ISP chcą udziału w postępowaniu o stwierdzenie wysokiego ryzyka dostawców

Aktualizacja

Z podobną inicjatywą wystąpiła Krajowa Izba Komunikacji Ethernetowej, także zrzeszająca głównie małych operatorów telekomunikacyjnych (której e-Południe jest zresztą członkiem). KIKE apeluje do KPRM i premiera Mateusza Morawieckiego (który formalnie jest ministrem cyfryzacji) nie tyle o ogłoszenie formalnych konsultacji nowego projektu KSC, ile o bezpośrednią interwencję w jego treść.

Podobnie, jak e-Południe, izba uważa, że proponowane zapisy dotyczące udziału w postępowaniach o stwierdzenie „wysokiego ryzyka” dostawców sprzętu stanowią dyskryminację mniejszych operatorów, chociaż ich również mogą dotyczyć ewentualne skutki takiego postępowania.

Z pisma KIKE wynika zresztą intencja KPRM, które obawia się, że mnogość zainteresowanych stron może wpływać na przewlekłość postępowania o stwierdzenie „wysokiego ryzyka”. Kancelaria zrobiła jednak wyjątek dla największych podmiotów, co ich mniejsi konkurenci uważają za dyskryminację. Zdaniem KIKE, do postępowań o stwierdzenie „wysokiego ryzyka” powinny być dopuszczone co najmniej organizacje małych przedsiębiorców.

Trzeba zaznaczyć, że izba występuje nie tylko w imieniu operatorów, ale także importerów i dystrybutorów sprzętu komunikacyjnego, którzy także należą do izby, i którzy również mogą zostać dotknięci (bez prawa głosu) nowymi regulacjami.

---

Stowarzyszenie e-Południe, zrzeszające lokalnych operatorów telekomunikacyjnych, wystąpiło z inicjatywą petycji do Kancelarii Prezesa Rady Ministrów w sprawie przeprowadzenia formalnych konsultacji ostatniej wersji projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC).

W treści petycji autorzy zwracają uwagę, że z jednej strony ostatnia wersja projektu znacznie poszerza obowiązki operatorów telekomunikacyjnych, a z drugiej strony dyskryminuje mniejsze podmioty, uniemożliwiając im udział w postępowaniach dotyczących ustalenia „wysokiego ryzyka” po stronie dostawców sprzętu.

W ostatniej wersji KSC pojawił się bowiem nowy rozdział dotyczący obowiązków operatorów telekomunikacyjnych w dziedzinie cyberbezpieczeństwa. Przepisy zostały przeniesione z Prawa telekomunikacyjnego, ale zredagowane w nowym duchu z nowymi definicjami, jak np. incydent telekomunikacyjny. Wydaje się jednak, że dla autorów petycji jest to tylko tło problemu udziału w procedurze uznania danego dostawcy sprzętu za niosącego wysokiego ryzyko (ang. high risk vendor, HRV).

Duże telekomy wywalczyły sobie prawo udziału w postępowaniu poprzez zapis o dopuszczeniu podmiotów, których roczne obroty przekraczają 20000-krotność przeciętnego wynagrodzenia. Według powszechnego mniemania instytucja HRV wymierzona jest głównie w chińskich dostawców (przede wszystkim Huaweia) w kontekście dostaw sprzętu RAN, z którego faktycznie korzystają przede wszystkim największe podmioty. Nie zmienia to faktu, że dostawcy sprzętu RAN są często dostawcami także innych kategorii sprzętu – np. urządzeń do sieci optycznych – które także mogą wejść w reżim dostaw HRV, co już odbiłoby się także na zaopatrujących w się nie ISP.

Ostatnie wydarzenia na rumuńskim rynku wskazują, że efekty instytucji HRV mogą mieć zupełnie inne od intencjonalnych efekty.

Ostatnia wersja nowelizacja KSC jest już siódmą z kolei. Formalne konsultacje przeprowadzono tylko raz, chociaż po ostatniej wersji miało również miejsce opiniowanie nieoficjalne, którego efekty zobaczyliśmy w ostatniej redakcji projektu. Prace nad nowelizacją trwają już 2 lata.