Rząd pracuje nad kryteriami bezpieczeństwa sieci 5G. Polskie przepisy mają być jednymi z najsurowszych w Europie

W ubiegłym tygodniu do publicznych konsultacji trafił projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, który będzie mieć duży wpływ na wdrażanie w Polsce sieci 5G. Znalazły się w nim m.in. zapisy pozwalające na wykluczenie dostawców infrastruktury, którzy pochodzą z państw nieprzestrzegających praw człowieka. Tym samym Polska chce wprowadzić jedne z najsurowszych w całej UE przepisy dotyczące podmiotów uczestniczących w budowie 5G. – To uderzy w rynek i opóźni wdrażanie nowej technologii – wskazuje dyrektor ds. strategii i komunikacji Huawei Polska Ryszard Hordyński.

– Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wprowadza szereg zapisów, które są niemierzalne, mało obiektywne i nietransparentne. Przykładem jest tzw. mechanizm dostawcy wysokiego ryzyka, których wskaże Kolegium ds. Cyberbezpieczeństwa, czyli premier oraz szefowie służb, na podstawie mało obiektywnych kryteriów. Kolegium będzie oceniać na przykład to, czy dostawca pochodzi z kraju, w którym są przestrzegane prawa człowieka. A przecież prawa człowieka i cyberbezpieczeństwo to dwie zupełnie różne sprawy – mówi agencji Newseria Biznes Ryszard Hordyński podczas Forum Ekonomicznego w Karpaczu.

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa trafił do konsultacji publicznych we wtorek, 8 września. Resort cyfryzacji czeka na opinie m.in. stowarzyszeń branżowych, przedsiębiorstw i instytutów naukowych, bo dokument będzie mieć duże przełożenie na wdrażanie w Polsce sieci 5G oraz wybór dostawców infrastruktury i oprogramowania dla nowego standardu telekomunikacyjnego.

– Jest 14 dni na konsultacje tej ustawy i zobaczymy, jaki ostatecznie będzie miała kształt. Jednak w tym momencie jest w niej szereg zapisów, które można by trochę lepiej przemyśleć – wskazuje dyrektor ds. strategii i komunikacji Huawei Polska.

Resort cyfryzacji uzasadnia, że nowelizacja jest podyktowana ustaleniami na poziomie europejskim. Nowy projekt wdraża bowiem zalecenia i standardy opublikowane w tzw. 5G Toolbox, czyli zestawie narzędzi przygotowanych przez Komisję Europejską i Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) przy współudziale wszystkich państw członkowskich UE, w tym Polski.

5G Toolbox został przyjęty na początku tego roku i ma wzmocnić poziom cyberbezpieczeństwa w Europie w kontekście budowy sieci nowej generacji. Będzie podstawą dla wspólnych, skoordynowanych działań w tym zakresie. Państwa członkowskie UE zobowiązały się w nim m.in. właśnie do zaostrzenia wymagań dotyczących bezpieczeństwa infrastruktury telekomunikacyjnej oraz do oceny profilu ryzyka dostawców i ich dywersyfikacji. Jednak szczegółowe decyzje dotyczące tego, jakie konkretnie środki bezpieczeństwa zostaną wdrożone, pozostają w gestii państw członkowskich UE.

– Do tej pory żaden kraj na świecie, a już na pewno w Europie, nie zaproponował tego typu zapisów. Najbardziej rygorystyczne ma jak dotąd Wielka Brytania, która nie jest już w UE. Czas na potencjalne wykluczenie dostawcy wynosi tam siedem lat, te zapisy były konsultowane z całym rynkiem przez dość długi czas, a operatorzy do końca tego roku wciąż mają prawo kupować urządzenia wszystkich dostawców, nawet tych potencjalnie wykluczonych. Polska proponuje więc dużo bardziej surowe przepisy niż wszędzie indziej w Europie – podkreśla Ryszard Hordyński.

W Polsce oceny dostawców sprzętu i oprogramowania, istotnego dla krajowego cyberbezpieczeństwa i sieci 5G, ma dokonywać Kolegium ds. Cyberbezpieczeństwa. To organ doradczy, który od dwóch lat funkcjonuje przy Radzie Ministrów. Projekt nowelizacji ustawy o KSC zakłada, że w trakcie oceny kolegium weźmie pod uwagę takie czynniki jak m.in. potencjalne zagrożenia dla bezpieczeństwa publicznego „o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym”, prawdopodobieństwo tego, że dostawca znajduje się pod wpływem państwa spoza UE bądź NATO oraz jakie obowiązuje w tym kraju prawo w zakresie ochrony danych osobowych, ochrony praw obywatelskich i praw człowieka.

