Ostatnie dni na konsultacje zmian w ustawie o krajowym systemie cyberbezpieczeństwa. Nowe przepisy wpłyną m.in. na koszty usług telekomunikacyjnych

Jeszcze tylko kilka dni Ministerstwo Cyfryzacji czeka na uwagi do nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Termin ich składania mija 6 października. – Przepisy muszą być zgodne z powstającym na poziomie UE Kodeksem Usług Cyfrowych i z pewnością wpłyną na ceny i koszty usług telekomunikacyjnych – wskazuje Wiesław Paluszyński, prezes Polskiego Towarzystwa Informatycznego, przewodniczący Sektorowej Rady ds. Kompetencji Teleinformatyka i Cyberbezpieczeństwo. Jak ocenia, dłuższe konsultacje powinny pozwolić na doprecyzowanie zawartych w ustawie niejasnych i politycznych kryteriów oceny firm, które będą dostarczać infrastrukturę do budowy sieci 5G w Polsce.

– Ustawa o krajowym systemie cyberbezpieczeństwa wprowadza zmiany w organizacji tego systemu, wprowadzając do niego poziom wojewódzki, dokładając CSIRT-y i relacje pomiędzy tymi ośrodkami. Wprowadza też pojęcia rozwiązań i dostawców tzw. wysokiego i średniego ryzyka, którzy na mocy prawa będą mieli ograniczony dostęp do rynku albo będą musieli zostać z niego wykluczeni. Poza tym wprowadza również wiele zapisów szczegółowych, które w części dotyczą obowiązków operatorów telekomunikacyjnych – mówi agencji Newseria Biznes Wiesław Paluszyński, prezes Polskiego Towarzystwa Informatycznego, przewodniczący Sektorowej Rady ds. Kompetencji Telekomunikacja i Cyberbezpieczeństwo.

Ustawa o KSC to pierwszy w Polsce akt prawny dotyczący obszaru cyberbezpieczeństwa, który obowiązuje od połowy 2018 roku. Ministerstwo Cyfryzacji przygotowało jej nowelizację, która będzie mieć duży wpływ na wdrażanie w Polsce sieci 5G oraz wybór dostawców infrastruktury i oprogramowania dla nowego standardu telekomunikacyjnego. Jak podkreśla resort, główny cel nowelizacji to m.in. wdrożenie zaleceń unijnych w zakresie bezpieczeństwa sieci telekomunikacyjnych. Prezes PTI ocenia, że wprowadzenie nowych regulacji nie pozostanie bez wpływu na ceny i koszty usług telekomunikacyjnych.

– Każda decyzja administracyjna wpływa na koszty usług telekomunikacyjnych, więc na pewno taki sam skutek będzie miało wprowadzenie nowych przepisów. Ale tak samo wpływa na nie np. aukcja częstotliwości 5G, gdzie operatorzy będą musieli zapłacić niemałe pieniądze za dostęp do pasma – mówi. – Regulacje, które wprowadza nowelizacja tej ustawy, są rozwiązaniami na poziomie ustawowym, w związku z czym będą decydowały o prawach obowiązujących na tym rynku. Oczywiście istotne jest, aby w zakresie telekomunikacji były zgodne z opracowywanym w tej chwili Kodeksem Usług Cyfrowych. Wydaje się, że to jest możliwe do osiągnięcia i konsultacje służą właśnie temu, żeby nie było tutaj żadnej kolizji.

Projekt nowelizacji ustawy o KSC trafił do konsultacji publicznych 8 września, ale stowarzyszenia branżowe i eksperci krytycznie odnieśli się do krótkiego, 14-dniowego terminu na zgłaszanie opinii i uwag. Dlatego też resort cyfryzacji zdecydował o wydłużeniu go do 6 października.

Najważniejsze zmiany proponowane w nowelizacji ustawy o KSC to m.in. obowiązkowe, sektorowe CSIRT-y. Mimo że taka możliwość została wprowadzona już wcześniej, do tej pory powstał tylko jeden sektorowy zespół cyberbezpieczeństwa dla sektora bankowości i infrastruktury rynków finansowych (CSIRT-KNF). Zmiana ma sprawić, że takie zespoły reagowania na incydenty naruszenia bezpieczeństwa zostaną wdrożone we wszystkich branżach kluczowych dla społeczno-ekonomicznego bezpieczeństwa państwa.

Projekt rozszerza także kompetencje Pełnomocnika i Kolegium ds. Cyberbezpieczeństwa. Ten organ będzie dokonywać oceny m.in. dostawców infrastruktury i oprogramowania do budowy sieci 5G w Polsce. Ocena ma uwzględniać trzy stopnie ryzyka, jakie wiążą się z danym dostawcą: wysokie, umiarkowane lub niskie. To pierwsze jest przewidziane dla firm, które zostaną uznane za poważne zagrożenie dla krajowego cyberbezpieczeństwa, co oznacza, że zostaną odcięte od kontraktów, a podmioty korzystające z ich usług bądź sprzętu będą musiały pozbyć się ich w ciągu pięciu lat. 

W procesie oceny dostawców kolegium weźmie pod uwagę takie kryteria jak m.in. prawdopodobieństwo, że dostawca znajduje się pod wpływem państwa spoza UE bądź NATO oraz jakie obowiązuje w tym kraju prawo w zakresie ochrony danych osobowych czy praw człowieka.

– Zmienić się mają też pewne wymagania związane z prawem zamówień publicznych i będą one konsekwencją wprowadzonego w ustawie pojęcia dostawcy wysokiego bądź średniego ryzyka. Co oczywiste, trudno będzie w zamówieniach publicznych kupować produkty tych dostawców, którzy zostaną zakwalifikowani jako ryzykowni. Jednak kryteria tej oceny są czysto polityczne – czy kraj pochodzenia dostawcy jest demokratyczny, czy przestrzega praw człowieka. Można się zastanowić, czy ten katalog kryteriów i ten sposób oceny są wystarczająco precyzyjne. Trwające obecnie konsultacje mają służyć właśnie temu, żeby spróbować je doprecyzować, aby były łatwe w stosowaniu – mówi Wiesław Paluszyński.