W obecnym kształcie projekt ustawy o krajowym systemie cyberbezpieczeństwa ingeruje istotnie w swobodę wykonywania działalności gospodarczej oraz prawo własności. Co więcej, wykracza on istotnie poza ramy 5G Toolbox. Skuteczna obrona tezy o dopuszczalności uchwalenia nowelizacji w tym kształcie wymaga nie tylko wykazania, że zaproponowane rozwiązania znajdują uzasadnienie w oparciu o przesłankę bezpieczeństwa publicznego i obronności, ale przede wszystkim, iż respektują one zasadę proporcjonalności. Obecna propozycja wydaje się nie spełniać tych wymogów, tak z perspektywy przepisów unijnych, jak i postanowień umów międzynarodowych.
Po ponad roku od opublikowania pierwszego projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa[i] (KSC) obecnie zapowiadana jest już szósta wersja tych przepisów. Projekt rozszerza katalog podmiotów krajowego systemu cyberbezpieczeństwa, wprowadza dobrowolne mechanizmy certyfikacyjne, a przede wszystkim nadaje ministrowi właściwemu do spraw informatyzacji uprawnienie do wydania decyzji administracyjnej w sprawie uznania określonego przedsiębiorcy za dostawcę wysokiego ryzyka w zakresie sprzętu lub oprogramowania. Identyfikacja takiego dostawcy będzie w praktyce oznaczała pozbawienie go możliwości dostarczania sprzętu elektronicznego na polski rynek. Wykluczenie będzie mogło dotyczyć praktycznie każdego producenta spoza obszaru UE lub NATO, dostarczającego produkty ICT dla branży energetycznej, transportowej, wydobywczej, farmaceutycznej – a więc nie tylko dla operatorów sieci telekomunikacyjnej działającej w technologii 5G. Jest to zasadnicza różnica w stosunku do regulacji wprowadzonych w innych państwach UE, które ograniczają się do infrastruktury sieci piątej generacji. Dlatego treść projektowanych rozwiązań rodzi wątpliwości w kontekście proporcjonalności wykluczenia, z perspektywy podstawowych zasad konstytucyjnych, ale również przepisów obowiązujących w Unii Europejskiej oraz umów międzynarodowych. Dotychczas w Polsce nie przeprowadzano tego rodzaju oceny w oparciu o kryterium pochodzenia w stosunku do żadnego przedsiębiorcy z branży ICT.
Przed przyjęciem tak istotnych środków dotyczących cyberbezpieczeństwa Polski, a także tak przełomowej technologii telekomunikacyjnej jaką jest 5G, warto więc odwołać się do przykładów obowiązujących w innych państwach Unii Europejskiej.
Z unijnego zestawu narzędzi służących ograniczaniu ryzyka, tzw. 5G Toolbox, ogłoszonego 29 stycznia 2020 r.,[ii] wynika przede wszystkim, że państwa członkowskie powinny w odniesieniu do eksploatacji i dostaw sprzętu do budowy sieci w technologii 5G zapewnić wprowadzenie środków gwarantujących odpowiednią i proporcjonalną reakcję na zidentyfikowane i przyszłe zagrożenia. Ewentualne ograniczenia mogą być nakładane zgodnie z podejściem opartym na analizie ryzyka.Jednocześnie, zgodnie z Komunikatem Komisji Europejskiej ogłoszonym razem z publikacją 5G Toolbox : „Ocena profili ryzyka dostawców powinna być przeprowadzana wyłącznie w oparciu o przesłanki bezpieczeństwa i na podstawie obiektywnych kryteriów”[iii]. Komisja Europejska zaproponowała więc rozwiązanie oparte głównie na połączeniu środków technicznych i strategicznych (regulacyjnych), a w mniejszym stopniu z odwołaniem do aspektów pozatechnicznych.
Tymczasem, w odróżnieniu od 5G Toolbox oraz przepisów wprowadzonych w większości wiodących gospodarczo państw UE, nowelizacja KSC skupia się przede wszystkim na kryteriach politycznych, związanych z pochodzeniem dostawcy. Wydaje się więc, że to oderwanie od pogłębionej analizy kryteriów technicznych dotyczących samego sprzętu i skupienie na cechach podmiotowych producenta może spowodować, że KSC nie spełni swoich podstawowych celów w zakresie cyberbezpieczeństwa. Z prawnego punktu widzenia stwarza to natomiast ryzyko naruszenia postanowień umów międzynarodowych zakazujących dyskryminacji ze względu na państwo pochodzenia przedsiębiorcy. Istnieją poważne podstawy do przyjęcia dyskryminacyjnego charakteru wykluczenia, motywowanego przede wszystkim pobudkami politycznymi, a nie zasadniczym celem, jakim jest zapewnienie cyberbezpieczeństwa sieci telekomunikacyjnych w Polsce.
Co istotne, zakres oddziaływania ewentualnej decyzji o wykluczeniu będzie niezwykle szeroki, gdyż jej potencjalnym adresatem będzie mógł być każdy dostawca spoza UE lub NATO oferujący sprzęt, oprogramowanie oraz procesy ICT podmiotom krajowego systemu bezpieczeństwa, do których można zaliczyć m. in.:
- operatorów usług kluczowych, takich jak choćby podmioty lecznicze lub wytwórcy leków, a nawet apteki;
- dostawców usług cyfrowych, takich jak usługi chmurowe, internetowe platformy handlowe albo wyszukiwarki internetowe;
- czy też jednostki i zakłady budżetowe[iv].
Jest to istotna różnica w porównaniu z regulacjami zaproponowanymi przez Komisję Europejską oraz uchwalonymi dotychczas w państwach Unii Europejskiej, które odnoszą się przede wszystkim do infrastruktury wykorzystywanej do świadczenia usług telekomunikacyjnych w technologii 5G.
PRZYPISY
[i] Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy Prawo telekomunikacyjne z dnia 4 marca 2021 r. (numer z wykazu UD68), https://legislacja.gov.pl/docs//2/12337950/12716624/12716625/dokument493122.pdf(30.09.2021 r.)
[ii] Cybersecurity of 5G networks EU Toolbox of risk mitigating measures: https://digital-strategy.ec.europa.eu/en/library/cybersecurity-5g-networks-eu-toolbox-risk-mitigating-measures (30.09.2021 r.)
[iii] Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów - Bezpieczne wprowadzanie sieci 5G w UE – wdrażanie unijnego zestawu narzędzi (COM/2020/50 final), https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:52020DC0050(30.09.2021 r.)
[iv] Art. 4 pkt 1) Ustawy o krajowym systemie cyberbezpieczeństwa, Dz.U. z 2018 r. poz. 1560 (t.j. Dz.U. z 2020 r. poz. 1369, ze zm.)