Ministerstwo Cyfryzacji przedstawiło w środę projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: u.k.s.c.). Tę ustawę usiłowano znowelizować od 2020 r., ale projekt poprzedniego rządu wzbudził tak wiele kontrowersji, że wycofano go z Sejmu. Jak mówi obecny wicepremier, minister cyfryzacji Krzysztof Gawkowski, teraz 70 proc. rozwiązań to nowe propozycje.
– To dla nas priorytetowy projekt na ten rok – podkreśla. Jednym z głównych obszarów u.k.s.c. jest procedura badania dostawców produktów, usług i procesów ICT (tj. opartych na technologiach informacyjnotelekomunikacyjnych) pod względem bezpieczeństwa. Jeżeli firma – producent, importer lub dystrybutor – zostanie uznana za dostawcę wysokiego ryzyka (HRV), to nie będzie wolno od niej kupować sprzętu ani oprogramowania, a już posiadany trzeba będzie w określonym terminie wymienić. Będą do tego zobowiązani przedsiębiorcy telekomunikacyjni, a także podmioty uznane na mocy ustawy za kluczowe lub ważne.
Na wycofanie sprzętu od dostawcy wysokiego ryzyka będzie standardowo siedem lat (to się nie zmieniło w porównaniu z planami PiS). Natomiast najwięksi przedsiębiorcy telekomunikacyjni na wymianę sprzętu lub oprogramowania wykorzystywanych do realizowania funkcji krytycznych dla bezpieczeństwa sieci i usług dostaną tylko cztery lata – a więc o rok mniej, niż planowano w poprzedniej kadencji.
Skrócenie tego okresu uzasadniono szczególnym znaczeniem usług telekomunikacyjnych dla bezpieczeństwa państwa. Projektowane rozwiązania mają chronić przede wszystkim komórkowe sieci piątej generacji (5G) – ze względu na potencjalne szkody, jakie może przynieść zakłócenie ich funkcjonowania. Ale postępowaniu HRV będzie mógł zostać poddany także dostawca produktów, usług i procesów ICT dla innych systemów informacyjnych – jeżeli będzie spełniona przesłanka zapewnienia ochrony bezpieczeństwa państwa.
Jednym z kryteriów analizy, czy firma jest dostawcą wysokiego ryzyka, będzie prawdopodobieństwo, „z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego”. Podobne plany miał rząd Prawa i Sprawiedliwości.
Więcej w: Mniej czasu na wymianę ryzykownego sprzętu telekomunikacyjnego (dostęp płatny)