Jest już dostępny projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa opublikowany przez Ministerstwo Cyfryzacji. Daje on Polsce możliwość zablokowania i całkowitego pozbycia się Huaweia z polskich sieci komórkowych. Ale daje też narzędzia do negocjacji z firmą i i wprowadzenie pewnych ograniczeń w związku z jej działalnością.
Nowe obowiązki dla operatorów
Projekt ustawy nadaje operatorom sieci komórkowych nowy status. Będą oni podmiotami krajowego systemu cyberbezpieczeństwa. Za tym idą nowe obowiązki oraz obostrzenia. Należy do nich m.in. stosowanie się do oceny Kolegium ds. cyberbezpieczństwa dostawców sprzętu sieciowego.
Kolegium to twór powstały w 2018 roku. Jak czytamy na stronach Ministerstwa Cyfryzacji, jego kształt wygląda następująco:
Przewodniczącym Kolegium jest Prezes Rady Ministrów. W skład Kolegium wchodzą również: Pełnomocnik Rządu ds. Cyberbezpieczeństwa, sekretarz Kolegium, minister właściwy do spraw wewnętrznych, minister właściwy do spraw informatyzacji, Minister Obrony Narodowej, minister właściwy do spraw zagranicznych, Szef Kancelarii Prezesa Rady Ministrów, Szef Biura Bezpieczeństwa Narodowego, jeżeli został wyznaczony przez Prezydenta Rzeczypospolitej Polskiej, minister – członek Rady Ministrów właściwy do spraw koordynowania działalności służb specjalnych lub osoba przez niego upoważniona.
Czytaj też: [Aktualizacja] Czysta sieć 5G bez Huaweia? Amerykanie właśnie pokazali ile jest to warte
Ocena ryzyka dostawców sprzętu prawie jak w szkole
Dostawcy produktów sieciowych i teleinformatycznych będą podlegali ocenie przez kolegium i zostanie im wystawiona ocena związana ze stopniem ryzyka dla cyberbezpieczeństwa. I tak stopnie to – brak ryzyka, niskie ryzyko, umiarkowane lub wysokie.
W przypadku, kiedy ryzyko zostanie uznane za umiarkowane, wprowadzany jest zakaz korzystania z nowych produktów danego dostawcy, ale z możliwością wykorzystywania już używanych w sieci komponentów. Niezastosowanie się do zakazów uderzy po kieszeni operatorów, ale najbardziej w przypadku Orange i T-Mobile. Bowiem kara za złamanie zakazu wynosi 1-3% rocznych obrotów, ale w skali światowej.
W przypadku umiarkowanej i niskiej oceny ryzyka dostawca może przedstawić środki zaradcze oraz plan naprawczy, które mogą zmienić ocenę na niższą. Jakie środki? Tego projekt nie precyzuje.
Jeśli ryzyko zostanie uznane za wysokie, wtedy dostawca zostaje w Polsce zablokowany. Dzieje się to w momencie , kiedy dostawca sprzętu lub oprogramowania stanowi poważne zagrożenie dla cyberbezpieczeństwapaństwa i zmniejszenie poziomu tego ryzyka przez wdrożenie środków technicznych lub organizacyjnych nie jest możliwe.
Powiedzmy sobie wprost – są to przepisy wymierzone wprost w Huaweia. W takim przypadku operatorzy nie tylko mają całkowity zakaz kupowania sprzętu danej firmy, ale również mają obowiązek wycofać go ze swoich sieci w ciągu 5 lat. Projekt zakłada jednak możliwość przedstawienia dowodów, które mogą stopień ryzyka obniżyć. Od decyzji Kolegium firma może się odwołać w ciągu 14 dni. Wniosek zostanie rozpatrzony w terminie do dwóch miesięcy. W przypadku wysokiego ryzyka dostawca może być też wykluczony z zamówień prowadzonych w trybie przetargów publicznych.
