Dostawcy wysokiego ryzyka mogą nie wiedzieć o toczącym się postępowaniu. Małe firmy nadal poszkodowane
W projekcie niezmienione pozostały zasady, na których przedsiębiorca telekomunikacyjny może przystąpić jako strona do postępowania mającego na celu wskazanie dostawcy sprzętu i usług, jako dostawcy wysokiego ryzyka. Do postępowania może przystąpić tylko firma, która w poprzednim roku obrotowym uzyskała przychody z prowadzenia działalności telekomunikacyjnej w wysokości co najmniej 20-krotnośći przeciętnego wynagrodzenia w gospodarce narodowej. Oznacza to, że jeśli będzie prowadzone postępowanie wobec dostawcy, co może skutkować nakazem wymiany jego sprzętu i usług w systemach operatorów, to wpływ na postępowanie będą mieć wyłącznie największe firmy telekomunikacyjne. Małe, dla których będzie to o wiele bardziej dotkliwy proces, pozostają bez prawa głosu.
Czytaj też: Operator sieci strategicznej w nowej odsłonie. Idą telekomunikacyjne zmiany
Przepisy już nie wyglądają jak pisane typowo pod Huawei
Problemem pierwszych wariantów projektu były bardzo uznaniowe kryteria, w myśl których można było uznać dostawcę za podmiot wysokiego ryzyka. Był to m.in. kraj pochodzenia oraz to, czy są w nim przestrzegane prawa człowieka. W zasadzie można je było interpretować jako – jeśli dostawca jest z Chin, blokujemy! Kryteria zostały mocno zmodyfikowane.
Przed uznaniem dostawcy, za dostawcę wysokiego ryzyka, Minister Właściwy zwraca się o opinię do Kolegium ds. cyberbezpieczeństwa. Opinia zawiera analizę dotyczącą:
- Zagrożenia bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich. Z uwzględnieniem informacji od organów Unii Europejskiej oraz NATO.
- Prawdopodobieństwa, czy dostawca znajduje się pod kontrolą państwa spoza terytorium UE oraz NATO. Uwzględniając przy tym przepisy regulujące stosunki między dostawcą, a tym państwem, przepisy i ich stosowanie w zakresie ochrony danych osobowych, struktury własnościowe i zdolność ingerencji państwa w swobodę działalności dostawcy.
- Działań dotyczących nadzorowania nad procesem wytwarzania i dostarczania sprzętu oraz usług, liczbę i rodzaj wykrytych podatności incydentów na cyberataki oraz treści wcześniejszych rekomendacji.
- W sporządzeniu opinii Kolegium uwzględnia certyfikaty wydane dla produktów, usług i procesów, które są uznawane w państwach Unii Europejskiej lub NATO.
Na podstawie analiz Minister Właściwy ds. informatyzacji podejmuję decyzję, czy dostawca zostanie uznany za dostawcę wysokiego ryzyka. Musi ona zawierać konkrety – jakie produkty, procesy lub usługi stanowią ryzyko i zagrożenie dla obronności, bezpieczeństwa państwa, porządku publicznego, zdrowia lub życia ludzi.
Czytaj też: Komisja Europejska chce skanować nasze wiadomości. Ochrona dzieci jako pretekst do inwigilacji?
Teraz co ciekawe, po wydaniu decyzji nie mamy sytuacji, w której dostawca zostaje całkowicie zablokowany. Wprowadzany jest zakaz użytkowania konkretnych produktów, usług lub procesów, które zostaną uznane za niebezpieczne. Dodatkowo w ciągu 7 lat mają zostać wycofane z użytku. Jeśli już są użytkowane lub zakupione, firmy nadal mogą z nich korzystać i je serwisować do czasu usunięcia, ale nie mogą już kupować kolejnych z tej samej kategorii. W przypadku, kiedy produkty, usługi lub procesy podlegają przepisom Prawa o zamówieniach publicznych, również obowiązuje okres 7 lat na wymianę, a jeśli są używane w funkcjach krytycznych (wymienione w załączniku do ustawy), okres ten skraca się do 5 lat.
W przypadku odwołania się od decyzji sprawą zajmie się sąd administracyjnych (trzech sędziów). Poprawiono zapis dotyczący wstrzymania wykonalności zakazu. Teraz sąd będzie miał możliwość wstrzymania go do czasu rozpatrzenia sprawy. Rozprawa będzie niejawna, a strona skarżąca otrzyma jedynie część uzasadnienia wyroku.
Zapisy są ciekawe, bo z jednej strony nadal wydają się uderzać w chińskie firmy, ale z drugiej nie wprowadzają blokady dla całego dostawcy, a jedynie na produkty, usługi lub procesy, które zostaną uznane za stanowiące wysokie ryzyko. To bardzo istotna zmiana.
Kolejną ważną zmianą jest brak klasyfikowania dostawców na bardziej lub mniej niebezpiecznych. To rozsądne uproszczenie i teraz system jest bardziej precyzyjny i zerojedynkowy, a nie oparty wyłącznie na bardzo ogólnych kryteriach mających uderzyć w konkretną firmę.
Czytaj też: Jak przekonać ludzi do sieci 5G? To stało się realnym problemem
Czy to już ostateczna wersja przepisów?
… 😉
Taaak… Tego oczywiście nikt nie powiedział. Zaznaczmy, że przez ostatnie dwa lata projekt urósł z 25 do 89 stron. Dodajmy do tego fakt, że po opublikowaniu najnowszej wersji, zniknęła ona ze strony Ministerstwa Cyfryzacji w ciągu 24 godzin, bo wymagała kolejnych poprawek.
Warto też zaznaczyć, że projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa to nie tylko blokowanie dostawców wysokiego ryzyka i powołanie operatora strategicznego. To również duże zmiany w ogólnym podejściu do cyberbezpieczeństwa. Powołanie sektorowych zespołów cyberbezpieczeństwa, tworzenie jednostek odpowiedzialnych za cyberbezpieczeństwo u operatorów, konieczność zatrudnienia wykwalifikowanych specjalistów w jednostkach rządowych.
Choć przepisy są ważne, tworzenie ich przez dwa lata to cyrk na kółkach. Tym bardziej, że bez tych przepisów aukcja docelowych częstotliwości sieci 5G stoi. Kiedy ruszy? Nie wiadomo. Kiedy zostaną uchwalone przepisy dotyczące cyberbezpieczeństwa? Nie wiadomo. I tak to się żyje w tej Polsce…