Ustawa o Krajowym Systemie Cyberbezpieczeństwa, czyli Yeti w Sejmie. Nowelizacja przepadła?

Wydawało się, że prościej będzie spotkać Yeti niż zobaczyć projekt nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa podczas prac tej kadencji Sejmu. A jednak cuda się zdarzają, ale tylko razem to cud rodzący pytania z gatunku – gdzie jest haczyk i czy po obradach sejmowej Komisji projekt przepadnie?
Ustawa o Krajowym Systemie Cyberbezpieczeństwa, czyli Yeti w Sejmie. Nowelizacja przepadła?

Bo tylko krowa nie zmienia zdania, czyli nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa trafiła do Sejmu

Ktoś mógłby powiedzieć, że to przecież żadna sensacja. W końcu projekty Ustaw są po to, żeby trafiały pod obrady Sejmu. Tyle tylko, że nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa nie jest zwyczajna. To wręcz symbol, który przez trzy lata wewnętrznych wojen i zewnętrznych nacisków prac doczekał się kilkunastu wersji. Dodatkowo, jak informował Polityka Insight, podczas pierwszego posiedzenia nowej Rady ds. Cyfryzacji minister cyfryzacji Janusz Cieszyński miał poinformować, że ze względu na zbyt małą liczbę posiedzeń Sejmu, ustawy prawdopodobnie nie da się procedować w obecnej kadencji. Dokładnie tych samych argumentów minister Cieszyński użył podczas konferencji poświęconej startowi aukcji częstotliwości sieci 5G.

Tymczasem kiedy rząd zdążył już ogłosić, że nie zamierza do końca kadencji podejmować żadnych gwałtownych ruchów, żeby nie dawać paliwa opozycji do robienia kampanii wyborczej na swoich decyzjach, kontrowersyjna i pechowa Ustawa powraca.

Czytaj też: Tak, umowę na Internet trzeba wypowiedzieć. Chyba że się odpowiednio zabezpieczysz

(Nie)wszystkie grzechy nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa

Gdybym miał wymienić wszystkie grzechy projektu Ustawy, tekst liczyłby dziesiątki tysięcy znaków. Do treści Ustawy w tym momencie trudno się odnieść, bo pojawiła się do niego długa lista poprawek, a nie wiemy (piszę ten fragment przed rozpoczęciem posiedzenia Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej), czy przypadkiem jakieś dodatkowe nie zostaną napisane na kolanie w trakcie obrad. Choć długa lista to niedopowiedzenie, bo projekt i załączniki to skromne 1240 stron, a poprawek jest więcej niż… samej ustawy. Powinniśmy więc mówić o nowej ustawie, a nie nowelizacji, ale tu jest haczyk. Nowa ustawa wymagałaby przeprowadzenie ponownych konsultacji publicznych. A tak rządzący mogą mówić, że konsultacje przecież były. Były, ale trzy lata temu, kiedy projekt miał zupełnie inną treść niż obecnie.

Rząd planuje przeprowadzić trzy czytania projektu w dniach 11-13 lipca. Informacja o tym, że projekt będzie procedowany pojawiła się w czwartek 6 lipca, a pierwsze posiedzenie Komisji odbywa się 11 lipca. Zgodnie z regulaminem posłowie powinni mieć 7 dni na zapoznanie się z projektem, a eksperci na jego zrozumienie. W tak krótkim czasie to nie będzie proste zadanie.

Sama treść projektu jest kontrowersyjna nie tylko ze względu na obecne w nim zapisy, ale też ze względów merytorycznych. Jak choćby wielokrotne odwołania do Prawa Komunikacji Elektronicznej, które po kontrowersjach wokół Lex Pilot nie zostało uchwalone. Nie wiadomo też, jakie będą skutki finansowe nowelizacji Ustawy o KSC, bo ocena skutków regulacji mówi, że są one niemierzalne. Tymczasem już w 2020 roku Krajowa Izba Komunikacji Ethernetowej wyliczyła, że koszt wymiany urządzeń w związku z przyjęciem Ustawy wyniesie prawie 162 mln zł, ale mówimy tu tylko o małych i średnich przedsiębiorstwach, z pominięciem największych operatorów jak Orange, Play czy T-Mobile. Daje to średnio 2,99 mln na jedną firmę.

Czytaj też: Oficjalnie ruszyła aukcja 5G. Kiedy dostaniemy szybszy Internet w telefonie?

Co wydarzyło się podczas posiedzenia Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej? Nowelizacja Ustawy o KSC przepadła na dobre?

Podczas obrad połączonych Komisji padło wiele głosów przeciwko nowelizacji Ustawy w takim kształcie. Powtórzone zostały zarzuty wymienione powyżej, w tym dotyczące procedowania przepisów odnoszących się do nieistniejących jeszcze przepisów. Ale problemem mogą być nie tylko przepisy krajowe, ale też unijne.

Jak zaznaczyła przedstawicielka PIKE (Polska Izba Komunikacji Elektronicznej), nowelizacja Ustawy o KSC odwołuje się do art. 40 i 41 Europejskiego Kodeksu Łączności Elektronicznej (EKŁE), ale od startu 2024 roku oba te zapisy zostaną uchylone przez europejską dyrektywę NIS2. W związku z czym polskie przepisy będą się odwoływać do nieistniejących przepisów unijnych.

