KIG apeluje o przesunięcie o 24 miesiące zmian w przepisach o cyberbezpieczeństwie. Pospieszne prace nad ustawą mogą wywołać chaos na rynku telekomunikacyjnym [DEPESZA]

– Prace nad ustawą o krajowym systemie cyberbezpieczeństwa przebiegają zbyt szybko i nie uwzględniają rzetelnej debaty publicznej. Uwagi zgłoszone przez przedsiębiorców z różnych branż powinny zostać uwzględnione i poprzedzone merytoryczną dyskusją – wskazuje Krajowa Izba Gospodarcza w piśmie skierowanym do ministra Janusza Cieszyńskiego. Jej eksperci podkreślają, że nowa ustawa, która niemal od początku budzi kontrowersje, będzie mieć daleko idące skutki dla operatorów i całego rynku telekomunikacyjnego. Dlatego okres vacatio legis powinien być nie krótszy niż 24 miesiące, aby nie wywoływać na rynku chaosu. – Zmiany prawa w formule ad hoc na pewno nie są oczekiwane przez przedsiębiorców, dla których stabilność prawa jest fundamentem prowadzenia biznesu – podkreśla prezydent KIG Andrzej Arendarski.

– Aktualny projekt nowelizacji nie daje spokoju zarówno przedsiębiorcom z branży telekomunikacyjnej, jak i podmiotom korzystającym z ich usług. Dlatego bezwzględnie pożądane są szerokie konsultacje społeczne, podobnie jak maksymalnie długie vacatio legis. Wynika to z ogromnych skutków, jakie będą ponosić dostawcy usług cyfrowych oraz ich odbiorcy – mówi agencji Newseria Biznes Andrzej Arendarski, prezydent Krajowej Izby Gospodarczej.

13 października br. odpowiedzialny za cyfryzację KPRM opublikował kolejną, trzecią już propozycję zmian w ustawie o KSC. Prace nad nowelizacją trwają już kilkanaście miesięcy, a propozycje zmian budzą ogromne zainteresowanie nie tylko ze strony rynku telekomunikacyjnego. Świadczy o tym m.in. fakt, że do pierwszej wersji – opublikowanej we wrześniu ub.r. przez ówczesne Ministerstwo Cyfryzacji – wpłynęło ponad 750 uwag zgłoszonych przez operatorów, firmy prywatne i spółki Skarbu Państwa, prawników, fundacje i stowarzyszenia branżowe, a nawet instytucje publiczne takie jak NASK, UKE, Agencja Wywiadu czy BBN. Nowy projekt w niewielkim stopniu uwzględnił ich zastrzeżenia zgłoszone w toku ekspresowych konsultacji. Tym razem czas na zgłaszanie uwag również był wyjątkowo krótki – konsultacje zakończyły się 2 listopada.

– Wydaje się, że ten dotychczasowy, niestandardowy sposób przeprowadzenia konsultacji publicznych przełoży się też na niestandardowe przyjęcie nowych zapisów prawa – mówi Andrzej Arendarski.

W piśmie skierowanym tydzień temu do ministra Janusza Cieszyńskiego KIG wskazuje, że prace legislacyjne przebiegają zbyt szybko i nie uwzględniają rzetelnej debaty publicznej. Izba podkreśla, że uwagi zgłoszone przez przedsiębiorców z różnych branż powinny zostać uwzględnione i poprzedzone merytoryczną dyskusją, a okres vacatio legis nowej ustawy powinien być nie krótszy niż 24 miesiące.

– Szybkie wprowadzenie nowego prawa prawdopodobnie spowoduje chaos organizacyjny i prawny, ponieważ obecnie zaprezentowana nowelizacja zakłada również wcześniej niesygnalizowane zmiany, jak choćby powołanie Operatora Strategicznej Sieci Bezpieczeństwa (OSSB), która to ma powołać spółkę Polskie 5G, a wszystko to ma być finansowane głównie ze środków publicznych – podkreśla prezydent KIG.

Jak wskazuje, nowelizacja ustawy o KSC będzie mieć daleko idące konsekwencje dla operatorów i całego rynku telekomunikacyjnego. Ta zaś wskazuje, że nowy projekt wciąż jest obarczony wszystkimi wcześniejszymi wadami.

