Aktualizacja 25.01 18:38
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz zmiana Prawa telekomunikacyjnego trafił na Komitet Rady Ministrów ds. Cyfryzacji.
---
Aktualizacja 15:12
Na stronie dawnego Ministerstwa Cyfryzacji opublikowana została także już nowa wersja projektu ustawy o krajowym systemie cyberbezpieczeństwa z datą 20 stycznia 2021.
---
Kancelaria Premiera Rady Ministrów opublikowała tabele do uwag jakie napłynęły do projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Z odniesień do nich, jakie naniosła KPRM, można wnioskować, jakie zmiany nastąpią w projekcie ustawy, chociaż poprawionej wersji projektu jeszcze nie opublikowano.
W odniesieniu do elektryzującej kwestii dostaw sprzętu dla sieci piątej generacji kluczowa jest (powtórzona wielokrotnie) odpowiedź resortu na składane przez różne podmioty uwagi:
Przepisy art. 66a-66c zostały zmienione. Procedura oceny ryzyka dostawcy sprzętu lub oprogramowania dla podmiotów krajowego systemu cyberbezpieczeństwa jest oparta o przepisy Kodeksu postępowania administracyjnego. Postępowanie administracyjne będzie wszczynane z urzędu przez ministra właściwego ds. informatyzacji lub na wniosek Kolegium ds. Cyberbezpieczeństwa. W ramach postępowania prowadzonego przez ministra właściwego ds. informatyzacji będzie mogła być wydana decyzja administracyjna w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Podstawą do wydania decyzji będzie stwierdzenie poważnego zagrożenia dla bezpieczeństwa narodowego ze strony dostawcy sprzętu lub oprogramowania. Dostawca wobec którego będzie prowadzona postępowanie o ryzyka zostanie poinformowany o wszczęciu postępowania. Ponadto dostawca będzie miał zapewniony dostęp do materiałów zgromadzonych w aktach spraw za wyjątkiem materiałów, które organ prowadzący sprawę wyłączy ze względu na ważny interes państwowy (art. 74 Kpa).
Zrezygnowano z poziomów ryzyka: niski, umiarkowany, brak zidentyfikowanego ryzyka.
Kolegium będzie wydawało opinię, która zostanie przekazana do ministra właściwego ds. informatyzacji. Zostaną określone w przepisach zadania poszczególnych członków Kolegium w zakresie przygotowywanych wkładów do opinii. Ponadto zostaną określone terminy oraz procedury opisujące wydanie przez Kolegium opinii.
W ramach postępowania będą badane aspekty techniczne i nietechniczne. Elementem postępowania może być analiza dotychczas wydanych rekomendacji na podstawie art. 33 ustawy o ksc. Jednocześnie podczas postępowania bada się aspekty nietechniczne związane z samym dostawcą m. in. prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, struktura własnościowa dostawcy sprzętu lub oprogramowania, zdolność ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania. Zrezygnowano z oceny prawodawstwa państwa pochodzenia dostawcy pod kątem ochrony praw człowieka.
Ponadto zmieniony został termin określony na wycofanie sprzętu lub oprogramowania od dostawcy sprzętu lub oprogramowania uznanego za dostawcę wysokiego ryzyka (z 5 na 7 lat). Natomiast przedsiębiorcy telekomunikacyjni sporządzający plany działań w sytuacji szczególnego zagrożenia będą musieli wycofać w ciągu 5 lat od wydania przez ministra właściwego ds. informatyzacji decyzji o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, sprzęt lub oprogramowanie wskazany w decyzji oraz wchodzący w ramach kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług określonych w załączniku do ustawy. Zakres funkcji krytycznych został dołączony do ustawy jako załącznik nr 3.
W zaproponowanych przepisach prawa nie ma mechanizmu nakazującego natychmiastowe wycofanie sprzętu lub oprogramowania wskazanego w ocenie ryzyka dostawców. Podmioty krajowego systemu cyberbezpieczeństwa, w tym operatorzy usług kluczowych, czy przedsiębiorcy telekomunikacyjni, zostaną zobowiązani do wycofania danego sprzętu lub oprogramowania w określonym czasie. W przekazanym projekcie jest mowa o 7 latach – termin ten jest często uznawany za średni okres użytkowania sprzętu lub oprogramowania, czyli tzw. cykl życia urządzenia. Z uwagi na wskazanie tak długiego okresu na wdrożenie decyzji o ocenie ryzyka, nie są planowane rekompensaty dla operatorów z uwagi na konieczność wycofania sprzętu lub oprogramowania od dostawców uznanych za dostawców wysokiego ryzyka.
W zasadzie ta odpowiedź dotyczy dwóch kwestii, czyli administracyjnego trybu wszczynania postępowania w sprawie uznania dostawcy za podmiot wysokiego ryzyka, oraz sporządzania opinii przez Kolegium ds. Cyberbezpieczeństwa, która formalnie nie ma mocy wiążącej.
Wprowadzenie trybu decyzji administracyjnej dla określenia wysokiego ryzyka dostawcy oznacza dla tego ostatniego również konkretną (choć zwykle odroczoną w czasie) możliwość odwołania.
Z punktu widzenia operatorów telekomunikacyjnych ważne jest wydłużenie do 7 lat czasu na wymianę rozwiązań dostawców generujących wysokiego ryzyko bezpieczeństwa. Minister cyfryzacji potwierdza jednak, że nie ma mowy o odszkodowaniach w związku z kosztami realizacji takiej decyzji.
W nowym projekcie zmienione zostaną także zasady wydawania tzw. ostrzeżeń i poleceń zabezpieczających (w przypadku stwierdzenia szkodliwego działania jakiegoś elementu infrastruktury). Jak w poprzedniej wersji, implikujące mniej poważne skutki „ostrzeżenia” będzie wydawał pełnomocnik rządu ds. cyberbezpieczeństwa. Poważniejsze z natury „polecenia” przyjmą formę decyzji administracyjnych ministra ds. informatyzacji.
Trudno stwierdzić, czy zmiany w projekcie – mimo uproszczeń i większej przejrzystości procedowania – realnie zmieniają możliwość wpływania władz kraju na to, kto będzie mógł budować sieci 5G (i nie tylko) w Polsce.