– Zaprojektowana regulacja dotycząca „analizy Prezesa UKE” jest zbędna z tego względu, że najprostszym i zarazem najbardziej wiarygodnym narzędziem weryfikacji rynkowej ceny usług [świadczonych przez Operatora Strategicznej Sieci Bezpieczeństwa na rzecz uprawnionych podmiotów – red.] jest porównanie ofert różnych podmiotów – uważają członkowie Grupy Roboczej Operatorów Telekomunikacyjnych (GROT), jaka działa w ramach Polskiej Izby Informatyki i Telekomunikacji. Grupa przedstawiła Kancelarii Prezesa Rady Ministrów swoje uwagi do ostatniej wersji projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.
Odniosła się ona m.in. do kwestii dotyczącej działalności (tylko odnośnie nowych zapisów w ostatniej wersji projektu) operatora publicznej sieci stacjonarnej. Komercyjny rynek ma obawy, że ten operator pozbawi go przychodów z segmentu public. GROT chce zatem, aby cennik OSSB nie tyle podlegał analizie UKE, ale by można go było zweryfikować dowolną konkurencyjną ofertą rynkową na taką samą usługę. Gdyby była tańsza, to podmiot uprawniony nie miałby obowiązku korzystać z usług OSSB (to się, co prawda, wydaje furtką do pozbawienia operatora publicznego jakichkolwiek klientów). Poza tym proponuje się, aby doprecyzować, że OSSB świadczy na rzecz podmiotów uprawnionych tylko usługi „w celu zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego”. Fundusz, który ma (w części) finansować budowę i działanie OSSB nie powinien mieć otwartego katalogu źródeł, jak też otwartego katalogu zadań do sfinansowania (tak jak np. fundusz szerokopasmowy finansuje obecnie głównie wzmocnienie cyberbezpieczeństwa państwa). Rozporządzenie dotyczące kierowania środków z tytułu opłat za częstotliwości radiowe do tego funduszu powinno być obligatoryjne, a nie fakultatywne.
Środki z innego źródła – Funduszu Cyberbezpieczeństwa – także zasilanego częściowo przez rynek telekomunikacyjny, powinny być dostępne nie tylko dla podmiotów publicznych, ale i prywatnych (oczywiście na finansowanie zadań związanych z bezpieczeństwem krajowego systemu teleinformatycznego).
Jeżeli chodzi o „dostawców wysokiego ryzyka”, to – zdaniem GROT – nie ma powodu do różnicowania czasu na wycofanie zakwestionowanych rozwiązań z sieci i dla każdego typu podmiotów powinien wynosić 7 lat. Jednocześnie organ stwierdzający „wysokie ryzyko” ze strony dostawcy winien mieć możliwość zmiany tej decyzji w przypadku „zmiany uwarunkowań” oraz rutynowej weryfikacji wydanej decyzji przed upłynięciem 7-letniego okresu na wycofanie z sieci zakwestionowanych rozwiązań. Poza tym przesłanki do wszczęcia postępowania o stwierdzenie „wysokiego ryzyka” powinny być umotywowane głębiej niż tylko stwierdzeniem „ważnego interesu państwa”, przede wszystkim stwierdzeniem ryzyka incydentu krytycznego przez któryś z CSIRT.
Jeżeli chodzi o te ostatnie jednostki, to GROT zdaje się opowiadać za powierzeniem roli CSIRT Telco Prezesowi UKE, jako że NASK (inny potencjalny delegat) pełni już tę rolę na rzecz innych jednostek. Ponadto uwagi GROT wskazują na mnogość podmiotów zarządzających cyberbezpieczeństwem, ich nakładające się uprawnienia względem przedsiębiorców telekomunikacyjnych bez wyraźnej linii rozdziału, oraz wątpliwości co do definicji incydentów teleinformatycznych.
Bardzo dużą część stanowiska zajmuje analiza relacji projektu nowelizacji KSC do (planowanego) Prawa komunikacji elektronicznej oraz (obowiązującego) Prawa telekomunikacyjnego. Zdaniem GROT, konstrukcja projektu KSC wskazuje, że opublikowana zostanie przed PKE i ma zarówno uwzględniać zapisy Pt, jak i antycypować plany PKE. I to się (zdaniem GROT) nie udało. Właściwsze byłoby, aby KSC weszła w życie razem lub po przyjęciu PKE. W przeciwnym razie – wedle obecnej treści ustaw – grożą prawne kolizje.
GROT przypomina, że projekt KSC czeka 3-miesięczna procedura notyfikacji europejskiej, która wstrzyma procedowanie projektu w Polsce.