MC: operatorzy telekomunikacyjni nie chcą regulacji dotyczących cyberbezpieczeństwa

Jak powiedział PAP dyrektorem Departamentu Cyberbezpieczeństwa w KPRM, celem projektu jest m.in. poprawa skuteczności krajowego systemu cyberbezpieczeństwa i objęcie nim także operatorów telekomunikacyjnych oraz przedsiębiorców komunikacji elektronicznej, którzy wcześniej nie byli częścią krajowego systemu cyberbezpieczeństwa.

"To budzi kontrowersje ze strony sektora telekomunikacyjnego, bo dotychczasowe przepisy Prawa Telekomunikacyjnego, obowiązujące od roku 2004, w niewielkim stopniu wprowadzały wymagania w zakresie cyberbezpieczeństwa. Więc kiedy formułowane są nowe przepisy, podnoszące wymagania cyberbezpieczeństwa, to naturalnym odruchem jest podważanie ich zasadności" - ocenił Robert Kośla.

Wskazał, że podobne zastrzeżenia zgłaszane były podczas prac nad rozporządzeniem o minimalnych środkach technicznych i organizacyjnych, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług, które po raz pierwszy wprowadziło wymagania cyberbezpieczeństwa – rozporządzenie to weszło w życie w grudniu 2020 r.

Zwiększenie skuteczności krajowego systemu cyberbezpieczeństwa

Według Kośli celem nowelizacji jest zwiększenie skuteczności krajowego systemu cyberbezpieczeństwa, dodanie do tego systemu sektora telekomunikacyjnego, od bezpieczeństwa którego zależy bezpieczeństwo usług kluczowych w pozostałych sektorach oraz bezpieczeństwo usług cyfrowych.

"Nowe operacyjne struktury cyberbezpieczeństwa, które wprowadziliśmy się w nowelizacji, czyli sektorowe zespoły reagowania na incydenty – CSIRT sektorowe oraz operacyjne centra bezpieczeństwa SOC – pojawiały się w postulatach operatorów usług kluczowych. Często zespoły ds. cyberbezpieczeństwa u operatorów usług kluczowych miały problemy z przebiciem się do świadomości decydentów, że powinny być pełnoprawnymi operacyjnymi centrami bezpieczeństwa" - wyjaśnił.

Jak zaznaczył - w rozmowach z rynkiem prowadzonych na etapie wprowadzania rozporządzenia do Prawa Telekomunikacyjnego, gdy dyskutowano kwestię zarządzania ryzykiem też w zakresie doboru środków technicznych - operatorzy wskazywali, iż nie są w stanie sami ustalić poziomu ryzyka danego dostawcy oraz tego czy komponenty do budowy i utrzymania sieci pochodzące od tego dostawcy mogą być bezpiecznie wykorzystywane.

"Stąd już wtedy, w roku 2019 roku sygnalizowaliśmy, że tę kwestię będziemy chcieli uregulować w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, równolegle wiedząc o tym, że trwają prace nad unijnym 5G Toolbox. 5G Toolbox, uzgodniony i opublikowany w styczniu 2020 r. potraktowaliśmy jako dokument referencyjny, ale w projekcie nowelizacji ustawy proces uznawania dostawców za dostawców wysokiego ryzyka nie ogranicza się tylko do dostawców do budowy sieci 5G" - powiedział.

Tzw. Toolbox 5G to unijny dokument określający zestaw środków ograniczających ryzyka w obszarze cyberbezpieczeństwa sieci 5G.

Jak powiedział przedstawiciel KPRM, wymagania i zobowiązania, które zostały przyjęte przez państwa członkowskie wspólnie z KE i ENISĄ mówiły o tym, żeby identyfikować i ograniczać korzystanie z komponentów pochodzących od dostawców wysokiego ryzyka przy budowie bezpiecznych sieci 5G. Na poziomie unijnym, uwzględniając głosy wielu państw odnoszące się do suwerenności decyzji w zakresie bezpieczeństwa narodowego, nie zdefiniowano jednak wspólnych kryteriów, jakie mają być stosowane przez państwa członkowskie. Uznano jedynie, że kryteria uznawania dostawców wysokiego ryzyka powinny być obiektywne.

"My przyjęliśmy zarówno kryteria techniczne, jak i kryteria pozatechniczne. Niestety uwagi do projektu, które zostały zgłoszone przez rynek odnoszą się tylko do aspektów technicznych, sugerując, że powinniśmy skupić się tylko na kwestiach technicznych i na tym, czy komponenty do budowy sieci są certyfikowane, a jeśli tak, to ich stosowanie nie powinno być ograniczane. Jednak nie ma obecnie europejskiego programu certyfikacji komponentów do budowy sieci 5G. Poza tym certyfikacja jest tylko odwzorowaniem aktualnego stanu w rozwoju produktu. A mamy do czynienia nie tylko z urządzeniami, ale także z oprogramowaniem, które podlega częstym aktualizacjom i modyfikacjom – bo taka jest architektura sieci 5G, wykorzystujących w znacznej części elementy programowalne oraz wirtualizację funkcji sieciowych" - mówił.

Zdecydowanie odrzucił też pojawiający się podczas konsultacji projektu zarzut, że przepisy są konstruowane, żeby wykluczać firmy pochodzące z określonych państw z rynku.

"Niestety te uwagi formułowane były jedynie przez jedną firmę - Huawei. Widać to było wyraźnie, gdyż te uwagi kopiowane były następnie w wielu opiniach przesyłanych w procesie konsultacji. Z jednej strony ułatwiało to proces analizy uwag jeśli były one kopiowane i wklejane do kolejnych pism z opiniami, ale z drugiej strony odwracało uwagę od głównego celu nowelizacji, jakim jest podniesienie poziomu odporności krajowego systemu cyberbezpieczeństwa. W trakcie spotkań towarzyszących konsultacjom publicznym wykazywaliśmy, że wbrew spekulacjom medialnym nie proponujemy w projekcie jakichkolwiek przepisów wykluczających, ale obiektywne kryteria umożliwiające ocenę aspektów, które muszą być wzięte pod uwagę z punktu widzenia ryzyka dla bezpieczeństwa narodowego" - podkreślił.

W jego ocenie kryteria te zostały opracowane na tyle precyzyjnie i obiektywnie, na ile to możliwe w ustawie.

Ustawa o krajowym systemie cyberbezpieczeństwa z 2018 r. implementuje do polskiego porządku prawnego postanowienia dyrektywy Parlamentu Europejskiego i Rady UE z 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, zwanej dyrektywą NIS.

Określa obowiązki służące zapewnieniu cyberbezpieczeństwa systemów informacyjnych w energetyce, transporcie, bankowości i instytucjach finansowych, sektorach zdrowia, zaopatrzenia w wodę i infrastrukturze cyfrowej oraz wśród dostawców usług cyfrowych. Wskazuje także organy właściwe ds. cyberbezpieczeństwa, odpowiedzialne za nadzór nad operatorami usług kluczowych.