Rząd zmienia ustawę o cyberbezpieczeństwie. Zdaniem ekspertów może to negatywnie wpłynąć na wdrażanie w Polsce sieci 5G

Projekt zmian w ustawie o Krajowym Systemie Cyberbezpieczeństwa wprowadza duże zmiany w sektorze telekomunikacyjnym i będzie mieć istotny wpływ na wdrażanie w Polsce sieci 5G. Zawarte w nich przepisy budzą wątpliwości rynkowych graczy, którzy wskazują na luki i niezgodność z innymi aktami prawnymi. Kontrowersyjny jest także tryb procedowania projektu. Trafił on do publicznych konsultacji 8 września, a na przesyłanie opinii resort cyfryzacji dał stowarzyszeniom branżowym, przedsiębiorcom i instytutom naukowym tylko 14 dni. Termin ekspresowych konsultacji upływa na początku przyszłego tygodnia. Eksperci zauważają, że termin powinien być przynajmniej dwukrotnie dłuższy.

– Projekt ustawy o KSC wprowadza cenzurę internetu, przyznając rządowemu pełnomocnikowi ds. cyberbezpieczeństwa możliwość wydawania  bezpośrednich nakazów zabezpieczających. W drodze tego nakazu będzie można odciąć konkretne zasoby, IP albo konkretne serwery od polskiego internetu. Oczywiście intencją jest zapewnienie nam bezpieczeństwa. Jednak kryteria, które są zawarte w tym projekcie ustawy, są poza jakąkolwiek kontrolą sądową i tak szerokie, że właściwie mogą służyć do dowolnego celu – mówi agencji Newseria Biznes Mariusz Busiło, prawnik, specjalista ds. telekomunikacji i mediów, wspólnik w Kancelarii Bącal Busiło.

Ustawa o krajowym systemie cyberbezpieczeństwa to pierwszy w Polsce akt prawny dotyczący tego obszaru, który obowiązuje od połowy 2018 roku. Ministerstwo Cyfryzacji szykuje właśnie nowelizację tej ustawy, która będzie mieć duży wpływ na wdrażanie w Polsce sieci 5G oraz wybór dostawców infrastruktury i oprogramowania dla nowego standardu telekomunikacyjnego.

Jak podkreśla ekspert, nowelizacja ustawy o KSC wprowadza koordynację sektora telekomunikacyjnego z sektorem cyberbezpieczeństwa.

– Oznacza to, że poddaje sektor telekomunikacyjny, który cały czas rządzi się swoimi prawami, pod regulacje sektora horyzontalnego, pod regulacje ustawy o cyberbezpieczeństwie – mówi Mariusz Busiło.

W ocenie prawnika ten kierunek jest słuszny, dobrym pomysłem jest także utworzenie CIRT-u telco (zespół, do którego są raportowane incydenty naruszenia bezpieczeństwa), co zostało zaproponowane w projekcie.

– Jednak zupełnie niewłaściwe wydaje się przesuwanie całego tego systemu, który dziś działa dobrze. Przecież operatorzy telekomunikacyjni od lat zapewniają we właściwy sposób bezpieczeństwo sieci i usług telekomunikacyjnych. W ostatnich latach zostały wdrożone przepisy zgodne z dyrektywami unijnymi, a przez 25 lat istnienia sieci telekomunikacyjnych w Polsce nie zdarzył się właściwie żaden duży incydent. Co więcej, w projekcie prawa komunikacji elektronicznej są już przygotowane zapisy, które też są zgodne z Europejskim kodeksem łączności elektronicznej. Dlatego bardzo dziwne jest wprowadzanie równoległej regulacji, tylko w zupełnie innej ustawie – mówi wspólnik w Kancelarii Bącal Busiło.

Jak podkreśla, projekt nowelizacji ustawy o KSC wprowadza też niejasne kryteria oceny dostawców, którzy będą dostarczać oprogramowanie i infrastrukturę dla sieci 5G w Polsce.

– Ten projekt wprowadza możliwość wykluczania z polskiego rynku dostawców przez organ, który nie do końca jest zgodny z Kodeksem postępowania administracyjnego, od którego decyzji nie ma odwołań i nie ma kontroli niezależnych sądów – podkreśla Mariusz Busiło.

Oceny dostawców infrastruktury dla sieci 5G w Polsce ma dokonywać Kolegium ds. Cyberbezpieczeństwa. Weźmie ono pod uwagę takie kryteria jak m.in. prawdopodobieństwo, że dostawca znajduje się pod wpływem państwa spoza UE bądź NATO oraz jakie obowiązuje w tym kraju prawo w zakresie ochrony danych osobowych, ochrony praw obywatelskich i praw człowieka.

– Branża telekomunikacyjna jest zaskoczona tym, że jakieś kolegium – czyli np. kilku ministrów, którzy wyjdą z rządu i założą inne szaty – będzie decydować w formie opinii o tym, jak mają być prowadzone inwestycje prywatne. Mocno szokuje fakt, że ktoś będzie decydować o tym według niejasnych kryteriów – mówi prawnik.

Resort uzasadnia, że zmiany wynikają z zaleceń europejskich. Nowelizacja ma bowiem wdrożyć standardy opublikowane w tzw. 5G Toolbox, czyli zestawie narzędzi przygotowanych przez Komisję Europejską i Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Ten dokument, przyjęty na początku tego roku, ma wzmocnić poziom cyberbezpieczeństwa w Europie w kontekście budowy sieci 5G. Państwa UE zobowiązały się w nim do zaostrzenia wymogów bezpieczeństwa infrastruktury telekomunikacyjnej.

– Co ciekawe, w Polsce 5G Toolbox został już wdrożony w drodze rozporządzenia z art. 175d ustawy Prawo telekomunikacyjne. Negocjacje i rozmowy nad tym rozporządzeniem oraz konsultacje społeczne trwały w sumie sześć miesięcy. Projekt został przyjęty i czeka na wejście w życie – mówi Mariusz Busiło. – Jednocześnie pojawia się konkurencyjny projekt, ze znacznie dalej idącymi kompetencjami Kolegium ds. Cyberbezpieczeństwa, w dodatku nieprzejrzystymi, jeśli chodzi o procedury działania tego organu. Poprzednie regulacje właściwie idą do kosza, a na skonsultowanie nowego projektu jest raptem 14 dni. Czyli ta sama materia, która wcześniej była konsultowana przez sześć miesięcy i dzięki temu wypracowano kompromis z rynkiem i specjalistami od cyberbezpieczeństwa, poszła do kosza, a teraz w dwa tygodnie próbuje się zaproponować nowe rozwiązania.

Projekt zmian w ustawie o krajowym systemie cyberbezpieczeństwa trafił do publicznych konsultacji 8 września. Termin ekspresowych konsultacji upływa na początku przyszłego tygodnia.

– Przy tak szerokim projekcie, rodzącym tak daleko idące skutki społeczne, gospodarcze i polityczne, ten termin powinien wynosić co najmniej 30 dni. Skrócenie tego czasu jest całkowicie nieuzasadnione. O ile wiem, operatorzy telekomunikacyjni i izby gospodarcze będą wnioskowały o wydłużenie tego czasu, ale trudno prognozować, z jakim skutkiem – mówi wspólnik w Kancelarii Bącal Busiło. – Izby reprezentujące branżę telekomunikacyjną w tej chwili analizują ten projekt ustawy i jeszcze nie wypracowały stanowiska. Czternaście dni to zbyt krótko, a termin mija w przyszłym tygodniu.