Nowe przepisy o cyberbezpieczeństwie mogą uderzyć w Huawei

Kancelaria Prezesa Rady Ministrów opublikowała nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Odnosi się ona m.in. do sprawy uznania dostawcy wysokiego ryzyka. Nie jest to rzecz jasna powiedziane wprost, aczkolwiek może to mieć na celu eliminację infrastruktury sieci 5G chińskich operatorów, a w tym Huawei.

Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) przewiduje wskazanie przez ministra ds. informatyzacji dostawcy wysokiego ryzyka na podstawie opinii Kolegium Cyberbezpieczeństwa oraz transparentnych procedur określonych w Kodeksie postępowania administracyjnego. Postępowanie ma natomiast zakończyć się decyzją administracyjną podlegającą zaskarżeniu do sądu administracyjnego. Równocześnie operatorom telekomunikacyjnym, na usunięcie sprzętu dostawcy sprzętu wysokiego ryzyka daje się 7 lat. W przypadku sprzętu z zakresu funkcji krytycznych okres ten wynosi 5 lat.

KPRM poinformowała o rozpoczęciu publicznych konsultacji projektu, które potrwają do 22 października.

Czytaj też: Polska i Cypr mają wspólnie działać w sektorze cyberbezpieczeństwa

Dyrektor Huawei Polska: To ewidentna dyskryminacja

Ryszard Hordyński, dyrektor ds. strategii i komunikacji w Huawei Polska, w rozmowie z Wirtualnemedia.pl podkreśla, że nowelizacja jest potrzebna, ale w obecnym kształcie jest „nie do zaakceptowania”. - Z setek uwag, które rynek zgłosił do poprzedniej wersji ustawy, prawodawca uwzględnił tylko kilka zmian. Projekt powinien zostać ponownie przeanalizowany i zaktualizowany; niezbędne jest usunięcie wad wskazanych tak teraz, jak i wcześniej przez Huawei oraz pozostałych interesariuszy w toku konsultacji społecznych - mówi Hordyński.

- Kluczowe w obecnym KSC jest, że cyberbezpieczeństwo jest kwestią czysto techniczną, opartą na merytorycznych przesłankach. Mimo licznych uwag z rynku w toku zeszłorocznych konsultacji, kryteria oceny dostawców w ramach KSC nadal nie opierają się na kryteriach technicznych, w szczególności na modelu certyfikacji elementów, a na subiektywnych przesłankach, takich jak np. kraj pochodzenia dostawcy. Zamiast na rzetelnej weryfikacji urządzeń oraz usług z wykorzystaniem uznanych, międzynarodowych systemów certyfikacji takich jak NESAS czy ISO. Ustawa skupia się na dostawcy, a nie na jego poszczególnych produktach, jak ma to miejsce w regulacjach przyjętych przez liczne kraje UE, m.in. Niemcy i Finlandię - zaznacza Hordyński.

Jak dodaje, zdaniem Huawei, nowy projekt ustawy „jest przykładem wprowadzania bezprecedensowych rozwiązań, które nie korespondują z prawem unijnym”. - Projekt jest niezgodny m.in. z przepisami prawa UE w zakresie zakazu dyskryminacji ze względu na narodowość, zakazu ograniczania swobody przedsiębiorczości oraz z zasadą niedyskryminacji Karty Praw Podstawowych Unii Europejskiej. Wejście ustawy w tym kształcie może nieść dalsze prawne reperkusje, które tylko wydłużyć i opóźnić proces  budowy 5G w Polsce. Już wiemy, że taka sytuacja ma miejsce w Szwecji - mówi Hordyński. Trybunał Sprawiedliwości Unii Europejskiej ma przyjrzeć się bowiem wyrokowi szwedzkiego sądu administracyjnego z czerwca, który utrzymał w mocy zakaz używania sprzętu Huawei i ZTE dla sieci 5G w tym kraju. - Wykładnia Trybunału Sprawiedliwości może w przyszłości wpłynąć na konstrukcję nowych reguł prawnych przygotowywanych na wielu europejskich rynkach, w tym w Polsce - podkreśla Hordyński.

