Krajowa Izba Komunikacji Ethernetowej (KIKE) reprezentujące lokalnych ISP, w ramach konsultacji projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (KSC) przedstawiła do projektowanego aktu szereg uwag.
Izba m.in. krytycznie ocenia zapisy dotyczące uznawania firm technologicznych za dostawców wysokiego ryzyka. W jej ocenie postępowanie „w sprawie uznania za dostawcę wysokiego ryzyka dostawcy sprzętu lub oprogramowania” opierające się na kryteriach oceny odnoszących do działalności podmiotu, a nie samego sprzętu czy oprogramowania, może być nieprawidłowo wykorzystywane do stygmatyzowania i wykluczania z rynku przedsiębiorców z powodów politycznych, a nie związanych z bezpieczeństwem.
KIKE generalnie uważa, że ocenie powinien podlegać sprzęt, a nie podmiot.
– Kryteria, którymi ma kierować się Kolegium wydając swoją opinię zasadniczo nie uległy zbyt dużym zmianom, co KIKE postrzega negatywnie. Przesłanki wykluczania określonego sprzętu lub oprogramowania (a nie dostawcy) powinny być ściśle związane z aspektami technicznymi i technologicznymi, a nie osobowymi (...) Co więcej, postępowanie w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka powinno dotyczyć dostawcy, który dostarcza sprzęt lub oprogramowanie o funkcjach krytycznych a nie każdego rodzaju sprzętu, nawet takiego, który nie ma znaczenia dla ochrony bezpieczeństwa – ocenia KIKE.
Izbę powyższe zapisy niepokoją szczególnie z tego powodu, że przedsiębiorcy telekomunikacyjni mają podlegać przepisom KSC w zakresie przepisów dotyczących obowiązku wycofania produktów ICT, usług ICT, procesów ICT pochodzących od dostawcy wysokiego ryzyka, dotyczącym ostrzeżenia i polecenia zabezpieczającego oraz karach pieniężnych. A to będzie oznaczać nowe obowiązki oraz wiązać się z dodatkowymi kosztami, które wedle projektu (zarówno obecnej wersji, jak i każdej wcześniejszej) nie będą rekompensowane.
Odnośnie zapisów dotyczących Funduszu Cyberbezpieczeństwa, operatora strategicznej sieci bezpieczeństwa oraz spółki Polskie 5G, oraz dodatkowego uposażenia urzędników i funkcjonariuszy, związanych z cyberbezpieczeństwem KIKE przyznaje, że nie była w stanie kompleksowo ocenić skutków jakie mogą wiązać się z opisanymi regulacjami. Są to bowiem na tyle nowe i rozległe koncepcje, że ich przeanalizowanie (biorąc pod uwagę inne obowiązki izby) nie było możliwe w zakreślonym terminie. Z tych względów izba odniosła się tylko do pojedynczych projektowanych przepisów, które – w jej opinii – po zapoznaniu się z treścią nowego projektu budzą zastrzeżenia.
I tak przykładowo KIKE zwraca uwagę, że zgodnie z założeniem komentowanego przepisu, Fundusz Cyberbezpieczeństwa ma zasilić m.in. 50 proc. wpływów z opłat za prawo do wykorzystywania numeracji. Dla KIKE takie zawłaszczenie środków, nie jest zrozumiałe gdyż gospodarowanie numeracją nie jest ściśle związane z zagadnieniami dotyczącymi cyberbezpieczeństwa. KIKE negatywnie ocenia też postulat zasilenia Funduszu Cyberbezpieczeństwa środkami pochodzącymi z Funduszu Szerokopasmowego. Jest to bowiem fundusz celowy, którego środki mają być przeznaczone na ścisłe określone cele.
Izba ma też wątpliwości do warunków, jakie musi spełnić podmiot mający pełnić funkcję operatora strategicznej sieci bezpieczeństwa.
– Spółka taka musi być m.in. jednoosobową spółką Skarbu Państwa będącą jednocześnie przedsiębiorcą telekomunikacyjnym. Zdaje się że regulacja ukierunkowana jest na wskazanie konkretnego podmiotu, który ma zostać wyznaczony do pełnienia tej funkcji co budzi dalsze obawy, jaki jest rzeczywisty cel tej regulacji i czemu będzie miała ona służyć? Czy czasem po wyznaczeniu operatora sieci bezpieczeństwa nie pojawi się kolejna nowelizacja ustawy, rozszerzająca zakres kompetencji takiego podmiotu? – pyta KIKE.
Duże zastrzeżenie izby budzi przyznanie Skarbowi Państwa (konkretniej: operatorowi strategicznej sieci bezpieczeństwa) prawa pierwokupu sieci telekomunikacyjnych będących własnością m.in. jednostek samorządu terytorialnego. W ocenie KIKE nie ma obiektywnych przyczyny, dla których operator strategicznej sieci bezpieczeństwa miałby mieć pierwszeństwo w nabyciu takich sieci. KIKE wyraża dużą obawę, czy po wprowadzeniu tego rozwiązania kolejna nowelizacja nie rozszerzy tego katalogu i nie będzie zastrzegać pierwokupu sieci będących własnością podmiotów prywatnych.