Ustawa o KSC w lepszym stanie, ale daleko jej do ideału

ustawa o ksc

Ustawa o KSC doczekała się nowej wersji Projektu nowelizacji. Choć jest on znacznie lepszy od pierwotnej wersji, nadal zawiera szereg bardzo niezrozumiałych zapisów. Często diabeł tkwi w szczegółach.

Kryteria oceny bardziej precyzyjne, ale nadal uznaniowe

W trakcie konsultacji Projektu nwoelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa wielokrotnie zwracano uwagę na bardzo uznaniowe kryteria oceny dostawców sprzętu i oprogramowania. Zamiast sprawdzać ich pod kątem kryteriów technicznych, czy zgodności z międzynarodowymi certyfikatami postawiono na sprawdzenie, czy kraj pochodzenia dostawcy przestrzega niesprecyzowanych zasad praworządności.

Czytaj też: Rynek nie ma dobrego zdania o projekcie ustawy o KSC

W nowej wersji Projektu nowelizacji co prawda zawężono kryteria, ale nadal nie ma żadnych zapisów dotyczących mierzalnych i obiektywnych sposobów oceny. Zamiast tego ponownie postawiono na sprawdzenie, czy rząd kraju pochodzenia dostawcy może w jakikolwiek sposób ingerować w działalność firmy. Stwarza to ryzyko uznaniowości oceny.

Warto też pochwalić się nad załącznikiem nr 3. do Projektu. Zawiera on Kategorie funkcji krytycznych dla bezpieczeństwa sieci i usług. Doświadczenia z innych krajów pokazują, że taka lista nie powinna być z góry narzucana przez ustawę. Np. w Niemczech przygotowują ją regulator rynku (czyli odpowiednik naszego UKE) i organy odpowiedzialne za bezpieczeństwo. Przed publikacją lista jest konsultowana m.in. z operatorami i podlega stałym modyfikacjom. W końcu rynek się rozwija, podobnie jak stale pojawiają się nowe zagrożenia. Nie da się ich z góry ustalić na kilka lat do przodu.

Czytaj też: Projekt ustawy o KSC nie spełnia wymogów legislacyjnych

Bezpieczeństwo narodowe zamiast cyberbezpieczeństwa daje większą dowolność oceny

W pierwszym wariancie projektu nowelizacji Ustawy o KSC mieliśmy zapis mówiący, że dostawca sprzętu lub oprogramowania może zostać uznany za dostawce wysokiego ryzyka. W momencie, kiedy stwierdzone zostanie poważne zagrożenie dla cyberbezpieczeństwa państwa.

W nowej wersji projektu nie mamy już cyberbezpieczeństwa państwa, a w jego miejscu pojawiło się poważne zagrożenie dla bezpieczeństwa narodowego. W czym problem? Otóż bezpieczeństwo narodowe nie posiada legalnej definicji. Nie ma poparcia w traktatach Unii Europejskiej oraz nie ma definicji zapisanej w polskiej Konsytuacji. Co ponownie pozwala na szeroką dowolność przy ocenie dostawców.

Czytaj też: Ustawa o KSC utknęła. Musi wrócić w innej formie

Ustawa o KSC ma swoje kruczki i gwiazdki

Do uznania dostawcy wysokiego ryzyka stosuje się przepisy Kodeksu postępowania administracyjnego. Mówi o tym art. 66a ust. 3 projektu nowelizacji Ustawy o KSC. To bardzo dobre posunięcie, gdyby nie jeden dopisek. W projekcie pojawiło się zastrzeżenie, że może on stanowić inaczej. Jak?

Dla przykładu minister właściwy ds. informatyzacji może w części uzasadnienia faktycznego decyzji odstąpić od sporządzenia uzasadnienia. O ile wymagają tego względy bezpieczeństwa państwa, porządku publicznego lub obronności. Co jest kolejnym uznaniowym elementem. W następstwie czego dostawca uznany za niebezpiecznego może mieć problemy z odwołaniem się od decyzji, nie wiedząc czego ona konkretnie dotyczy.

Na tym problemy z odwołaniem się nie kończą. Dostawca może odwołać się do Sądu Administracyjnego, ale ten rozpatrzy odwołanie na posiedzeniu niejawnym, a odpis całości sentencji wyroku trafi wyłącznie do ministra właściwego ds. informatyzacji. Dostawca dostanie tylko część zawierającą informacje jawne. Wszystko to może być niezgodne z z Prawem o postępowaniu przed sądami administracyjnymi. Podobnie jak zapis mówiący o braku możliwości wstrzymania decyzji w sprawie dostawcy wysokiego ryzyka po wniesieniu skargi.

Czytaj też: Nowy projekt Ustawy o KSC. Wygląda lepiej, ale Huawei nie może spać spokojnie

To swego rodzaju zabezpieczenie przed powtórką sytuacji ze Szwecji. Przyjmijmy, że dostawca zostaje uznany za wysoce ryzykownego przed startem aukcji częstotliwości sieci 5G. Co może pozwolić na wpisanie w wymagania aukcji pominięcie go przy budowie sieci. Dostawca, idąc w tej sprawie do sądu, nie wstrzyma postępowania aukcyjnego, które będzie toczyć się dalej.

Sprzyja temu również rygor natychmiastowej wykonalności decyzji wobec dostawcy, zgodnie z art. 66a ust. 12 Projektu. Pomimo zapewnienia jego twórców, że w zaproponowanych przepisach prawa nie ma mechanizmu nakazującego natychmiastowe wycofanie sprzętu lub oprogramowania wskazanego w ocenie ryzyka dostawców.

