Na blisko 5 mld dol. szacuje FCC, amerykański regulator, koszty rekompensat dla operatorów w USA wycofujących z sieci sprzęt Huawei i ZTE i zastępujących go innym. A to tylko 40 proc. kosztów, które ponoszą. W Polsce nowelizacja KSC nie przewiduje takich dopłat, gdy wejdą w życie przepisy o dostawcach wysokiego ryzyka. A operatorzy z rocznymi przychodami powyżej 10 mln zł, chińskiego sprzętu wykorzystywanego do realizowania funkcji krytycznych dla bezpieczeństwa sieci i usług będą musieli się go pozbyć w cztery lata.
Proces konsultacji nowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa, który zakończył się w końcu ubiegłego tygodnia (24 maja) przebiegał znacznie spokojniej niż podobne dyskusje w niedawnej przeszłości nad kolejnymi wersjami tego aktu. Celem projektowanych przepisów jest przede wszystkim wdrożenia dyrektywy NIS2, co trzeba zrobić przed upływem 17 października 2024 r. Stąd m.in. resort cyfryzacji zastrzegał, że konsultacje na pewno nie zostaną przedłużone, mimo całej obszerności i złożoności zagadnień.
Z powodu wymagań, jaki nakłada w kwestii cyberbezpieczeństwa NIS2, nowelizowana ustawa w odróżnieniu do wcześniejszych wersji dotyczy znacznie szerszego spektrum zainteresowanych – szacuje się, że przepisy dotyczyć będą ponad 38,5 tys. polskich podmiotów z 18 branż. Jednak inaczej niż to wynikało z NIS z 2016 r., kiedy to państwa miało obowiązek zidentyfikować operatorów usług kluczowych, to obecnie każdy podmiot powinien sam przeprowadzić ewaluację i stwierdzić, czy musi wypełniać obowiązki nałożone dyrektywą NIS2 jako podmiot kluczowy lub ważny.
Wszyscy operatorzy telekomunikacyjni będą podlegać reżimowi KSC oraz NIS2 i mniejsi ISP mogą się tylko zastanawiać czy w świetle ustawy będą traktowani jako kluczowe czy ważne podmioty. W przypadku operatorów jedną z najważniejszych kwestii w nowelizowanej KSC jest sprawa dostawców wysokiego ryzyka, choć dotyczyć ona będzie też wszystkich innych z grona 38,5 tys. podmiotów, które będą podlegać przepisom ustawy.
Wiadomo, że chodzi tu o technologię chińskich firm, takich jak Huawei czy ZTE (choć w dokumencie oczywiście nie pada nazwa żadnego państwa czy firmy), na co oficjalnie zareagowała już np. Polsko-Chińska Główna Izba Gospodarcza SinoCham, która w połowie maja skrytykowała projektowane rozwiązania oraz sposób procedowania nowelizacji KSC. W jej opinii, projekt KSC klasyfikuje dostawców produktów, usług i procesów cyfrowych spoza Unii Europejskiej i członków NATO jako potencjalnych dostawców wysokiego ryzyka w oparciu o dyskryminujące, polityczne i niemierzalne kryteria.
– Zdaniem SinoCham projekt KSC znacząco odbiega od wymagań dyrektywy NIS2 wprowadzającej jednolite środki na rzecz wspólnego poziomu cyberbezpieczeństwa w całej UE. Należy zauważyć, że 27 państw członkowskich jest zobowiązanych do wprowadzenia jednolitych wymogów w zakresie bezpieczeństwa cybernetycznego. Zawarte w obecnym projekcie ustawy wyłączenia dotyczące dostawców wysokiego ryzyka (DWR) i klauzule dyskryminacyjne stosowane we wszystkich 18 branżach stanowią nadregulację, która podważa zasady jednolitego rynku UE. Jednocześnie projekt KSC nakłada na polskich przedsiębiorców znacznie większe obowiązki w stosunku do innych krajów UE oraz niż wymaga tego implementacja unijnej dyrektywy NIS2 – pisze w swym stanowisku izba.
Zwraca też uwagę, że zakres projektu KSC jest nadzwyczaj szeroki, a dołączona do projektu ustawy ocena skutków regulacji jest niepełna. Również koszty wdrożenia KSC są zupełnie nieznane wymienionym w projekcie branżom i podmiotom.
Zgodnie z projektowanymi przepisami wskazanie dostawcy (sprzętu lub oprogramowania) wysokiego ryzyka ma następować na skutek postępowania, które będzie mógł wszcząć minister właściwy do spraw informatyzacji, w celu ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego.
Na usunięcie takiego sprzętu lub oprogramowania podmioty uznane za kluczowe i ważne będą mieć siedem lat. Jednak przedsiębiorcy telekomunikacyjni, których roczne przychody z tytułu wykonywania działalności telekomunikacyjnej w poprzednim roku obrotowym były wyższe od kwoty 10 mln złotych, będą to musieli zrobić w cztery lata – przepis ten dotyczy urządzeń odpowiedzialnych za krytyczne usługi dla bezpieczeństwa sieci. A próg 10 mln zł przychodów osiąga już wielu średnich lokalnych ISP, co oznacza, że reżimowi temu podlegać będą nie tylko największe telekomy, np. budujące sieci 5G.
