Powołanie jednego, państwowego operatora narodowego, który będzie świadczył usługi telekomunikacyjne dla całej administracji – takie rozwiązanie znalazło się w projekcie nowelizacji o krajowym systemie cyberbezpieczeństwa. Czy scentralizowanie systemu i podłączenie najważniejszych instytucji państwa oraz jego służb mundurowych pod jedną sieć służy bezpieczeństwu cyfrowemu państwa? – zastanawia się branża.

ikona lupy />
Jacek Janiszewski / fot. materiały prasowe

Nowy projekt ustawy o krajowym systemie cyberbezpieczeństwa zawiera szereg propozycji, których celem jest podniesienie poziomu cyberbezpieczeństwa państwa. Nie wszystkie propozycje są jednak trafione. O tym, że regulacja nastręcza szereg trudności świadczą przedłużające się prace nad projektem. W połowie marca ukazała się już siódma odsłona dokumentu. Niestety tylko pierwszy z projektów był konsultowany publicznie, dlatego nie dziwi, że branża telekomunikacyjna na łamach mediów ocenia obecną jego wersję, wytykając słabe punkty nowelizacji. Apeluje również o zorganizowanie nowych konsultacji, gdyż ostatnie miały miejsce 2 lata temu.

Jedna sieć telekomunikacyjna dla sądownictwa, policji czy wojska

Projekt zakłada stworzenie sieci komunikacji strategicznej dla najważniejszych instytucji w państwie, administracji rządowej, organów władzy publicznej i służb. Nad tym procesem miałaby czuwać Spółka Skarbu Państwa – Polskie 5G, a rozwiązania teleinformatyczne miałaby dostarczyć firma Exatel. Firmy telekomunikacyjne negatywnie odnoszą się do tej propozycji – zauważając, że centralizacja sieci to potencjalnie większe ryzyka dla bezpieczeństwa cyfrowego instytucji państwowych. Co więcej, dostrzeżono też, że przyznanie w tym celu częstotliwości w paśmie 700 Mhz może być niebezpieczne. Jak donosi branża, jest ono systematycznie zakłócane przez białoruską i rosyjską komunikację wojskową w związku z trwającą wojną w Ukrainie.

NATO i UE – czyli twardy reset dla technologii z Azji

Projekt noweli ustawy o KSC ujednolica również zasady przyznawania tzw. certyfikatów cyberbezpieczeństwa i ich wzajemne uznawanie przez państwa członkowskie Unii Europejskiej. Podmioty dostarczające sprzęt czy też oprogramowanie zostaną poddane procedurze sprawdzającej pod kątem potencjalnych cyberzagrożeń. Weryfikacja stwierdzająca takie zagrożenie, a więc uznanie danej firmy za dostawcę wysokiego ryzyka, wykluczy ją z polskiego systemu zamówień publicznych.

Wśród kryteriów branych pod uwagę w toku postępowania weryfikacyjnego rozpatrywane są m.in. „poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi”. Podmiotami „persona non grata” będą podmioty, których siedziby znajdują się poza państwami UE i NATO (kryterium narodowościowe). Zgodnie z aktualnym projektem, wykluczenie z polskiego rynku dostawców usług i sprzętu ICT (infrastruktury w standardzie 5G) może nastąpić także w oparciu o kryterium techniczne (liczba i rodzaje wykrytych podatności i incydentów dla poszczególnych produktów i usług czy wydawanych rekomendacji i certyfikatów).

Tak sformułowane obostrzenia, np. dotyczące kryterium narodowościowego, jednoznacznie wskazują na chęć wykluczania z polskiego rynku firm technologicznych pochodzących z Azji. Warto zauważyć, że obecnie tylko dwa państwa europejskie – Litwa i Rumunia – wprowadziły przepisy umożliwiające pozbywanie się ze swoich rynków dostawców pochodzących z Chin. W większości pozostałych państw UE nie ma regulacji prawnych dyskryminujących azjatyckie firmy technologiczne.

Ryzyko arbitralnych, upolitycznionych decyzji

Warto na chwilę zatrzymać się przy Kolegium ds. Cyberbezpieczeństwa, które ma wydawać opinię na temat oceny profilu ryzyka dostawcy sprzętu i oprogramowania. Jest to organ opiniodawczo-doradczy przy premierze. Przewodniczącym Kolegium jest Prezes Rady Ministrów, a w jego składzie zasiadają minister właściwy ds. wewnętrznych, zagranicznych, obronności, informatyzacji, a także szef Biura Bezpieczeństwa Narodowego oraz zwierzchnicy służb specjalnych. Decyzje Kolegium będą miały charakter nieodwołalny. W procedurze sprawdzającej będą mogli uczestniczyć także przedstawiciele z rynku, ale tylko największe firmy o przychodach przekraczających 100 mln zł.

Decyzje Kolegium ds. Cyberbezpieczeństwa będą zapadały arbitralnie – nie będzie możliwości odwołania ani złożenia wyjaśnień przez weryfikowaną firmę. Dopuszczenie do procedury oceny ryzyka przedstawicieli największych firm z branży, nie rozwiązuje problemu reprezentatywności. Szereg mniejszych i średnich operatorów telekomunikacyjnych korzystających ze sprzętu firm, które zostaną poddane procedurze weryfikacji, nie będą miały możliwości obrony swoich interesów. Uprzywilejowanie dużego kapitału pod tym kątem, stawia je w lepszej pozycji rynkowej, co jest sprzeczne z zasadą uczciwej konkurencji. Dodatkowo, nieprecyzyjność przepisów dotyczących oceny dostawcy, może wyeliminować z rynku nawet najbardziej doświadczone i cenione do tej pory podmioty.

Gospodarka rozwija się poprzez innowacje, warto o tym pamiętać, projektując system rozwoju technologii 5G w Polsce. Czerpmy wzorce z całego świata, nie zamykając swoich możliwości przyszłego rozwoju w oparciu o jedynie wybrane kierunki geopolityczne.

Autorem tekstu jest Jacek Janiszewski, Przewodniczący Welconomy Forum

Materiał pod patronatem Welconomy Forum