Na jakiej podstawie prowadzona jest ocena ryzyka
Te kryteria precyzuje projekt ustawy. Czytamy w nim:
W sporządzania oceny przeprowadza się w szczególności:
1) analizę zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania;
2) prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, uwzględniającą:
a) stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem,
b) prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka,
c) prawodawstwo w zakresie ochrony danych osobowych, zwłaszcza tam gdzie nie ma porozumień w zakresie ochrony danych między UE i danym państwem,
d) strukturę własnościową dostawcy sprzętu lub oprogramowania,
e) zdolność ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania;
3) liczbę i rodzaje oraz sposób i czas eliminowania wykrytych podatności i incydentów;
4) stopień,w jakim dostawca sprzętu lub oprogramowania sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania oraz ryzyka dla procesu wytwarzania i dostarczania sprzętu lub oprogramowania;
5 )treść wydanych wcześniej rekomendacji, o których mowa w art. 33, dotyczących sprzętu lub oprogramowania danego dostawcy.
Czyli Huaweia będzie można zablokować za to, że jest firmą z kraju, w którym nie przestrzega się praw człowieka.
Braki w projekcie ustawy
Dużą rolę w całym procesie oceny i wykluczania dostawców będzie odgrywać pełnomocnik rządu ds. cyberbezpieczeństwa. To on odpowiada m.in. za egzekwowanie procesu oceny. To bardzo ważne i odpowiedzialne stanowisko. Problem jednak polega na tym, że pod koniec 2019 roku na stanowisku powstał wakat. Pełnomocnikiem został pod koniec kwietnia 2020 roku… minister cyfryzacji Marek Zagórski. Ale w obliczu doniesień mówiących o niemal pewnej likwidacji Ministerstwa Cyfryzacji, a także dużym powiązaniu samego ministerstwa ze sprawą, nie wygląda to dobrze.
Projekt nie zawiera żadnej oceny skutków finansowych związanych z wprowadzeniem ew. blokad po negatywnej ocenie ryzyka. To oczywiście stawia w uprzywilejowanej pozycji Plusa, jedynego prawdziwie polskiego operatora, który sprzętu Huaweia ma w swojej sieci jak na lekarstwo. Pozostali operatorzy poniosą ogromne koszty. Jakie? Tutaj zdania się podzielone. Ostatnie ekspertyzy Haitong Banku mówią o ponad 2 mld zł, z czego aż 1,3 mld to wydatki sieci Play. Z kolei Huawei szacował, że może to być nawet kilkanaście miliardów złotych.
Czytaj też: Ważą się losy Huaweia w polskim 5G. Potencjalna blokada uderzy w nasze kieszenie
Ile konkretnie jest sprzętu Huaweia w Polskich sieciach? O to Ministerstwo Cyfryzacji spytała posłanka Joanna Mucha.
Jak czytamy w odpowiedzi na drugie pytanie – rząd zna konkretne liczby, ale są one niejawne.
Zanim projekt wejdzie w życie, może skończyć w koszu
Projekt ustawy zakłada wejście w życie 21 grudnia 2020 roku. Wraz z nową wersją Prawa Telekomunikacyjnego. Czyli po wyborach prezydenckich w Stanach Zjednoczonych. W przypadku przegranej Donalda Trumpa szybko może się okazać, że sprzęt chińskich dostawców wcale nikomu nie zagraża i ustawa, która powstała tylko w jednym celu, okaże się zbędna.
Z drugiej strony, patrząc na dokonania polskiej administracji, mam w głowie ciekawszy scenariusz. Bo może się okazać, że jeśli połączymy zmianę prezydenta w USA z rozwiązaniem Ministerstwa Cyfryzacji, projektem nie będzie miał kto się zająć i zostanie on przyjęty, chociaż nie będzie do niczego potrzebny. Ryzyko zostanie zażegnane, a nad operatorami będzie wisiał wielki głaz, który w dowolnym momencie może im spaść na głowę. A w Polsce odwołanie niezrozumiałych przepisów, jak choćby nadal nierozwiązana kwestia oceny środowiskowej przy budowie i modernizacji nadajników sieci komórkowych, może trwać i trwać…
Chcesz być na bieżąco z WhatNext? Śledź nas w Google News