Pod koniec maja zakończył się proces konsultacji nowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństw (KSC). Celem projektowanych przepisów jest przede wszystkim wdrożenie dyrektywy NIS2, co trzeba zrobić przed upływem 17 października 2024 r.
Dla operatorów telekomunikacyjnych jedną z najważniejszych kwestii w nowelizowanej KSC jest sprawa dostawców wysokiego ryzyka, czyli podmiotów, które mogłyby w sposób nieuprawniony administrować danymi lub inaczej oddziaływać na bezpieczeństwo i stabilność sieci.
Jak wyjaśnia ustawodawca, chodzi o to, by z użytkowania wyeliminować rozwiązania firm, które nie gwarantują cyberbezpieczeństwa.
Ich usługi, sprzęt i oprogramowanie nie będą mogły być używane przez instytucje kluczowe i ważne z punktu widzenia bezpieczeństwa Polski, takie jak np. administracja państwowa, sektor finansowy czy telekomunikacyjny, ale nie tylko, bo dyrektywa NIS2 dotyczyć będzie podmiotów z aż 18 branż.
Zgodnie z projektowanymi przepisami wskazanie dostawcy (sprzętu lub oprogramowania) wysokiego ryzyka ma następować na skutek postępowania, które będzie mógł wszcząć minister właściwy do spraw informatyzacji, w celu ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego.
Na usunięcie takiego sprzętu lub oprogramowania podmioty uznane za kluczowe i ważne będą mieć siedem lat. Jednak przedsiębiorcy telekomunikacyjni, których roczne przychody z tytułu wykonywania działalności telekomunikacyjnej w poprzednim roku obrotowym były wyższe od kwoty 10 mln złotych, będą to musieli zrobić w cztery lata – przepis ten dotyczy urządzeń odpowiedzialnych za krytyczne usługi dla bezpieczeństwa sieci.
Chińscy dostawcy pod lupą?
Wiadomo, że na mocy tych przepisów pod lupę wzięci mogą zostać przede wszystkim chińscy dostawcy, tacy jak Huawei i ZTE, choć w projekcie znowelizowanej ustawy nie pada nazwa żadnego państwa czy firmy. Mówił o tym np. w czerwcu w wywiadzie dla Radia Zet wiceminister cyfryzacji Michał Gramatyka. Przyznał wówczas, że rząd planuje wprowadzić zakaz używania chińskiego sprzętu w sieciach informatycznych i telekomunikacyjnych.
Kilka dni później w serwisie Linkedin tłumaczył, że z wypowiedzią trochę się pośpieszył, bo choć rzeczywiście zamiarem ustawy jest zdefiniowanie tak zwanych “dostawców wysokiego ryzyka”, to na pewno kryterium do podejmowania decyzji w tej sprawie nie będzie kraj pochodzenia producentów takiego sprzętu.
Wypowiedź ta pokazuje jednak, że sprawa ta jest kontrowersyjna, a dyskusje na ten temat są gorące od początku nowelizowania ustawy KSC i przy pojawieniu się jej kolejnych wersji, czyli już od kilku lat.
Cztery lata temu Krajowa Izba Komunikacji Ethernetowej reprezentując środowisko małych i średnich przedsiębiorców telekomunikacyjnych przeprowadziła ankietę, by zbadać jak jest skala wykorzystania wśród nich sprzętu dostawców pochodzących spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego.
Nie było specjalnym zaskoczeniem, że lokalni operatorzy bazują na chińskim sprzęcie.
Z ankiety wynika bowiem, że wszyscy ISP w swojej działalności wykorzystują produkty firm spoza UE/NATO. Średnio stanowią one ponad 80 proc. całości sprzętu tych operatorów. 47 proc. badanych firm deklarował wykorzystywanie urządzeń Huawei, a 45 proc. zbudowało swoją infrastrukturę głównie w oparciu o ten sprzęt. Gdyby przeprowadzić tę ankietę dziś, wskaźniki te mogłyby być jeszcze wyższe.
Na chińskim sprzęcie - szczególnie Huawei - w dużej mierze opierają się też najwięksi operatorzy mobilni, poza Polkomtelem. W ostatnich latach mając na względzie, że przepisy o dostawcach wysokiego ryzyka mogą wejść w życie, w większym stopniu zaczęli oni jednak dywersyfikować dostawców.
Tym niemniej zarówno dla małych i dużych telekomów konieczność wycofania sprzętu firm, na których ciążyć będzie piętno wysokiego ryzyka, może się wiązać ze sporymi kosztami. Projekt KSC nie przewiduje rekompensat kosztów związanych z ewentualnym wycofywaniem sprzętu tego typu dostawców.
Zwraca na to uwagę m.in. Ogólnopolska Federacja Przedsiębiorców i Pracodawców Przedsiębiorcy.pl. W apelu skierowanym do Ministra Cyfryzacji, pisze ona: „Projekt ustawy wprowadza nieuregulowaną w dyrektywie NIS2 procedurę uznania danego dostawcy za dostawcę wysokiego ryzyka. Przedsiębiorca objęty ustawą o krajowym systemie cyberbezpieczeństwa stanie przed perspektywą konieczności usunięcia sprzętu lub oprogramowania ICT dostarczanych przez takiego dostawcę w terminie 4 lub 7 lat, co odbywało się będzie na wyłączny koszt tegoż przedsiębiorcy”.
Dlatego też można się spodziewać, że gdy nowelizowana ustawa KSC trafi do Sejmu i odbywać się będą się na nią kolejne prace, punkt ten będzie rozbudzać nadal spore dyskusje.
