Z nieoficjalnych informacji DGP wynika, że największe telekomy będą stroną postępowania w sprawie uznawania dostawców sprzętu do budowy sieci 5G za podmioty wysokiego ryzyka. Taka zmiana ma być wprowadzona na wniosek branży w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Wersja przepisów z października przewidywała otwarcie tej procedury tylko na producentów sprzętu poddanych badaniu.
Z naszych nieoficjalnych informacji wynika, że taka zmiana zostanie wprowadzona do przepisów regulujących postępowanie w sprawie uznania za dostawcę wysokiego ryzyka (HRV) zawartych w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC).
Zabiegała o to branża telekomunikacyjna podczas konsultacji najnowszej wersji projektu, którą w październiku zaprezentowała Kancelaria Prezesa Rady Ministrów (po rekonstrukcji rządu przejęła kompetencje resortu cyfryzacji). Jak się dowiedzieliśmy, postępowanie w sprawie HRV zostanie otwarte na największe telekomy.
Rzecz dotyczy jednej z najważniejszych kwestii związanych z rozwojem sieci komórkowych piątej generacji (5G), czyli tego, czy operatorzy będą mogli je budować, korzystając ze sprzętu Huaweia. W branży powszechnie bowiem wiadomo, że to właśnie chiński producent jest głównym celem planowanych przepisów o dostawcach wysokiego ryzyka. Obecnie współpracują z nim trzy z czterech głównych telekomów.
Projekt KSC przewiduje, że postępowania w sprawie uznania za HRV będzie prowadził minister właściwy do spraw informatyzacji, czyli premier. Jego decyzja kwalifikująca dostawcę sprzętu lub oprogramowania jako podmiot stwarzający wysokie ryzyko będzie poprzedzona opinią Kolegium ds. Cyberbezpieczeństwa. Na czele tego organu stoi premier, a w skład kolegium wchodzą ministrowie spraw wewnętrznych (i koordynator służb specjalnych), obrony narodowej oraz spraw zagranicznych, szefowie Biura Bezpieczeństwa Narodowego, Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego, dyrektor Rządowego Centrum Bezpieczeństwa i dyrektor NASK.
Postępowanie będzie oparte na procedurach określonych w kodeksie postępowania administracyjnego, choć niektóre z nich wyłączono. Stroną będą dostawcy, wobec których postępowanie zostało wszczęte, ale już nie firmy, które odczują jego skutki, tj. operatorzy korzystający ze sprzętu danego producenta. Uznanie np. Huaweia za HRV będzie bowiem - zgodnie z zapisami projektu - oznaczało zakaz zaopatrywania się w tej firmie i konieczność wymiany już kupionego od niej sprzętu. Na wymianę ryzykownych urządzeń i oprogramowania będzie siedem lub pięć lat, jeśli jest on w infrastrukturze krytycznej. W ub.r. Play obliczał koszt takiej operacji na ok. 900 mln zł.
Niedopuszczenie telekomów do postępowania ws. HRV autorzy projektu tłumaczyli potrzebą „uniknięcia obstrukcji” procedury i wzmocnienia trwałości rozstrzygnięć, „mając na względzie, że do każdego takiego postępowania według zasad ogólnych mogłyby przystąpić na prawach strony nawet setki podmiotów korzystających z konkretnych produktów pochodzących od konkretnego dostawcy sprzętu lub oprogramowania”.
Takie uzasadnienie nie przekonało np. Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji (KIGEiT), która podnosiła w konsultacjach, że stwarza ono „bardzo duże ryzyka w kontekście ograniczania sprawiedliwości proceduralnej podmiotów rynku”. Izba argumentowała, że „z uwagi na szczególną wagę postępowania w sprawie uznawania za dostawcę wysokiego ryzyka i jego bardzo daleko idące skutki rynkowe i potencjalnie społeczne, niezbędne jest zapewnienie udziału w postępowaniu podmiotów, na których prawa i obowiązki oddziaływać będzie decyzja” - czyli telekomów. KIGEiT podkreślał, że taka sytuacja „implikuje ryzyko nie tylko zbyt skrajnego ograniczenia, ale także całkowitego wyłączenia możliwości ochrony praw przez podmioty związane decyzją w postępowaniu” o uznanie za HRV.
Organizacje branżowe proponowały ponadto otworzenie procedury w sprawie ryzykownych dostawców na „stronę społeczną”. Ten postulat według naszych informacji nie zostanie jednak spełniony.
Janusz Cieszyński, sekretarz stanu w KPRM odpowiedzialny za cyfryzację, mówił DGP w październiku, że „prawo do informacji czy jakiegoś uczestniczenia” telekomów w tym procesie to „racjonalny postulat”, ale resort nie zgodzi się, aby „dochodziło do wykorzystywania procedury administracyjnej do przedłużania procesu oceny dostawców”.
Z nieoficjalnych informacji DGP wynika ponadto, że w projekcie zostanie też wprowadzona zmiana dotycząca sporządzania opinii Kolegium ds. Cyberbezpieczeństwa. Pojawi się w niej mianowicie stały element analizy wykonywanej przez właściwy CSIRT (krajowy zespół reagowania na incydenty bezpieczeństwa komputerowego), co obecnie jest fakultatywne. Taki postulat zgłaszała Konfederacja Lewiatan.
Projekt nowelizacji czeka obecnie, aż zajmie się nim Komitet Rady Ministrów do spraw Bezpieczeństwa Narodowego i spraw Obronnych. Na przyjęcie ostatecznej wersji KSC przez Radę Ministrów czeka z kolei Urząd Komunikacji Elektronicznej, który szykuje się do ogłoszenia aukcji pasma C - najważniejszych dla rynku częstotliwości do budowy sieci 5G. Do uruchomienia tej procedury regulatorowi potrzebne są bowiem zasady bezpieczeństwa sieci telekomunikacyjnych i oceny ryzyka dostawców sprzętu do ich budowy.
