Zespół parlamentarny dyskutuje o zmianach zapisów nowelizacji z politycznych na techniczne.

Redukcja zasięgu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) do rdzenia sieci telekomunikacyjnych była jednym z głównych postulatów na wczorajszym posiedzeniu Parlamentarnego Zespołu ds. Ochrony Praw Konsumentów i Przedsiębiorców.
Nad nową ustawą KSC resort cyfryzacji (funkcjonujący teraz w kancelarii premiera) pracuje od zeszłego roku. Projekt obejmuje wiele zmian kluczowych dla branży telekomunikacyjnej. Od zaprezentowania jego pierwszej wersji we wrześniu ub.r. najwięcej emocji budzą kryteria uznawania producentów sprzętu do budowy sieci za dostawców stanowiących wysokie ryzyko dla cyberbezpieczeństwa – a w konsekwencji wykluczania ich z polskiego rynku. Interpretuje się je jako wymierzone w chińskiego giganta Huawei, choć nazwa firmy ani kraju jej pochodzenia w dokumencie nie pada.
KE chce okiełznać sztuczną inteligencję. Algorytmy wysokiego ryzyka będą podlegały szczególnej kontroli
KE chce okiełznać sztuczną inteligencję. Algorytmy wysokiego ryzyka będą podlegały szczególnej kontroli

Zobacz również
Na tych regulacjach skoncentrowała się wczorajsza dyskusja. ‒ Nasze posiedzenie to swoiste konsultacje społeczne – zaznaczył jego wiceprzewodniczący, poseł Jakub Kulesza z Konfederacji. Nowelizacja KSC została im poddana jesienią ub.r., ale od tego czasu uległa radykalnym zmianom.
Tomasz Pułról z Centrum Analiz Stowarzyszenia KoLiber, współautor poświęconego KSC raportu, przyznał, że w porównaniu z pierwszą wersją kryteria oceny ryzyka dostawców uległy poprawie – wykreślono z nich element przestrzegania praw człowieka w kraju pochodzenia danej firmy – ale zastrzegł, że wciąż mogą skutkować wysokimi kosztami ekonomicznymi, z powodu konieczności wymiany sprzętu sieciowego i ograniczenia liczby dostawców, oraz społecznymi, ze względu na opóźnienie pełnego wprowadzenia sieci piątej generacji (5G).
‒ Rodzi to też potencjalne problemy prawne w wyniku ograniczenia konkurencji i jak każda uznaniowość decyzji organów władzy rodzi ryzyko korupcjogenności – podkreśla Tomasz Pułról. ‒ Rekomendujemy doprecyzowanie kryteriów oceny w kierunku większego nacisku na aspekty techniczne. Proponujemy też dodanie obowiązkowej analizy skutków finansowych decyzji uznającej firmę za dostawcę wysokiego ryzyka i wprowadzenie pełnej rekompensaty dla operatorów, którzy będą zmuszeni do wymiany sprzętu – wylicza.
W dyskusji przywołano przykład Finlandii. Podobnie jak Polska i inne państwa Unii Europejskiej wprowadza ona nowe regulacje zapewniające bezpieczeństwo sieci telekomunikacyjnych, opierając się na wskazówkach Komisji Europejskiej (tzw. toolboksie). Robi to jednak, skupiając się wyłącznie na badaniu sprzętu. Co więcej, ogranicza regulacje do rdzenia sieci, a więc – w przeciwieństwie do KSC ‒ pomijając jej radiową część.
‒ Kraje objęte tymi samymi międzynarodowymi regulacjami co Polska mogą je implementować w inny sposób. Można by było się ich przykładami kierować – stwierdził poseł Kulesza, dodając, że polskie prawo jest w tej dziedzinie „o wiele bardziej polityczne” od fińskiego. ‒ A przypominam, że Finlandia ma większy interes w kierowaniu się aspektami geopolitycznymi niż Polska z uwagi na to, że produkuje taki sprzęt – zauważył.
Dyrektor departamentu cyberbezpieczeństwa w KPRM Robert Kośla uważa jednak, że nieuznawanie radiowej części sieci za element krytyczny wynika prawdopodobnie „z niezrozumienia architektury sieci 5G”. ‒ Trudno wyobrazić sobie sytuację, gdy w sieciach bezprzewodowych komponent, który odpowiada za łączność z końcowymi urządzeniami, nie jest krytyczny dla funkcjonowania i bezpieczeństwa sieci ‒ argumentował.
Każda uznaniowość decyzji organów władzy rodzi ryzyko korupcjogenności
Kośla stwierdził ponadto, że w czasie pięciu (lub siedmiu dla mniej ważnych elementów sieci) lat na wymianę sprzętu operatorzy będą mogli serwisować urządzenia i oprogramowanie od dostawcy wysokiego ryzyka. ‒ Głównym celem jest niezakłócone świadczenie usług telekomunikacyjnych – zapewnił. Takiego zapisu nie ma jednak obecnie w projekcie nowelizacji.
Kilkakrotnie zmieniana już ustawa KSC w marcu została przekazana do komitetu Rady Ministrów ds. bezpieczeństwa narodowego i spraw obronnych, kierowanego przez Jarosława Kaczyńskiego. Jak wyjaśniła KPRM, ten organ uwzględniono w pracach nad ustawą z powodu różnicy zdań między autorami projektu a ministerstwami sprawiedliwości i aktywów państwowych. Dotyczą one głównie operatora sieci komunikacji strategicznej – którego powołanie dopisano do KSC już w tym roku, z myślą o obsłudze połączeń rządu, administracji państwowej i jednostek samorządowych.
Jak nas informuje KPRM, wciąż trwają uzgodnienia tych rozbieżności. Ich usunięcie „umożliwi przekazanie projektu na Komisję Prawniczą przed formalnym przyjęciem przez Radę Ministrów i skierowaniem do prac parlamentarnych oraz równoległą notyfikacją w Komisji Europejskiej”. Kalendarza tych prac kancelaria premiera jednak nie zna.
Przyjęcie przez rząd finalnej wersji KSC potrzebne jest Urzędowi Komunikacji Elektronicznej do rozpoczęcia aukcji częstotliwości pasma C przeznaczonych na budowę sieci 5G.