Czytaj też: Czy aukcja 5G bez Huawei może zaszkodzić Polsce na arenie międzynarodowej?

7 lat zamiast 5, ale tak naprawdę dalej 5

Jednym z zarzutów wobec pierwszej wersji Projektu nowelizacji Ustawy o KSC był termin usunięcia sprzętu i oprogramowania dostawcy wysokiego ryzyka przez m.in. operatorów telekomunikacyjnych. Jego nowa wersja wydłuża ten czas do 7 lat, ale nie do końca.

W nowym Projekcie czytamy, że przedsiębiorcy telekomunikacyjni obowiązani posiadać aktualne i uzgodnione plany działań w sytuacjach szczególnych zagrożeń, o których mowa w art. 176a ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, wycofują w ciągu 5 lat typy produktów ICT, rodzaje usług ICT, konkretne procesy ICT wskazane w decyzji i określone w wykazie kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług w załączniku nr 3 do ustawy.

Czyli czas został wydłużony do 7 lat, ale mimo wszystko nadal mowa jest o 5 latach. To jednak wystarczyło, aby wydłużenie uznać za wystarczający argument do tego, aby operatorzy nie otrzymali żadnych odszkodowań w związku z poniesieniem kosztów wymiany sprzętu i oprogramowania.

Sieć radiowa jako infrastruktura krytyczna. Niedoprecyzowanie czy znowu wyjście przed szereg?

Załącznik do Projektu zawiera kategorie funkcji krytycznych, ocenie których podlegają dostawcy sprzętu i oprogramowania. Są one bardzo ogólne i nie do końca wiadomo, czy jest to błąd czy celowe działania.

Jedną z kategorii jest zarządzanie łącznością ze urządzeniami użytkowników i przydzielanie zasobów radiowych. Uznanie sieci radiowej za element infrastruktury krytycznej dla bezpieczeństwa sieci u usług to swego rodzaju ewenement. Ale nie zapominajmy, w jakim kraju żyjemy. Od końcówki 2018 roku nadajniki sieci telekomunikacyjnej, radiowej i telewizyjnej są uznawane za urządzenia o znacznym oddziaływaniu na środowisko. Przez co niezbędne jest uzyskanie decyzji środowiskowej nawet w celu konserwacji i modernizacji nadajnika. Co dodatkowo komplikuje i tak skomplikowany procesor. Pod tym względem też jesteśmy ewenementem.

Dlatego też w tym przypadku może to być różnie dobrze działanie celowe, przypadkowe, albo zwykła próba wyjścia przed szereg. Nie mniej jednak jest to określenie bardzo ogólne, które podobnie jak wiele innych zapisów Projektu, można bardzo szeroko interpretować.

Ustawa o KSC zamiast Europejskiego Kodeksu Łaczności Elektronicznej. Stajemy na głowie

Do 21 grudnia 2020 roku państwa członkowskie Unii Europejskiej powinny dostosować krajowe przepisy do Europejskiego Kodeksu Łączności Elektronicznej (EKŁE). W Polsce wprowadzono co prawda kilka nowości do Prawa Telekomunikacyjnego, ale to niewielki ułamek całego EKŁE. W dodatku to rozwiązania, które nie wymagały żadnego specjalnego wdrożenia.

Cyztaj też: Duże zmiany w abonamentach komórkowych. Czy na pewno?

Kodeks sam w sobie zawiera zapisy dotyczące bezpieczeństwa infrastruktury i usług. To on powinien definiować część elementów Ustawy o KSC. Zamiast tego mamy już końcówkę stycznia 2021 roku i na EKŁE, nazwanym w Polsce Prawem Komunikacji Elektronicznej (PKE, które zastąpi Prawo Telekomunikacyjne) w Polsce jeszcze trochę poczekamy. Być może co najmniej do II kwartału roku.

Tymczasem w Projekcie nowelizacji ustawy o KSC czytamy – przepisy dotyczące obowiązków przedsiębiorców komunikacji elektronicznej w zakresie bezpieczeństwa sieci lub usług komunikacji elektronicznej oraz przepisy o CSIRT Telco zostaną dodane do ustawy o k.s.c. poprzez ustawę wprowadzającą Prawo komunikacji elektronicznej („PKE”). Do k.s.c. zostaną dodane obowiązki przedsiębiorców komunikacji elektronicznej w zakresie bezpieczeństwa sieci i usług oraz zgłaszania incydentów. Pozostałe obowiązki pozostaną w PKE. W związku z czym Projekt odwołuje się do przepisów, których w zasadzie jeszcze nie ma.

Czytaj też: Narodowa sieć 5G? Projekt ustawy o KSC to przewiduje

Miało być lepiej, wyszło jak zawsze

Pierwszy rzut oka na Projekt nowelizacji Ustawy o KSC sprawiał wrażenie, że dokument jest znacznie lepiej przygotowany. Ale dokładniejsza analiza pokazuje, że nadal jest pełny możliwości podejmowania całkowicie uznaniowych decyzji. Od których odwołanie nadal nie będzie proste. A momentami może nawet i niemożliwe.

Wielkimi krokami Bardzo powoli zbliża się aukcja częstotliwości sieci 5G. Choć z dotychczasowych informacji wynika, że jej główne wymagania pozostaną w niemal identycznej formie jak pierwotnie w 2020 roku, tak niejasny pozostawało znaczenie dla nich Ustawy o KSC. Dlatego tak ważne było zaprezentowanie nowej wersji Projektu jej nowelizacji. Ale chyba nikt nie spodziewał się, że nie naprawi on wielu błędów poprzednika, a dodatkowo doda do nich kolejne nieścisłości.

Chcesz być na bieżąco z WhatNext? Śledź nas w Google News