Zdaniem Kolegium ds. Cyberbezpieczeństwa wycofanie z sieci telekomunikacyjnych urządzeń i oprogramowania wchodzącego w skład infrastruktury kluczowej „powinno zostać przeprowadzone w terminie pięciu lat” od uznania producenta tego sprzętu za dostawcę wysokiego ryzyka
Taką opinię na temat wymagań w zakresie bezpieczeństwa i integralności telekomunikacyjnej oraz usług kolegium wydało w związku z rezerwacją częstotliwości 3,6 GHz – czyli pasma C przeznaczonego na ogólnopolską sieć mobilną piątej generacji. Do przeprowadzenia aukcji tych częstotliwości przygotowuje się obecnie Urząd Komunikacji Elektronicznej, który na wymianę sprzętu zaplanował pierwotnie termin do siedmiu lat.
Kolegium ds. Cyberbezpieczeństwa działa przy Radzie Ministrów. Na jego czele stoi premier, a w skład kolegium wchodzą ministrowie: spraw wewnętrznych (i koordynator służb specjalnych), obrony narodowej oraz spraw zagranicznych, a także szefowie kilku służb.
Obecna opinia, o której kancelaria premiera poinformowała w piątek, dotyczy najbardziej kontrowersyjnego elementu projektu dokumentacji aukcyjnej, której konsultacje UKE zakończył 31 stycznia. W towarzyszących decyzji rezerwacyjnej „Wymaganiach dotyczących bezpieczeństwa i integralności infrastruktury telekomunikacyjnej i usług” zamieszczono bowiem pkt 11, który stanowi, że prezes UKE przekazuje operatorowi „informację o uznaniu dostawcy za dostawcę wysokiego ryzyka”. Jeśli operator korzystałby z usług takiej firmy, to musiałby wycofać z eksploatacji jej sprzęt i oprogramowanie wchodzące w skład infrastruktury kluczowej w terminie nie dłuższym niż siedem lat.
Teraz Kolegium ds. Cyberbezpieczeństwa daje na taką operację dwa lata mniej. Istotna w tej sprawie jest jednak kwestia podstawy prawnej do stawiania telekomom tego rodzaju wymagań.
Procedura uznawania producentów sprzętu telekomunikacyjnego za dostawców wysokiego ryzyka nie została bowiem jeszcze prawnie określona. Takie zapisy znajdą się dopiero w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC). Zgodnie z nim decyzje o uznaniu firm za dostawców wysokiego ryzyka będzie wydawał minister właściwy do spraw informatyzacji – obecnie jest nim premier – po zasięgnięciu opinii Kolegium ds. Cyberbezpieczeństwa. Sprzęt takiej firmy trzeba będzie wymienić w ciągu pięciu (w infrastrukturze krytycznej) lub siedmiu lat.
Nowela KSC to wciąż jedynie projekt, dlatego w konsultacjach dokumentacji aukcyjnej organizacje branżowe – w tym Polska Izba Informatyki i Telekomunikacji – podkreślały, że pkt 11 wykracza poza określony w prawie telekomunikacyjnym zakres wymagań dotyczących bezpieczeństwa i integralności infrastruktury telekomunikacyjnej i usług.
Czy opinia Kolegium ds. Cyberbezpieczeństwa daje UKE brakującą podstawę do domagania się od operatorów wymiany sprzętu?
– Pod tym względem w ocenie dokumentacji aukcyjnej nic się nie zmienia. Opinia Kolegium ds. Cyberbezpieczeństwa jest wyłącznie elementem procedury tworzenia dokumentacji aukcyjnej. Nie stanowi żadnych wymagań czy dodatkowych możliwości dla prezesa UKE. Jej celem jest tylko ocena propozycji prezesa UKE – mówi Jakub Woźny, partner z Kancelarii Prawnej Media, radca prawny specjalizujący się w prawie komunikacji elektronicznej. Dodaje, że wciąż żaden przepis nie uprawnia regulatora do stawiania takich wymagań. – Prawo telekomunikacyjne jest w tej kwestii jednoznaczne i wyraźnie określa, co może się znaleźć w warunkach aukcji i jakie obowiązki mają operatorzy w zakresie np. usuwania sprzętu – stwierdza.
UKE nie odniósł się jeszcze do zastrzeżeń dotyczących projektu dokumentacji aukcyjnej. Czy w drugiej wersji, która ma być niedługo opublikowana, uwzględni opinię kolegium, skracając czas na wymianę sprzętu? – Niewykluczone – odpowiada rzecznik urzędu Witold Tomaszewski.
Etap legislacyjny
Projekt dokumentacji aukcyjnej po I turze konsultacji