Zarówno PIKE, jak i Konfederacja Lewiatan zauważają, że z projektu Ustawy zniknęły zapisy dotyczące notyfikacji technicznej do Komisji Europejskiej, dotyczącej dostawców wysokiego ryzyka. Co ciekawe ten zapis zniknął w momencie przekazania projektu do Sejmu. Wcześniej przez dwa lata się z nim znajdował.

Czytaj też: East-West Gate – odwiedziłem największy terminal kolejowy w Europie sterowany przez 5G

Konfederacja Lewiatan, jak i prof. Maciej Rogalski zaznaczają, że w obecnym kształcie projekt może naruszać Konstytucję oraz traktaty Unii Europejskiej dotyczące m.in. swobody przepływu towarów i usług. Prof. Rogalski dodaje też możliwą niezgodność z zasadami niewłaściwej pomocy ze strony państwa, czy otrzymywania zasobów częstotliwości z pominięciem procedur. Co dotyczy powołania operatora sieci strategicznej.

Bardzo ciekawy był głos KIKE (Krajowa Izba Komunikacji Ethernetowej). Polska jest ewenementem w Europie, bo na naszym rynku 1/3 dostawców Internetu stacjonarnego to mali i średni przedsiębiorcy, a polskie firmy stanowią 40% rynku. Ustawa ma uderzać właśnie w rodzime przedsiębiorstwa, które jak się okazuje nie mogą kupować sprzętu europejskich dostawców, a są w zasadzie skazane na sprzęt chiński, który może zostać uznany za sprzęt wysokiego ryzyka. Mały przedsiębiorca potrzebuje np. kilku tysięcy sztuk sprzętu, podczas gdy europejscy giganci (Nokia czy Ericsson) mają nie realizować tak małych zamówień oraz nie oferuje serwisowania urządzeń i usług. Padł też zarzut dotyczący tego, że nowelizację Ustawy o KSC przedstawia się jako dotyczącą sieci 5G, tymczasem w takim samym stopniu dotyczy ona Internetu stacjonarnego.

Powtarzanym zarzutem, który pojawiał się też wcześniej, jest wykluczanie małych firm z postępowań dotyczących dostawców wysokiego ryzyka. Udział w postępowaniu będą mogły brać wyłącznie największe firmy telekomunikacyjnr. Z kolei dostawca uznany za dostawcę wysokiego ryzyka może nie mieć dostępu do uzasadnienia wyroku sądu w tej sprawie.

Głosem przeciwnym w ustawie był Michał Kanownik ze Związku Cyfrowa Polska. Jego zdaniem mówimy o najlepiej skonsultowanej ustawie w historii, kluczowej dla bezpieczeństwa wdrożenia sieci 5G i nie da się przeprowadzić aukcji częstotliwości bez nowelizacji Ustawy. Dodał też, że w przepisach powinien pojawić się krótszy termin na wymianę sprzętu, wynoszący 4, zamiast 7 lat. Wtórował mu przedstawiciel Polskiego Towarzystwa Informatycznego, który zaznaczył, że sprzęt dostawców wysokiego ryzyka oraz firm, które potencjalnie mogą zostać za takiego uznane, nie powinien znajdować się w elementach krytycznych sieci. Wtrącę tu jednak, że projekt nie rozróżnia elementów sieci na krytyczne i nie. A może powinien?

Czytaj też: Exatel brata się z Play. Huawei już nie przeszkadza rządzącym?

Co nie zmienia faktu, że duża część projektu nowelizacji Ustawy o KSC jest oceniania pozytywnie. Jak porządkowanie zespołów reagowania, sektorowy CIRT, krajowy system certyfikacji cyberbezpieczeństwa czy dodanie operatorów telekomunikacyjnych do sieci cyberbezpieczeństwa.

Wypowiedzi polityków pomińmy, bo sprowadzały się głównie do wzajemnych ataków drugiej strony politycznej lub były kompletnie oderwane od toku dyskusji (minister Lewandowski z Ministerstwa Cyfryzacji, którego słowa można skrócić do – ustawa jest fajna, bo jest dobra i fajna). Ważne pytanie zadał przewodniczący Komisji Jan Grabiec. Zapytał on, czy przyśpieszenie prac nad nowelizacją Ustawy o KSC ma związek z rozpoczętą aukcją częstotliwości sieci 5G, która może być obarczona wadą prawną. Przez ostanie lata słyszeliśmy, że aukcja nie może rozpocząć się bez nowelizacji i ruszyła… bez nowelizacji. Odpowiedź na to pytanie się nie pojawiła, za to pojawił się wniosek o zorganizowanie wysłuchania publicznego 11 września 2023 roku. Wniosek został przegłosowany, wysłuchanie się odbędzie, a ustawa… przepadła?

Niekoniecznie, bo projekt może jeszcze wrócić, ale jako projekt poselski. Co obecna władza lubi stosować i jeśli faktycznie tak się stanie, to może być sygnał, że faktycznie przyśpieszenie prac mogło mieć związek z aukcją 5G, albo jakimiś wewnętrznymi zobowiązaniami i koniecznością ustawienia Exatela jako operatora sieci strategicznej. Trudno znaleźć inne wytłumaczenie dla nagłej chęci szybkiej nowelizacji Ustawy.