Niewłaściwe jest uznawanie poszczególnych dostawców za niebezpiecznych dla polskiego systemu cyberbezpieczeństwa. Groźny może być sprzęt, a nie przedsiębiorcy. Uważa tak Ministerstwo Sprawiedliwości
Twierdzenie Zbigniewa Ziobry jest w zasadzie zbieżne ze stanowiskiem chińskiego Huaweia oraz wielu ekspertów rynku telekomunikacyjnego i organizacji biznesu. Wątpliwości ma też Ministerstwo Spraw Zagranicznych. Chodzi o projekt ustawy o krajowym systemie cyberbezpieczeństwa, którego konsultacje publiczne właśnie się zakończyły.
Polityczne potrzeby
Przygotowany przez Ministerstwo Cyfryzacji, którego kompetencje przejęła obecnie Kancelaria Prezesa Rady Ministrów, projekt ma być zupełnie nowym podejściem do cyberbezpieczeństwa. Najistotniejsze przepisy związane są z rozbudową infrastruktury 5G. W projekcie nie wskazano z nazwy żadnego z producentów, ale gdyby ustawa weszła w życie w przygotowanym kształcie, politycy mogliby podjąć decyzję o wykluczeniu wybranych dostawców sprzętu. W praktyce bowiem to organ składający się z polityków (Kolegium ds. Cyberbezpieczeństwa) będzie wskazywał, którzy dostawcy są z rodzimego punktu widzenia bezpieczni, a którzy mogą polskiemu cyberbezpieczeństwu zagrażać.
Projektowany art. 66a ust. 4 ustawy zakłada, że w sporządzaniu oceny przeprowadza się w szczególności analizę zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania; prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, uwzględniającą: stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem, prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka, prawodawstwo w zakresie ochrony danych osobowych, zwłaszcza tam, gdzie nie ma porozumień w zakresie ochrony danych między UE i danym państwem, strukturę własnościową dostawcy sprzętu lub oprogramowania, a także zdolność ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania.
De facto więc rząd będzie mógł zakazać tworzenia nowoczesnej sieci telekomunikacyjnej na bazie urządzeń dostarczanych przez wskazany koncern. Niemal wszyscy zakładają, że chodzi o wykluczenie z naszego rynku chińskiego Huaweia. Gdyby tak się rzeczywiście stało, państwo będzie mogło nakazać operatorom telekomunikacyjnym rozbiórkę już zainstalowanych urządzeń, które służą do obsługi sieci 3G czy 4G, na co przedsiębiorcy dostaną pięć lat.
Projekt ustawy spotkał się z miażdżącą krytyką – zdaniem ekspertów chodzi o cele polityczne, a nie merytoryczne.
– Skłaniałbym się do tezy, że nie chodzi o wybór najlepszego dostawcy, najlepszej technologii, by w sposób sprawny następowało wdrożenie nowoczesnych technologii na polskim rynku telekomunikacyjnym. Tylko chodzi o stworzenie możliwości politycznej ingerencji w proces wyboru dostawców, który ma istotny wpływ na kreowanie rynku – twierdzi Piotr Muszyński, doradca prezydenta Pracodawców RP ds. telekomunikacji.
– Nie możemy oceniać tego projektu w typowy sposób, jak to czynimy w stosunku do innych projektów, a to dlatego, że omawiane rozwiązania ustawy o krajowym systemie cyberbezpieczeństwa mają być projektem stricte politycznym ‒ naszym niekoniecznie chcianym, ale wymuszonym sytuacją geopolityczną, udziałem w globalnej wojnie technologicznej – zauważa radca prawny Łukasz Ozga, wspólnik w kancelarii Płonka Ozga, ekspert prawny i członek Konwentu BCC. Dlatego – jego zdaniem – ocenianie poszczególnych rozwiązań przez pryzmat ich merytoryczności jakkolwiek jest szlachetne, to zarazem stanowi „nadawanie na innych falach”, niżeli nadaje projektodawca.
Rządowe wątpliwości
Teraz do grona powątpiewających w jakość merytoryczną projektu dołączyły niektóre resorty.
Ministerstwo Sprawiedliwości uważa, że zastosowane w projekcie odwołanie do dostawcy należy zastąpić odwołaniami do sprzętu i oprogramowania. Zagrażać polskiemu cyberbezpieczeństwu – zdaniem Zbigniewa Ziobry – może bowiem niedoskonały sprzęt, a nie poszczególni przedsiębiorcy.
„Ponadto projektowany przepis budzi wątpliwości, gdyż zastosowano w nim szereg nieostrych i niedookreślonych zwrotów, np. »wpływ«, »znajdować się pod wpływem«, »prawdopodobieństwo«, »zdolność ingerencji państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania« (za taką ingerencję można uznać np. działania organów podatkowych czy inspekcji sanitarnej). Dyskusyjne jest przy tym również podnoszenie kwestii oceny »prawodawstwa tego państwa w zakresie ochrony praw obywatelskich i praw człowieka« ze względu na ogólność, a co za tym idzie możliwość bardzo szerokiej interpretacji” – wskazuje w swej opinii MS. W zasadzie chce więc odpolitycznienia procedury oceny poszczególnych dostawców.
Z kolei Ministerstwo Spraw Zagranicznych zauważa, że planowany 5-letni okres na wymianę sprzętu od „niebezpiecznych” dostawców może być niewystarczający. W wielu państwach, które pracują nad swoimi modelami cyberbezpieczeństwa, przewidziany jest co najmniej 7-letni okres na wycofanie sprzętu, który zostanie uznany za zagrażający państwu. Jest to uzasadnione – wskazuje MSZ – m.in. czasem starzenia się i amortyzacji używanego obecnie sprzętu, na którym oparte są działające sieci 4G i 3G).
Etap legislacyjny
Projekt po konsultacjach