Konsultacje w sprawie projektu ustawy Krajowego Systemy Cyberbezpieczeństwa dobiegły końca. Poznaliśmy pierwsze stanowiska izb branżowych i zgodnie z przewidywaniami, nie są one przychylne projektowi.
Projekt ustawy KSC, czyli jak pozbyć się Huaweia z Polski
Przypomnijmy, że projekt ustawy o KSC to teoretycznie spis wytycznych dotyczących cyberbezpieczeństwa. Głównie w kontekście sieci 5G. I tak kryterium oceny bezpieczeństwa sprzętu sieciowego ma być to, czy kraj z którego urządzenie pochodzi przestrzega praworządności. W praktyce są to przepisy, które mają być podstawą do niedopuszczenia chińskich firm do budowy sieci 5G w Polsce.
Konsultacje w sprawie ustawy zakończyły się 6 października, ale przesłane stanowiska nadal nie zostały opublikowane na stronach rządowych. Dlatego też część podmiotów opublikowała swoje opinie na własną rękę.
KIGEiT o niezgodności z Konstytucją i braku oszacowania kosztów
Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji już na wstępie zaznacza, że projekt ustawy o KSC narusza konstytucyjne zasady dwuinstancyjności postępowania administracyjnego raz prawa do jawnego rozpatrzenia sprawy przez właściwy, niezależny, bezstronny i niezawisły sąd. Izba zaznacza, że choć Kolegium ds. cyberbezpieczeństwa ma być tylko organem doradczym, to jednocześnie w myśl ustawy ma otrzymać uprawnienia do wydawania decyzji administracyjnych. W związku z tym odwołaniem od decyzji powinno być możliwe na drodze sądowej.
Dalej KIGEiT punktuje brak oceny skutków regulacji. W tym skutków społecznych, gospodarczych i politycznych. W projekcie nie ma też żadnej wzmianki o skutkach finansowych, co jest naruszeniem procesu legislacyjnego oraz pokazuje wadliwy charakter projektu.
Naruszeń zdaniem KIGEiT jest więcej. Dochodzi do tego naruszenie przepisów WTO, gdzie Polska jako członek nie może dyskryminować indywidualnych partnerów handlowych, traktując niektóre kraje bardziej przychylnie niż inne. Dodatkowo projekt narusza zobowiązania podmiotów na mocy umów dwustronnych z innymi państwami.
KIGEiT podkreśla, że kryteria oceny są niejasne i mają charakter zbyt polityczny. Nie obejmują ani norm technicznych, ani certyfikacji takich jak NESAS i ENISA. Z kolei zmiany jakie projekt wymaga od operatorów mogą opóźnić wdrożenie sieci 5G o 3-5 lat. Wpłyną też negatywnie na konkurencyjność rynku, a całość może odbić się na budżecie kraju oraz gospodarce krajowej. W tym wdrożenia Przemysłu 4.0, czy tworzenia nowych miejsc pracy w związku z uruchomieniem sieci 5G. Szczególnie w okresie po pandemii (o ile do niego dojdzie).
Zdaniem KIGEiT normy cyberbezpieczeństwa powinny być jasne i neutralne technicznie, a nie czysto polityczne. Powinny zawierać ustalone normy oraz certyfikacje, jak wspomniany NESAS oraz ENISA. Tymczasem projekt ustawy nie zawiera żadnej procedury sprawdzającej a jedyną wzmianką dotyczącą sprzętu jest zdanie Dostawcy sprzętul ub oprogramowania będą mogli zostać poddani procedurze sprawdzającej.
Konkretne zmiany, jakie KIGEiT proponuje wdrożyć w projekcie znajdują się w tym dokumencie.
