Ustawa anty-Huawei pomija ocenę ryzyka firm z krajów NATO i koszty wymiany sprzętu telekomunikacyjnego.
Dotychczas znana była tylko pierwsza część opinii Ministerstwa Rozwoju – obecnie to Ministerstwo Rozwoju, Pracy i Technologii – na temat nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Dotyczyła ona zmian w prawie zamówień publicznych. Teraz pilotujący projekt KSC resort cyfryzacji – te kompetencje przeszły niedawno do Kancelarii Prezesa Rady Ministrów – ujawnił drugą część stanowiska MR. Krytykuje ona sedno ustawy, czyli kryteria oceny dostawców sprzętu i oprogramowania, z którymi współpracują operatorzy wdrażający sieci komórkowe piątej generacji (5G) i inne podmioty krajowego systemu cyberbezpieczeństwa.
Projekt resortu cyfryzacji przewiduje, że poziom ryzyka będzie oceniać Kolegium ds. Cyberbezpieczeństwa, działające przy Radzie Ministrów. Weźmie pod uwagę „prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego” i „prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka”. Sprzęt firmy sklasyfikowanej jako stanowiąca wysokie ryzyko trzeba będzie wycofać z użycia w ciągu pięciu lat, nie można też będzie kupować nowego.
Ponieważ te przepisy uderzają w chińskiego giganta telekomunikacyjnego, są w branży nazywane ustawą anty-Huawei. Gdyby bowiem nowelizacja weszła w życie w obecnym kształcie, to za pięć́ lat urządzenia tego koncernu musiałyby zniknąć́ z polskich sieci telekomunikacyjnych.
Ministerstwo Rozwoju zwraca uwagę, że proponowane w projekcie KSC kryteria „pomijają ocenę ryzyka dostawców z tych krajów należących do NATO, które nie posiadają porozumień z UE w zakresie ochrony danych osobowych, przyjmując jednocześnie, że kraje nienależące do NATO nie spełniają tych standardów”. Dalej resort stwierdza, że nowelizacja „nie uwzględnia też kosztów, jakie będą musieli ponieść abonenci usług telekomunikacyjnych w związku z potencjalną koniecznością wymiany elementów obecnie działającej infrastruktury sieci 4G, które w dużej części zostały dostarczone przez dostawców z państw spoza NATO i UE”. Podkreśla, że w ogóle nie oceniono, czy wymiana sprzętu w tak krótkim czasie „pozostaje w zasięgu możliwości finansowych i organizacyjnych” telekomów.
Podobne uwagi zgłaszały wcześniej organizacje branżowe. W przypadku największych operatorów koszty usuwania sprzętu to setki milionów złotych, co w skali całego rynku oznacza 2–3 mld zł. Wydatki na ten cel musiałyby ponieść także mniejsze firmy. „Mechanizm oceny ryzyka powinien dotyczyć sprzętu i oprogramowania oraz opierać się przede wszystkim na wymaganiach technicznych, a nie geopolitycznej charakterystyce dostawcy” – stwierdziła w konsultacjach Konfederacja Lewiatan.
To nie koniec zastrzeżeń Ministerstwa Rozwoju. Ponieważ według projektu KSC od werdyktu Kolegium ds. Cyberbezpieczeństwa będzie można się odwołać tylko do tego samego gremium, resort proponuje wskazanie innego organu. „Dzięki temu dostawca otrzyma większą gwarancję, że jego sprawa zostanie gruntownie rozpatrzona po raz drugi przez niezależną od kolegium instancję” – argumentuje.
Co więcej, chce złagodzenia stanowiska wobec dostawców umiarkowanego ryzyka. Ich sprzęt w sieciach – według projektu – mógłby zostać, ale operatorzy nie mogliby robić kolejnych zakupów. To zamyka drogę m.in. do aktualizacji oprogramowania, co z czasem stworzy zagrożenie dla cyberbezpieczeństwa.
MR odniosło się też do przyznanych operatorom telekomunikacyjnym uprawnień blokowania przesyłanych komunikatów i ograniczenia albo przerwania świadczenia usług. Tu zdaniem resortu „należy uwzględnić uzasadniony interes osób trzecich”, tzn. zobligować telekomy do każdorazowego informowania użytkowników o zastosowanej blokadzie oraz jej podstawie prawnej. Taki komunikat mógłby również ułatwiać złożenie skargi lub reklamacji do regulatora rynku lub samej firmy. „Ostateczną kontrolę nad ograniczaniem dostępu do informacji powinien sprawować sąd, czego projekt w obecnym kształcie nie przewiduje” – zaznacza MR.
To kolejna – po stanowiskach resortów sprawiedliwości i spraw zagranicznych – ministerialna krytyka noweli KSC.
Nie oceniono, czy wymiana sprzętu jest finansowo możliwa dla firm