- Koniec końców ustawa pozwala dzisiaj na dowolną interpretację statusu danego dostawcy i to na taką, która jest wygodna politycznie w danej chwili, ale nie realizuje celu podstawowego, czyli zapewnienia maksymalnej ochrony w sferze cyberbezpieczeństwa - mówi dyrektor z Huawei.

„Powstaje pytanie o przyszłość polskiej telekomunikacji w ogóle”

Czy faktycznie przepisy dotyczące dostawców wysokiego ryzyka mogą być wymierzone w Huawei? - Choć w ustawie nie pada nazwa naszej firmy, nieobiektywne i nietransparentne kryteria skonstruowano tak, by tylko jeden spośród trzech dostawców sieci 4G i 5G w Polsce mógł niekorzystnie przejść weryfikację, której jednym z punktów jest kraj pochodzenia i należność do UE lub NATO. Moim zdaniem to ewidentna dyskryminacja, naruszającą międzynarodowe umowy handlowe i regulacje dotyczące swobody prowadzenia działalności gospodarczej - twierdzi Hordyński. Jak dodaje, „ewidentnie widać, że KSC jest narzędziem politycznych nacisków, a nie dokumentem, który ma opracować zasady działania w cyberprzestrzeni”. - Pierwszy przykład z brzegu: w kolegium ds. cyberbezpieczeństwa nie ma przedstawicieli branż oraz środowisk eksperckich. Prawodawca chce kluczowe decyzje zostawić w rękach polityków, a na takiej podstawie nie rozwiążemy problemów z obszaru cyberbezpieczeństwa, a tylko wykażemy swoje sympatie geopolityczne. Konieczne jest włączenie w proces oceny przedstawicieli rynku: operatorów, dostawców oraz izby branżowe - uważa Hordyński.

- W obliczu tak nieprecyzyjnych, uznaniowych i niemal nieodwołalnych przepisów, powstaje jednak pytanie nie tyle o dyskryminację i przyszłość Huawei, czy jakiegokolwiek innego dostawcy sprzętu, co raczej o przyszłość polskiej telekomunikacji w ogóle. Problemy spowodowane nieszczególnie owocnymi pracami nad prawodawstwem związanym z cyberbezpieczeństwem i rozwojem rynku telekomunikacyjnego w Polsce już dzisiaj skutkują ponad rocznym opóźnieniem, a sama ustawa o KSC w obecnej formie dalej nie gwarantuje podstaw do sprawnej budowy sieci 5G w Polsce. Ustawa nie zabezpiecza ponadto odpowiednio m.in. teleoperatorów na wypadek wykluczenia jednego z dostawców infrastruktury sieciowej, co wprowadza ogromny poziom niepewności rynkowej - mówi Hordyński.

Polska 5G

Nowa ustawa gwarantuje powołanie spółki Polskie 5G, która będzie operować na częstotliwościach 703-733 MHz oraz 758-788 MHz. Tego rodzaju przedsięwzięcie ma przyczynić się do obniżenia kosztów budowy infrastruktury telekomunikacyjnej, wprowadzając równocześnie konkurencyjne ceny usług. Dodatkowo rozwiązanie to ma także zapewnić rozwój gospodarki cyfrowej oraz zwiększyć poziom cyberbezpieczeństwa.

Wprowadzono również przepisy dotyczące operatora strategicznej sieci bezpieczeństwa (OSSB), który zostanie wskazany przez premiera. Podmiot ten musi spełniać konkretne warunki narzucone przez ustawę. OSSB ma być odpowiedzialne za obronność i bezpieczeństwo państwa oraz bezpieczeństwo porządku publicznego w aspekcie telekomunikacyjnym.