwo i jest wprost sprzeczne z celami KSC. Wszelkie luki zwiększające podatność sprzętu/oprogramowania na cyber ataki usuwane są najczęściej poprzez aktualizację sprzętu/oprogramowania. Wyłączenie takiej możliwości spowoduje zmniejszenie poziomu cyberbezpieczeństwa, co stoi w sprzeczności z ogólnym celem KSC”.
Uderzeni rykoszetem przez nowelizację zostaną też dostawcy usług komunikacji elektronicznej spoza sektora telekomunikacji, czyli przedsiębiorstwa z branży internetowej. Zrzeszający takie firmy Związek Pracodawców Branży Internetowej IAB Polska zwraca uwagę, że wprowadzone w nowych przepisach definicje sprawiają, iż operatorzy świadczący np. usługi czatów internetowych albo poczty elektronicznej będą traktowani tak samo jak telekomy. Wejdą bowiem do krajowego systemu cyberbezpieczeństwa. To skutek zastosowania w nowelizacji ustawy o KSC pojęcia „przedsiębiorcy komunikacji elektronicznej” wprowadzanego w prawie komunikacji elektronicznej (PKE), nad którym resort równolegle pracuje. Według IAB to podejście zbyt daleko idące. Podobne uwagi organizacja zgłaszała już do projektu PKE. Jej zdaniem nowelizacja KSC powinna „różnicować obowiązki dostawców usług lub sieci telekomunikacyjnych (nakładać dalej idące obowiązki) oraz dostawców usług łączności interpersonalnej niewykorzystującej numerów (nakładać obowiązki o mniejszym zakresie)”.
Inaczej dla tej drugiej grupy może to oznaczać, że „serwery danego producenta używane również do świadczenia usługi komunikacji interpersonalnej muszą zostać na mocy decyzji Kolegium wymienione w ciągu pięciu lat”. Takie nieprzewidziane wydatki dotkną konsumentów. „Wzrost ceny takiej usługi wobec użytkownika końcowego może oznaczać, że korzystanie z niej przestanie być dla niego opłacalne i doprowadzi tym samym do wyeliminowania usługi z rynku” – alarmuje IAB. „Dla średnich i małych przedsiębiorców może to oznaczać koniec prowadzonej działalności, a dla społeczeństwa obniżenie dostępności nowoczesnych usług czy nawet wzrost wykluczenia cyfrowego”.
Sprawę KSC omawiano wczoraj na posiedzeniu sejmowej komisji spraw zagranicznych. Marek Zagórski – były minister cyfryzacji, a obecnie sekretarz stanu w KPRM i pełnomocnik rządu ds. cyberbezpieczeństwa – zapowiedział, że kształt nowelizacji będzie jeszcze dyskutowany. Stwierdził też, że zostaną wzięte pod uwagę m.in. postulaty branży telekomunikacyjnej o wydłużenie czasu na ewentualną wymianę sprzętu.