Pierwsza wersja projektu nowelizacji Ustawy o KSC wygląda jak napisana na kolanie wyłącznie w celu pozbycia się Huaweia z budowy sieci 5G w Polsce. Jego nowa wersja wygląda lepiej.
Pierwszy projekt nowelizacji Ustawy o KSC do kosza
W pierwotnej wersji projekt nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa niedomówień i dziwnych decyzji było więcej niż dziur w szwajcarskim serze. Zakładał on możliwość wykluczenia dostawcy sprzętu sieciowego na podstawie bardzo ogólnych i nieprecyzyjnych kryteriów. Przede wszystkim kryteriów nietechnicznych. Dostawca mógł zostać zablokowany ze względu na kraj pochodzenia i np. kwestie przestrzegania w nich praw człowieka. A wszystko to w nie do końca jawnym postępowaniu. Było jasne, że jedynym celem dokumentu jest stworzenie furtki do wykluczenia Huaweia z budowy sieci 5G w Polsce.
Czytaj też: Znamy pierwsze stanowiska w konsultacjach projektu ustawy o KSC
Dokument został skrytykowany przez wiele środowisk, w tym również rządowych. Wzbudzał też obawy o możliwe oskarżenia o naruszenie międzynarodowych przepisów handlowych. Wiadomo było, że konieczna jest jego nowa wersja.
Czytaj też: Projekt ustawy o KSC nie spełnia wymogów legislacyjnych
Nowy projekt nowelizacji Ustawy o KSC wygląda lepiej
Część projektu, która wzbudziła największe kontrowersje, została zmieniona.. Chodzi o przepisy art. 66a-66c.
Czytaj też: Ustawa o KSC utknęła. Musi wrócić w innej formie
Według nowych zapisów postępowanie administracyjne, oparte o Kodeks postępowania administracyjnego, będzie wszczynane na wniosek ministra właściwego ds. informatyzacji lub na wniosek Kolegium ds. Cyberbezpieczeństwa. Wniosek musi zawierać wskazanie zakresu typów produktów ICT lub rodzajów usług ICT lub konkretnych procesów ICT pochodzących od dostawcy uwzględnianych w postępowaniu w sprawie uznania za dostawcę wysokiego ryzyka.
O wydaniu decyzji w postępowaniu zadecyduje stwierdzenie poważnego zagrożenia dla bezpieczeństwa narodowego ze strony dostawcy sprzętu lub oprogramowania. Chodzi zagrożenie bezpieczeństwa o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania, z uwzględnieniem informacji o zagrożeniach uzyskanych od państw członkowskich lub organów Unii Europejskiej i Organizacji Traktatu Północnoatlantyckiego.
Czytaj też: Rynek nie ma dobrego zdania o projekcie ustawy o KSC
W analizie Kolegium ds. Cyberbezpieczeństwa znajdą się też informacje o prawdopodobieństwie znajdowania się dostawcy pod kontrolą państwa spoza UE lub Organizacji Traktatu Północnoatlantyckiego. Dalej mamy stopień oraz rodzaj powiązań między dostawcą, a tym państwem. Kolejny element ponownie może wzbudzić kontrowersje, bo dotyczy prawodawstwa oraz stosowania prawa w zakresie ochrony danych osobowych, zwłaszcza tam, gdzie nie ma porozumień w zakresie ochrony danych między UE i danym państwem.
Dostawca o wszczęciu postępowania zostanie poinformowany oraz będzie miał zapewniony dostęp do materiałów zgromadzonych w aktach sprawy. Za wyjątkiem materiałów wyłączony ze względu na ważny interes państwowy, na podstawie art. 74 Kpa.
Dostawcy nie będą już klasyfikowani według poziomów ryzyka – niskiego, umiarkowanego oraz braku zidentyfikowanego ryzyka. Będzie zerojedynkowo. Dostawca jest bezpieczny lub nie. W decyzji znajdą się dane identyfikujące dostawcę oraz wskazanie konkretnych zarzutów dotyczących usług lub produktów. Na zaprezentowanie analizy Kolegium będzie miało trzy miesiące.
Czytaj też: Szybka recenzja Samsung Galaxy S21 5G. Świetny smartfon, ale czy dobrze wyceniony?
Siedem lat na usunięcie niebezpiecznego sprzętu. Zero odszkodowania
Jeśli Kolegium uzna dostawcę za niebezpiecznego, operatorzy będą mieli siedem, zamiast pierwotnych pięciu lat, na usunięcie sprzętu i/lub oprogramowania. W ciągu 5 lat konieczne będzie usunięcie sprzętu lub oprogramowania w przypadku sytuacji szczególnego zagrożenia.
Wydłużenie terminu ma pewien haczyk. W uzasadnieniu projektu resort cyfryzacji pisze, że siedem lat to średni cykl życia sprzętu. Z tego względu operatorom nie będą przysługiwać żadne rekompensaty.
Czytaj też: Czy 5G z satelity może nam zaszkodzić?
Odwołanie do sądu
Nowa wersja projektu nie zawiera już zapisu mówiącego, że odwołanie od decyzji Kolegium ds. Cyberbezpieczeństwa rozpatruje… Kolegium ds. Cyberbezpieczeństwa. Organem odwoławczym jest Sąd Administracyjny. Sąd rozpatrzy decyzję na posiedzeniu niejawnym, a odpis wyroku zostanie przekazany ministrowi ds. informatyzacji. Skarżący otrzyma odpis z częścią uzasadnienia, które nie zawiera informacji niejawnych.
Ważny jest zapis mówiący, że Sąd nie może wstrzymać wykonalności decyzji Kolegium po wpłynięciu skargi.
Czytaj też: Od kilku dni korzystam tylko z 5G w Plusie. Więcej nie potrzebuję
Huawei nie może spać spokojnie, ale może liczyć na nieco uczciwsze traktowanie
Nowe projekt nowelizacji Ustawy o KSC niewiele zmienia w sytuacji Huaweia. Nadal na jego podstawie możliwe będzie usunięcie sprzętu chińskiej firmy z budowy sieci 5G w Polsce. Tym razem jednak kryteria oceny, choć może nadal nieidealne, są o wiele bardziej przejrzyste i doprecyzowane.
Nie zmienia to jednak faktu, że to rząd będzie mógł zdecydować, kto zbuduje w Polsce sieć 5G. Wiele będzie w tej sytuacji zależało od nowego prezydenta USA. Od tego czy Joe Biden utrzyma zapoczątkowaną przed Donalda Trumpa wojnę handlową z Chinami oraz tego, czy polski rząd będzie gotowy wykonywać jego zalecenia równie ślepo jak w przypadku poprzednika.