– Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 20 stycznia jest już kolejną wersją zmian tego aktu prawnego. Poprzedni projekt noweli był z 7 września i zgłoszono do niego aż 750 uwag – mówi agencji informacyjnej Newseria Biznes prof. dr hab. Maciej Rogalski.
Wprowadzona w połowie 2018 roku ustawa była pierwszym w Polsce aktem prawnym dotyczącym tego obszaru. Rząd szykuje jej nowelizację, która – jak uzasadnia – jest podyktowana ustaleniami na poziomie europejskim. Chodzi głównie o konieczność wdrożenia do polskich przepisów tzw. 5G Toolbox, który został wypracowany przy udziale wszystkich państw członkowskich UE i przyjęty na początku 2020 roku. Dokument ma wzmocnić poziom cyberbezpieczeństwa w Europie w kontekście budowy sieci 5G. Stąd również i krajowa nowelizacja ustawy o KSC będzie mieć duże przełożenie na wdrażanie tej technologii w Polsce.
Pierwszy projekt nowelizacji pojawił się na początku września ub.r. i od razu wzbudził duże kontrowersje wśród ekspertów i całego rynku telekomunikacyjnego, m.in. ze względu na ekspresowy, 14-dniowy termin jego procedowania. W projekcie znalazły się też zapisy, które pozwalają wykluczyć z budowy 5G niektórych dostawców infrastruktury i oprogramowania. Chodzi przede wszystkim o firmy chińskie, w tym koncern technologiczny Huawei, który jest jednym z głównych dostawców infrastruktury dla tej technologii.
Najnowszy projekt nowelizacji ustawy o KSC trafił już na Komitet Rady Ministrów ds. Cyfryzacji. Eksperci ds. prawa i rynku telekomunikacyjnego wskazują, że nowa wersja nadal nie uwzględnia najważniejszych uwag zgłoszonych w toku konsultacji publicznych.
– Obecny projekt noweli w części uwzględnia zgłaszane uwagi. Szereg z nich nie został jednak uwzględniony albo przepisy zostały zmienione w sposób budzący kolejne zastrzeżenia i wątpliwości interpretacyjne – mówi rektor Uczelni Łazarskiego. – W uwagach wskazywano m.in. na konieczność stosowania przepisów Kodeksu postępowania administracyjnego w postępowaniach, które dotyczą oceny dostawców sprzętu telekomunikacyjnego. W nowej wersji wprowadzono wprawdzie taki wymóg stosowania przepisów k.p.a., ale jednocześnie wprowadzono też szereg wyjątków, co zasadniczo ograniczy stosowanie podstawowych zasad prawnych. Te zmiany nie są więc wystarczające.
Bez większych zmian pozostawiono też zapisy pozwalające wykluczyć z wdrażania 5G części dostawców na podstawie otwartych, niemerytorycznych kryteriów (np. takich, czy dana firma pochodzi z kraju, w którym są przestrzegane prawa człowieka).
– Wprawdzie poszerzono listę tych kryteriów oraz zmodyfikowano dotychczasowe, jednak nadal są to niewystarczające zmiany – wskazuje prof. dr hab. Maciej Rogalski.
Zgodnie z aktualnym projektem w Polsce oceny dostawców sprzętu i oprogramowania dla sieci 5G ma dokonywać rządowe Kolegium ds. Cyberbezpieczeństwa. Weźmie ono pod uwagę kryteria takie jak m.in. prawdopodobieństwo, że dostawca znajduje się pod wpływem państwa spoza UE bądź NATO, oraz jakie obowiązuje w tym kraju prawo w zakresie ochrony danych osobowych czy praw człowieka. Dostawcy uznani na podstawie tych kryteriów za poważne zagrożenie dla krajowego cyberbezpieczeństwa zostaną odcięci od kontraktów, a firmy telekomunikacyjne korzystające z ich usług bądź sprzętu będą musiały pozbyć się ich w ciągu siedmiu lat, co będzie wiązało się dla nich z dużymi stratami finansowymi. To m.in. z tego powodu rynek wielokrotnie apelował już o wprowadzenie bardziej mierzalnych, merytorycznych kryteriów oceny dostawców.
– Mimo licznych postulatów i propozycji konkretnych rozwiązań nie wprowadzono kryteriów technicznych, które byłyby weryfikowalne w ocenie i nie powodowały wieloznaczności. Co prawda zostały dodane pewne odniesienia do kwestii technicznych, jak np. liczba i rodzaj wykrytych podatności i incydentów dotyczących typów produktów lub usług ICT. Jednak z pewnością nie są to kryteria techniczne, jeśli chodzi o zakres ich stosowania w praktyce na innych rynkach europejskich. Na przykład w Niemczech jest to lista kilkunastu kryteriów technicznych uwzględnianych w ocenie dostawcy, wśród których bardzo istotną rolę odgrywa certyfikacja – wskazuje ekspert.
Rektor Uczelni Łazarskiego podkreśla, że nowy projekt zmian w ustawie o KSC jest też wątpliwy z punktu widzenia jego zgodności z międzynarodowymi i unijnymi przepisami, które dotyczą m.in. wolnego handlu i swobody prowadzenia działalności gospodarczej.
– Obecne rozwiązania dotyczące oceny dostawców sprzętu telekomunikacyjnego i liczne ograniczenia praw uczestników tego procesu z pewnością wzbudzą wątpliwości z punktu widzenia Europejskiej konwencji praw człowieka czy Karty praw podstawowych UE, która stanowi, że „każdy jest równy wobec prawa” oraz zabrania się „wszelkiej dyskryminacji ze względu na narodowość”. Mogą pojawić się też problemy z przestrzeganiem Traktatu o funkcjonowaniu Unii Europejskiej, który zakazuje ograniczania swobody przedsiębiorczości – wymienia prof. Maciej Rogalski. – Ten projekt powinien być notyfikowany do Komisji Europejskiej, ale zakładam, że ten obowiązek zostanie jeszcze zrealizowany.
Eksperci już wcześniej zwracali też uwagę, że zapisy znowelizowanej ustawy o KSC – wymierzone przede wszystkim w chińskich dostawców sprzętu i oprogramowania – mogą zaszkodzić polskiej gospodarce i negatywnie odbić się na relacjach handlowych z Państwem Środka. Na zlecenie Huaweia brytyjska firma Assembly Research policzyła, że wdrożenie przepisów w kształcie z września ub.r. może opóźnić budowę sieci 5G w Polsce nawet o trzy lata, co pociągnęłoby za sobą straty sięgające 4,8 mld euro.
– Z pewnością decyzje dotyczące wykluczenia części dostawców mogą skutkować daleko idącymi, negatywnymi skutkami gospodarczymi. Ze względu na ograniczenie konkurencji istnieje też ryzyko wzrostu cen usług ICT, w tym usług telekomunikacyjnych dla obywateli. Może to również spowodować dalsze opóźnienia we wdrażaniu usług 5G – zwłaszcza w przypadku ewentualnych sporów prawnych, których efektem może być wstrzymanie aukcji lub zaskarżenie jej wyników – ocenia wspólnik w Kancelarii Rogalski i Wspólnicy.