Konfederacja Lewiatan – poważne wyzwanie i zaskoczenie
Konfederacja Lewiatan w swoim stanowisku podkreśla, że na ogół wspiera rozwiązania rządowe dotyczącej rozwiązać cyberbezpieczeństwa. Ale jak czytamy w uzasadnieniu po dogłębnej analizie stwierdzamy, że przedstawiony do konsultacji projekt ustawy stanowi bardzo poważne wyzwanie, a po części także zaskoczenie dla podmiotów, które miałyby zostać objęte nowymi regulacjom. Wynika to z tego, że kształt projektu powstał bez udziału partnerów społecznych oraz adresatów przepisów.
Konfederacja Lewiatan zaznacza też, że po wnikliwej analizie projektu zauważamy, że występują w nim pewne braki zarówno w warstwie merytorycznej, celowościowej, jak i techniczno-legislacyjnejs skłaniają do jego krytycznej oceny. Punktowane są m.in, niemal kierownicze uprawnienia Pełnomocnika Rządu ds. Cyberbezpieczeństwa czy Kolegium.
Podobnie jak KIGEiT, Konfederacja Lewiatan zwraca uwagę na brak oceny skutków regulacji. Punktuje również mechanizmy oceny ryzyka oparte na charakterystyce geopolitycznej, a nie oceny ryzyka sprzętu i oprogramowania. Ta zdaniem Konfederacji powinna być przeprowadzone według Kodeksu postępowania administracyjnego oraz ustawy Prawo przedsiębiorców, a zająć się tym powinien wyspecjalizowany organ regulacyjny, gdzie jako przykład został podany Urząd Komunikacji Elektronicznej. W uzasadnieniu czytamy, że przepisy dotyczące nowych uprawnień Pełnomocnika oraz Kolegium wymagają w naszej ocenie rewizji. Powinny skupiać się na aspektach technicznych, a ocena sprzętu powinna być przeprowadzona wg schematu certyfikacji zawartego w unijnym Cybersecurity Act.
Lewiatan bardzo słusznie zauważa, że problematyka cyberbezpieczeństwa nie ma granic państwowych i prace nad tym tematem powinny zostać przyśpieszone na terenie Unii Europejskiej. Te, faktycznie, nadal pozostają nieuporządkowane.
Ciekawy jest fragment mówiący o braku wystarczających kadr, które mają zajmować się cyberbezpieczeństwem w sektorze publicznym oraz braku jakichkolwiek działań w tym kierunku w ostatnim czasie, a sytuacja w tym zakresie nie uległa w ostatnim okresie istotnej poprawie. System przeznaczony do współpracy jednostek w ramach krajowego systemu cyberbezpieczeństwa zgodnie ze Strategią Cyberbezpieczeństwa RP na lata 2019-2024 ma dopiero zostać uruchomiony od 2021 roku. Skala zaproponowanych zmian zakłada pilne wdrożenie reform.
Pełne stanowisko Konfederacji Lewiatan jest dostępne pod tym adresem.
Instytut Staszica – polityczne kryteria oceny
Pierwszym grzechem ustawy o KSC punktowanym przez Instytut Staszica są polityczne kryteria oceny. Instytut zaznacza, że jeśli kwestia ochrony praw człowieka powinna być brana pod uwagę przy podejmowaniu strategicznych decyzji o współpracy z zagranicznymi partnerami, to nie może stanowić nietransparentnego kryterium. Ciężko jest określić jakimi zasadami należy się w tej sytuacji kierować. To szczególnie problematyczne w przypadku Polski, ponieważ nasz kraj jest na arenie, nie tylko europejskiej, również oskarżany o naruszanie praw obywatelski. W zakresie reformy sądownictwa, czy ideologii LGBT.
Ocena kraju pochodzenia dostawcy sprzęt, z pominięciem aspektów technicznych może doprowadzić do oskarżeń o dyskryminację, a w następstwie naruszeniem wartości porządku Unii Europejskiej oraz prawa międzynarodowego. W tym Dyrektywy o konkurencyjności i zasady swobodnego przepływu towaru, Zasady niedyskryminacji i ograniczeń swobody przedsiębiorczości, zapisane w Traktacie o Funkcjonowaniu Unii Europejskiej oraz Zasady niedyskryminacji, ujętej w Karcie Praw Podstawowych. Do tego potencjalnego naruszenia GATT – Układu Ogólnego w sprawie Taryf Celnych i Handlu.