– W nowelizacjach pojawiały się również dość kontrowersyjne zapisy jak choćby arbitralne uprawnienia nadane Kolegium ds. Cyberbezpieczeństwa, które może decyzją administracyjną bez jakiejkolwiek możliwości odwołania zmienić dostawców sprzętu i oprogramowania – mówi Andrzej Arendarski. – Patrząc na bezpieczeństwo cyfrowe na świecie, region, w którym my żyjemy, może być i jest szczególnie narażony na ataki, inwigilacje i dezinformacje z obszaru świata, gdzie „wschód słońca jest wcześniej niż w Europie”. Stąd podtekst polityczny jest zrozumiały i nie jest to tylko problem w naszym kraju. Pozostaje jednak pytanie, czy ta formuła będzie wykorzystywana również w innych celach, które nie są związane z bezpieczeństwem cyfrowym Polski.

Chodzi o ocenę ryzyka dostawców usług i sprzętu ICT na podstawie nie do końca jasnych kryteriów, m.in. stopnia powiązania z państwem spoza UE bądź NATO. Firmy, które zostaną przez Kolegium uznane za dostawców wysokiego ryzyka, zostaną przynajmniej częściowo wykluczone z polskiego rynku, bez realnej możliwości odwołania. Z kolei operatorzy telekomunikacyjni, którzy korzystają z ich usług bądź sprzętu, będą zmuszeni pozbyć się ich w ciągu pięciu–siedmiu lat.

– Wprowadzona procedura wykluczenia niektórych dostawców usług, produktów i procesów ICT może istotnie wpłynąć na relacje handlowe między przedsiębiorcami telekomunikacyjnymi, podmiotami krajowego systemu cyberbezpieczeństwa, integratorów, vendorów oraz dostawców urządzeń i oprogramowania, a przygotowany projekt nie zawiera zaktualizowanej oceny skutków regulacji w tym zakresie – podkreśliła KIG w liście do ministra Cieszyńskiego.

Wprowadzona w 2018 roku ustawa o cyberbezpieczeństwie to pierwszy w Polsce akt prawny dotyczący tego obszaru. Implementuje do polskiego prawa zapisy unijnej dyrektywy NIS i na szczeblu krajowym reguluje kwestie związane z funkcjonowaniem systemu bezpieczeństwa cyfrowego. To obszar tak wrażliwy i dynamiczny, że zmiany w tym obszarze są konieczne.

– Technologie cyfrowe charakteryzują się ciągłą rotacją, mają to w zasadzie wpisane w swoje DNA, stąd inicjatywy rządu związane z nowelizacją ustawy o KSC są i będą wymogiem dostosowującym prawo do otoczenia. Wprowadzona 1 sierpnia 2018 roku ustawa doczekała się obecnie trzech działań związanych z jej nowelizacją. Byłoby to absolutnie zrozumiałe, gdyby nowelizacje ustawy miały charakter konsekwentnej unifikacji prawa. Poprzednie próby nowelizacji wprowadzały bardzo potrzebne wsparcie dla działań Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT), Centra Wymiany i Analizy Informacji (ISAC) czy też wsparcie budowy Centrów Operacji (SOC) – wymienia prezydent Krajowej Izby Gospodarczej.

Rząd uzasadnia, że nowelizacja tego dokumentu jest podyktowana ustaleniami na poziomie europejskim. Chodzi m.in. o konieczność wdrożenia do polskich przepisów tzw. 5G Toolbox, który został wypracowany przy udziale wszystkich państw członkowskich UE i przyjęty na początku 2020 roku. Dokument ma wzmocnić poziom cyberbezpieczeństwa w Europie w kontekście budowy sieci 5G. Stąd również i krajowa nowelizacja ustawy o KSC będzie mieć duże przełożenie na wdrażanie tej technologii w Polsce. Bez niej nie ruszy aukcja UKE na częstotliwości z pasma C, które ma stanowić szkielet polskiego 5G. Co równie ważne, nowela ma być także podstawą do dalszego rozwijania polskiego ekosystemu cyberbezpieczeństwa.