Zmiany w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa są na tyle istotne, że konieczne jest przeprowadzenie drugiej rundy konsultacji publicznych - to jeden z wniosków płynących z debaty, jaką zorganizował portal gospodarczy WNP.PL. Nowe prawo przewiduje m.in. możliwość wykluczania z rynku sprzętu telekomunikacyjnego od wybranych dostawców, a także utworzenie nowego operatora, który odpowiadałby za strategiczną dla państwa komunikację.
- Wciąż postulujemy termin dłuższy, 10-letni. On wynika przede wszystkim z kwestii związanych z amortyzacją sprzętu używanego przez operatorów; średniookresowo ta amortyzacja trwa od 7 do 10 lat. Druga kwestia jest taka, że operatorzy są związani z dostawcami długoterminowymi umowami - dodaje.
W pewnych sytuacjach KPRM chce zostawić możliwość konieczności usunięcia sprzętu w krótszym czasie.
- Obecne propozycje mówią o 7 latach, ale w pewnych przypadkach może to nie być 7, lecz 5 lat - zwraca uwagę Piotr Mieczkowski, dyrektor zarządzający Fundacji Digital Poland.
Obawy o arbitralność decyzji
Spore zastrzeżenia budzą też wyjątki dotyczące postępowania administracyjnego i możliwości odwoływania się dostawców sprzętu i oprogramowania telekomunikacyjnego od decyzji ministra ds. informatyzacji.
- Jeśli chodzi o kwestie proceduralne, to faktycznie jest dużo zmian na plus w działalności Kolegium, natomiast wciąż mamy wątpliwości dotyczące uprawnień zarówno ministra właściwego ds. informatyzacji, jak i pełnomocnika ds. cyberbezpieczeństwa, a chodzi o instytucje ostrzeżeń i poleceń zabezpieczających. Pewne rozstrzygnięcia będą wydawane czasami bez uzasadnienia, a czasami również z zastosowaniem trybu natychmiastowej wykonalności - zaznacza Aleksandra Musielak.
Jej zdaniem zastosowanie zwłaszcza trybu natychmiastowej wykonalności decyzji ministra jest zbyt daleko idącym i nieproporcjonalnym instrumentem. Co więcej wykonania tej decyzji nie będzie mógł wstrzymać sąd.
Zobacz także: Polski projekt dotyczący 5G idzie na przekór unijnej umowie
- W sytuacji gdy operatorzy mobilni wiedzą, że dostawca X jest dostawcą wysokiego ryzyka, to nikt według mnie nie kupi od niego sprzętu. Nikt z tych operatorów mobilnych nie będzie czekał na to, co się dalej wydarzy, bo musi budować sieć, musi jak najszybciej uruchomić usługi, musi zarabiać. Czyli kupi ten sprzęt możliwie jak najszybciej od innych dostawców - mówi z kolei prof. Maciej Rogalski, rektor Uczelni Łazarskiego.
W takiej sytuacji nawet późniejsze wygranie sprawy w sądzie może dostawcy na niewiele się zdać, zwłaszcza jeśli od decyzji ministra do wyroku sądowego minie kilka lat.
Samo zaś odwołanie się do sądu może utrudniać fakt, że minister ze względów bezpieczeństwa mógłby wydać decyzję bez uzasadnienia faktycznego, zaś rozprawa mogłaby zostać utajniona. Wtedy zainteresowana strona musiałaby odwoływać się bez znajomości pełnej treści uzasadnienia oraz de facto zostałaby wyłączona z uczestnictwa w procesie.
- Z jednej strony rzeczywiście idziemy w kierunku przepisów Kodeksu postępowania administracyjnego, a równocześnie, jakby druga ręką, wprowadzamy szereg ograniczeń, które bardzo utrudniają podejmowanie czynności w zakresie obrony swoich podstawowych przepisów - ocenia prof. Maciej Rogalski.
Robert Kośla zastrzega jednak, że nie można mówić o tym, że minister podejmuje decyzje arbitralne, bez uwzględnienia wielu istotnych czynników.
- Polecenie zabezpieczające ma rzeczywiście tryb natychmiastowej wykonalności, natomiast zwracam uwagę na ustęp 5., który mówi o analizie. To nie jest tak, że dzisiaj może minister podjąć decyzję o tym, że od jutra mamy wycofać czy nie używać urządzeń danego producenta. Zawsze jest to poprzedzone przede wszystkim zwołaniem Zespołu ds. Incydentów Krytycznych - zwraca uwagę przedstawiciel KPRM.
Jak dodaje, w projekcie jest mowa o analizie przede wszystkim istotności cyberzagrożenia, przewidywanych skutków incydentu krytycznego. Oceniane mają też być rodzaje ryzyk oraz skutki finansowe, społeczne i prawne decyzji ministra.