Instytut wskazuje, że powinniśmy nie tracić z pola widzenia rozwiązań przyjętych w innych krajach. Takich jak Niemcy, Szwecja, Francja, Finlandia, ale również Korea Południowa. Gdzie w kwestii cyberbezpieczeństwa postawiono na kryteria techniczne sprzętu i oprogramowania oparte na mechanizmach certyfikacji.
We wnioskach Instytutu Staszica czytamy, że rząd i sejmowa większość mogą decydować o kluczowych kwestiach dla pozycji Polski na arenie międzynarodowej, ale nie mogą przy tym stać w sprzeczności z porządkiem Unii Europejskiej i traktatami międzynarodowymi. Co może narazić Polskę na kary finansowe i odszkodowania. Z kolei źle stworzone prawo, zakwestionowane przez Komisję Europejską oraz Europejski Trybunał Sprawiedliwości może znacznie opóźnić budowę sieci 5G w Polsce.
Izba Przemysłowo-Handlowa Polska-Azja o przeniesieniu cyberbezpieczeństwa do polityki
W imieniu Izby Przemysłowo-Handlowej Polska-Azja stanowisko przedstawił Janusz Piechociński. Zwraca on uwagę na przewodnictwo premiera w Kolegium ds. cyberbezpieczeństwa. Prowadzi to do tego, że wszelkie decyzje, które będą podejmowane wobec prywatnych firm staną się od razu pretekstem do międzynarodowych konfliktów dyplomatycznych. W efekcie,każdy polski wybór techniki, technologii czy partnera może skutkować oskarżeniami o polityczną ingerencję bez dochowania zasad konkurencji i praw rynku i może tworzyć dodatkowy obszar konfliktu dla premiera i jego najbliższego otoczenia z zagranicznymi partnerami na innych płaszczyznach i w innych obszarach współpracy.
Kolejnym zauważonym problemem jest fakt, że wszelkie odwołania od decyzji Kolegium będą rozpatrywane praktycznie przez taki sam skład decydentów. Co budzi wątpliwości w takim postępowaniu.
W stanowisku znalazło się też miejsce na pochwałę spółki Polskie 5G. Zdaniem Janusza Piechocińskiego pozwoli na transparentne monitorowanie całego procesu.
W stanowisku mamy też dosyć retoryczne pytania o oszacowanie kosztów wymiany sprzętu dostawców wysokiego ryzyka. Jak słusznie zauważa Piechociński, mam nadzieję, że Resort starannie rozpatrzył w tej sprawie możliwe roszczenia podmiotów rynkowych od Skarbu Państwa. Przypomniał tutaj sytuację z 2016 roku i sektora energetyki wiatrowej, kiedy to decyzje podjęte na poziomie menedżerskim,a nie państwowym,doprowadziły do konieczności ugód i wymuszonych przejęć niezadowolonych z decyzji podmiotów prywatnych w tym także kapitału obcego z ewidentną stratą Skarbu Państwa.
Dalej czytamy, że nawet umiarkowane scenariusze budowy sieci 5G bez wiodącego pozaeuropejskiego dostawcy oznaczałoby dla europejskich operatorów komórkowych oznacza dodatkowo 3 mld kosztów rocznie przez 10 lat. Na polskich operatorów przypadnie z tego 120 mln euro rocznie. Same koszty wymiany sprzętu są objęte różnymi szacunkami. Ale w USA, gdzie znajdują się 3,3 tys. nadajników 4G Huaweia, koszty wymiany oszacowano na 1,9 mld dolarów, czyli ponad 7 mld złotych. W Polsce takich anten mamy 20 tys. Zdaniem Janusza Piechocińskiego, w tej sytuacji jedynym telekomem, który nie poniesie strat związanych z wejściem w życie tego prawa, jest Plus. Największe koszty poniosą za to Orange i Play, jednocześnie sieci posiadające najwięcej abonentów. I to na nich mogą zostać przeniesiony koszty wymiany sprzętu.