Ocena sporządzana przez Kolegium ds. Cyberbezpieczeństwa ma uwzględniać trzy stopnie ryzyka, jakie wiąże się z danym dostawcą: wysokie, umiarkowane lub niskie. To pierwsze jest przewidziane dla firm, które zostaną uznane za poważne zagrożenie dla krajowego cyberbezpieczeństwa, co oznacza, że zostaną odcięte od kontraktów, a podmioty korzystające z ich usług bądź sprzętu będą musiały pozbyć się ich w ciągu pięciu lat. Firmy objęte statusem umiarkowanego ryzyka będą mieć z kolei zakaz wprowadzania na polski rynek nowych produktów i usług (przynajmniej do czasu wyeliminowania stwarzanych przez nie zagrożeń).  

– Cyberbezpieczeństwo czy kwestie inżynierskie można obudować przepisami, które mają związek z technologią i podejściem inżynierskim. Natomiast zapisy zaproponowane w tej ustawie są nieobiektywne i czysto polityczne – komentuje dyrektor ds. strategii i komunikacji Huawei Polska.

Zapisy nowelizacji ustawy o KSC wskazują na możliwość wykluczenia z polskiego rynku firmy Huawei, która jest w tej chwili jednym z trzech głównych dostawców infrastruktury 5G. Stany Zjednoczone już od dłuższego czasu zarzucają technologicznemu gigantowi, że ma powiązania z chińskim rządem. W tle jest też wojna handlowa i napięte relacje pomiędzy Chinami i USA oraz amerykański program Clean Network, który ma na celu całkowite wyeliminowanie chińskich producentów z rynku telekomunikacyjnego.

Jak podkreśla Ryszard Hordyński, jeżeli ustawa o KSC wejdzie w życie w obecnie proponowanym kształcie, z mechanizmem zaprojektowanym do wykluczenia konkretnego dostawcy, uderzy to głównie w rynek i opóźni wdrażanie w Polsce 5G.

– Po pierwsze, operatorzy, którzy w tej chwili korzystają z usług lub sprzętu potencjalnie wykluczonego dostawcy, będą musieli ponieść ogromne koszty. Te są szacowane na ok. 15 mld zł na samą infrastrukturę. Po drugie, w tej chwili na rynku jest trzech dostawców sieci 5G. Po tej zmianie zostałoby dwóch. Jeśli weźmiemy pod uwagę podstawowe zasady ekonomii, powstanie przez to monopol, w którym każdy operator będzie wykorzystywać tylko dwóch dostawców. To oznacza brak konkurencyjności, czyli nie tylko wyższe ceny, ale i gorszą jakość usług – mówi.

Resort cyfryzacji podkreśla, że zarówno Komisja Europejska, jak i Polska kładą duży nacisk na bezpieczeństwo technologii 5G. Tym bardziej że będzie ona mieć wpływ nie tylko na rynek telekomunikacyjny, lecz także inne kluczowe sektory gospodarki, jak np. energetyka, transport, bankowość czy zdrowie. Ponadto sieć 5G będzie nośnikiem informacji wrażliwych. Dlatego też zapewnienie jej bezpieczeństwa jest kluczowe. KE wskazuje, że odpowiedzialność za jej działanie i ochronę spoczywa zarówno na podmiotach rynkowych, jak i państwach członkowskich.

– Jest w Polsce potrzeba wprowadzenia ramowych, wspólnych zasad dotyczących cyberbezpieczeństwa, bo obecna ustawa pochodzi sprzed kilku lat. Tymczasem technologia zmienia się bardzo szybko i prawo za nią nie nadąża. Wdrożenie sieci 5G będzie fundamentem tzw. gospodarki 4.0, która połączy ze sobą wszystkie urządzenia i wszystkie możliwe czujniki. Rozsądne podejście do bezpieczeństwa w tym zakresie jest bardzo potrzebne. Jednak powinno być to podejście mierzalne i inżynierskie, a nie polityczne – podsumowuje dyrektor ds. strategii i komunikacji Huawei Polska.