Konfederacja Lewiatan: konieczne doprecyzowanie zakresu działania sieci strategicznej

Konfederacja Lewiatan to kolejna organizacja, która w ramach konsultacji roboczych przedstawiła swoje stanowisko dotyczące zaktualizowanej wersji (z dnia 12 października 2021 r.) projektu ustawy o krajowym systemie cyberbezpieczeństwa (KSC).

Na początku dokumentu Maciej Witucki, prezydent Konfederacji Lewiatan (KL), zaznacza, że „skala zaproponowanych w projekcie ustawy zmian, pozwalałaby na zakwalifikowanie ich nawet jako nowego projektu, a nie tylko istotnej zmiany dotychczasowej propozycji”. Dotyczy to przede wszystkim nowych obszarów ustawy w tym Spółki Polskie 5G, Funduszu Cyberbezpieczeństwa, Funduszu celowego na rzecz strategicznej sieci bezpieczeństwa oraz rozdysponowania częstotliwości 700 MHz, a także bardzo daleko idących zmian w zakresie Strategicznej Sieci Bezpieczeństwa.

Poza kwestiami proceduralnymi, wątpliwości KL są związane przede wszystkim z:

   * Powołaniem Strategicznej Sieci Bezpieczeństwa, (SSB) w tym jej operatora, pod kątem:

  • charakteru SSB, która powinna zostać określona jako sieć o charakterze specjalnym o podwyższonym poziomie bezpieczeństwa;
  • zakresu użytkowników świadczonych usług, który wymaga ograniczenia do konkretnych osób lub jednostek organizacyjnych pełniących kluczowe funkcje związane z zapewnieniem bezpieczeństwa i porządku publicznego;
  • potrzeby wykluczenia niejasności związanych z potencjalnym świadczeniem usług na rzecz przedsiębiorstw, w tym o szczególnym znaczeniu gospodarczo-obronnym lub w zakresie infrastruktury krytycznej, poprzez wyłączenie możliwości świadczenia usług dla podmiotów nie będących podmiotami publicznymi.

   * Powołaniem Spółki Polskie 5G pod kątem:

  • uzasadnienia dla powołania Spółki Polskie 5G, jako hurtowego operatora sieci w paśmie 700 MHz, jako modelu dotychczas nieznanego w szerszym zakresie na rynku telekomunikacyjnym;
  • uszczegółowionej oceny wpływu powołania tego podmiotu pod kątem wpływu na konkurencję na rynku telekomunikacyjnym;
  • równowagi w zakresie uwzględnienia interesów podmiotów, jako docelowych udziałowców spółki, w tym przedsiębiorców telekomunikacyjnych, jako udziałowców mniejszościowych oraz faktycznie pozbawionych wpływu na kluczowe decyzje w ramach spółki.

   * Dystrybucją pasma 700 MHz pod kątem:

  • spełnienia wymagań w zakresie przejrzystości, obiektywizmu, niedyskryminacji, sprzyjania konkurencji i proporcjonalności, które są wytycznymi dla dystrybucji widma radiowego określonymi w art. 45 Europejskiego Kodeksu Łączności Elektronicznej;
  • efektywności proponowanego modelu, jego rynkowej wykonalności i uzasadnienia reguł proponowanych w projekcie.

Za kluczowe KL postrzega „doprecyzowanie zakresu działania SSB wyłącznie do zakresu niezbędnego, który nie będzie miał nieuzasadnionego, negatywnego wpływu na funkcjonujący, konkurencyjny rynek”. Za niezasadne uważa natomiast: „powoływanie spółki, której mniejszościowymi udziałowcami mieliby stać się przedsiębiorcy telekomunikacyjni, wnoszący do niej m.in. zasoby częstotliwości pozyskane uprzednio w formule przetargu, a de-facto pozbawieni realnego wpływu na kluczowe decyzje, zarówno w zakresie sposobu użytkowania widma jak i działalności samej spółki”. W opinii KL rozwiązanie to  prowadziłoby do daleko idącego ograniczenia swobody działalności gospodarczej podmiotów komercyjnych.

W kwestii procedury oceny dostawców pod kątem cyberryzyka korzystania z ich rozwiązań, zdaniem KL, decyzja nie powinna być podejmowana jednoosobowo przez ministra właściwego do spraw informatyzacji, jak zapisano w obecnym kształcie projektu ustawy o KSC, lecz powinni w niej „uczestniczyć ministrowie odpowiedzialni za obszary istotne z perspektywy chronionych wartości (obronność, bezpieczeństwo i porządek publiczny, zdrowie i życie ludzi) lub za obszary właściwe merytorycznie z perspektywy sektora, którego dotyczy decyzja (rozwój i technologia)”.

Jak argumentuje KL, byłoby to zgodne z analogicznymi rozwiązaniami funkcjonującymi w innych krajach UE, np. w Niemczech decyzja jest podejmowana przy udziale federalnego ministerstwa spraw wewnętrznych, zagranicznych i gospodarki. Pozytywną opinię powinien wyrazić także prezes Urzędu Ochrony Konkurencji i Konsumentów.

Proponowane w przepisach wymagania dot. cyberbezpieczeństwa sieci telekomunikacyjnych i infrastruktury cyfrowej, odnoszące się do wykorzystywanego sprzętu lub oprogramowania w ramach infrastruktury telekomunikacyjnej powinny dotyczyć wyłącznie OSSB, a nie wszystkich przedsiębiorców telekomunikacyjnych świadczących komercyjne usługi ogółowi społeczeństwa, ponieważ zastosowanie tych samych wymagań będzie nieproporcjonalne wobec potrzeb i kosztów całego rynku” – czytamy w piśmie KL, która postuluje też m.in. „doprecyzowanie przepisów w zakresie procedury oceny o aspekty techniczne, które powinny być wyraźnie doprecyzowane pod kątem sposobu prowadzenia takiej weryfikacji”.

Lewiatan postuluje przeprowadzenie pełnych, ponownych konsultacji publicznych wraz z publikacją stanowiska na stronie RCL oraz skierowanie projektu do uzgodnień międzyresortowych oraz opiniowania przez kluczowe organy regulacyjne (w tym Urząd Komunikacji Elektronicznej, UOKiK i Urząd Zamówień Publicznych).

Stanowisko Polskiej Izby Informatyki i Telekomunikacji dotyczące projektu nowelizacji ustawy dot. KSC relacjonowaliśmy wczoraj, a opinię Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji dzisiaj.