KIKE o zgodności projektu ustawy o KSC z Konstytucją
Krajowa Izba Komunikacji Ethernetowej w ramach stanowiska przedstawiła opinię prawną oceny zgodności projektu ustawy z Konstytucją. W analizie prawnej czytamy, że treść wskazanych przepisów budzi uzasadnione wątpliwości w zakresie zgodności z konstytucją.
W opinii czytamy, że ocena Kolegium ds. cyberbezpieczeństwa będzie oceną arbitralną, w postępowaniu prowadzonym bez udziału zainteresowanych dostawców sprzętu i oprogramowania. Decyzja Kolegium będzie opublikowana wyłącznie w ramach komunikatu w Monitorze Polskim i już od tego momentu zacznie biec czas przewidziany na ewentualną reklamację. Z kolei odwołanie rozpozna dokładnie to samo Kolegium, w tym samym składzie. Co jest sprzeczne z art. 2 Konstytucji, w szczególności z zasadą przyzwoitej legislacji oraz zasadą zaufania obywateli do państwa. Pojawia się tutaj też naruszenie zasady dwuinstancyjności postępowania administracyjnego. Dostawcy, w stosunku do których wszczęto kontrolę zostali pozbawieni prawa do udziału w postępowaniu I- instancyjnym. Przedsiębiorcom odebrano inicjatywę dowodową. Z tego względu procedurę oceny należy określić jako subiektywną i uznaniową.
Z kolei ze względu na fakt, że nie wszyscy oceniani przedsiębiorcy mogą poddać rozstrzygnięcie kontroli, bo zostali uznani za dostawcę niskiego lub umiarkowanego ryzyka, przepis należy zakwalifikować jako łamiący zakaz dyskryminacji w stosunku do ocenianych dostawców, tj. art. 32 Konstytucji.
KIKE proponuje w związku z tym m.in. zmianę kryteriów oceny na precyzyjne i niebudzące wątpliwości interpretacyjnych, możliwość uczestnictwa dostawców w procesie oceny oraz zmianę przepisu dotyczącego komunikatu w Monitorze Polskim.
To jednak nie koniec grzechów projektu ustawy. Nakaz wymiany sprzętu dostawcy uznanego za stanowiącego wysokie ryzyko w sposób rażący ingeruje w prawa nabyte dostawców. Sprzęt i oprogramowanie, które zostało legalnie nabyte, zainstalowane i jest użytkowane nagle zostaje uznane za niebezpieczne. Co narusza zasadę niedziałania prawa wstecz. Dodatkowo konieczność wymiany sprzętu konieczność wycofania z rynku wszystkich podzespołów firmy wymienionej w uznaniowej ocenie. W niektórych przypadkach będzie to konieczność wycofania sprzętu wprowadzonych na rynek na samym początku prowadzenia działalności, w tym sprzęt znajdujący się u kontrahentów. A ci mogą wystosować wobec dostawców roszczenia. Co z kolei narusza wolność działalności gospodarczej wynikającą z art. 20 i 22 Konstytucji.
Z kolei sprzeczny z zasadą przyzwoitej legislacji, zasadą zaufania obywateli do państwa – art. 2 Konstytucji oraz z zasadą równości i zakazem dyskryminacji- art. 32 Konstytucji jest zapis dotyczący planów naprawczych dostawców wysokiego ryzyka. Wynika to z tego, że Pełnomocnik ds. cyberbezpieczeństwa może uznaniowo określić, że jeden dostawca wysokiego ryzyka ma opracować plan naprawczy, a inny nie. Projekt nie zawiera też żadnych wytycznych dotyczących tego, jak owy plan ma wyglądać.
Cała opinia jest dostępna pod tym adresem.