- To są elementy, które muszą być wzięte pod uwagę przy wydawaniu takiej decyzji administracyjnej. To nie jest decyzja arbitralna, całkowicie oderwana od rzeczywistości. To są te bezpieczniki, które są tu wprowadzone - zastrzega Robert Kośla.
Będzie notyfikacja w KE
Takie tłumaczenie nie przekonuje jednak prof. Macieja Rogalskiego. - Z pewnością jest to materiał dobry do budowania argumentacji przed organami unijnymi, być może przy jakiejś eskalacji przed trybunałami sądowymi, wskazującymi, że jest to graniczenie uprawnień strony, podmiotu i są to rozwiązania uderzające w coś takiego, co nazywa się w prawie nie tylko polski, ale i europejskim, rzetelnym procesem - uważa rektor Uczelni Łazarskiego.
- Możemy mieć problem ze spełnieniem przepisów Unii Europejskiej związanych z dostępem do rynku - twierdzi z kolei Piotr Mieczkowski.
Robert Kośla zapewnia jednak, że KPRM dysponuje opiniami twierdzącymi, że zaproponowane brzmienie przepisów nie jest sprzeczne z przepisami Unii Europejskiej. Deklaruje też notyfikację nowych regulacji w Komisji Europejskiej. - Nie mamy tutaj nic do ukrycia i cały proces jest procesem transparentnym - podkreśla.
Tymczasem kontrowersje budzi nie tylko kwestia mechanizmów dotyczących dostawcy wysokiego ryzyka. W projekcie pojawiły się też obszerne zapisy o certyfikacji sprzętu telekomunikacyjnego oraz powołania operatora sieci komunikacji strategicznej, który obsługiwałby kluczowe dla funkcjonowania państwa organizacje. Żadna z tych kwestii nie była obecna w wersji nowelizacji z 7 września, przez co nie była przedmiotem konsultacji publicznych, które zorganizowano we wrześniu i w październiku.
- Operator sieci komunikacji strategicznej to jest zasadnicze novum, które pojawia się w projekcie. Jako Lewiatan proponujemy, by zastanowić się nad tym, czy tak duża zmiana związana z pojawieniem się takiego operatora, plus tak duże wątpliwości, jakie mamy dotychczas związane z ocena dostawcy wysokiego ryzyka, nie wskazują na potrzebę przeprowadzenia ponownych konsultacji i zastanowienia się po prostu nad kształtem tego projektu - stwierdza Aleksandra Musielak.
Wtóruje jej prof. Maciej Rogalski: - Przede wszystkim powinien być przeprowadzony tryb konsultacji społecznych, jeśli chodzi o kolejną wersję z 20 stycznia. Wprowadzone zostały zupełnie nowe rozdziały, gdy chodzi np. o certyfikację - naliczyłem tam 28 artykułów kompletnie nowych przepisów. Jest też koncepcja operatora sieci komunikacji strategicznej. Zmiany dotyczące dostawcy wysokiego ryzyka budzą też wątpliwości.
KPRM stoi jednak na stanowisku, że konsultacje publiczne już się odbyły, a teraz przyszedł czas na kolejne etapy prac legislacyjnych. Jednoznacznie nie odrzuca jednak możliwości dalszego przyjmowania uwag. - Konsultacje publiczne trwały od 9 września. Ten etap konsultacji publicznych zakończył się. W tej chwili proces legislacyjny trwa, jest na etapie rządowego procesu legislacyjnego, uwagi dalej są zgłaszane - mówi Robert Kośla.
Opóźnienia do nadrobienia
Szybkie procedowanie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwie jest o tyle istotne, że warunkuje rozdział częstotliwości do budowy sieci 5G w Polsce. Bez nowych przepisów Urząd Komunikacji Elektronicznej nie rozpocznie postępowania w tym względzie.
- Gdyby nie aukcja i chęć umieszczenia pewnych przepisów w dokumentacji aukcyjnej, mielibyśmy więcej czasu chociażby na wystartowanie z centrum certyfikacji - ocenia Piotr Mieczkowski.
Polscy operatorzy komórkowi od 2020 roku wprowadzili już co prawda usługę łączności 5G, jednak na razie korzystają z innych niż przewidziane dla tej sieci częstotliwości, co nie pozwala zapewnić pełnych parametrów zakładanych dla 5G. Kamieniem milowym dla budowy tej sieci ma być rozdzielenie między operatorów częstotliwości z pasma 3,6 GHz, które będą stanowić szkielet polskiego 5G. Poza tym w przyszłości zagospodarowane mają zostać także częstotliwości 700 MHz oraz 26 GHz.
Strona rządowa zakładała pierwotnie, że aukcja zostanie rozstrzygnięta w 2020 roku. To jednak się nie udało, w dużej mierze przez przeciągające się prace nad zmianami w ustawie o krajowym systemie cyberbezpieczeństwa. Teraz mówi się o rozdysponowaniu częstotliwości do 27 sierpnia 2021 roku.