Resort cyfryzacji poucza prezesa KIKE w kwestii dostawców wysokiego ryzyka

Ministerstwo Cyfryzacji zdecydowało się odnieść do wypowiedzi prezesa Krajowej Izby Komunikacji Ethernetowej (KIKE) Karola Skupnia i wyjaśnić mu kwestię dostawców wysokiego ryzyka (DWR) w  projekcie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Resort kolejny raz podkreśla, że wprowadzone przepisy mają zapewnić bezpieczeństwo państwa oraz ochronę porządku publicznego, a nie eliminację jakichkolwiek dostawców z rynku.

Ministerstwo przypomina też, że Projekt nowelizacji ustawy implementuje unijną dyrektywę NIS2, która nakłada na wszystkich przedsiębiorców telekomunikacyjnych, w tym dostawców usług dostępu do internetu, obowiązki z zakresu cyberbezpieczeństwa. A w ramach tego procesu przedsiębiorcy muszą brać pod uwagę zagrożenia związane z dostawcami sprzętu i oprogramowania, co wpisuje się w nowoczesny model zarządzania bezpieczeństwem łańcucha dostaw.

Kluczowym elementem nowych przepisów jest wprowadzenie instytucji dostawcy wysokiego ryzyka, która umożliwi organom państwa eliminację z rynku niebezpiecznego sprzętu i usług.

Dostawcą wysokiego ryzyka jest dostawca sprzętu lub oprogramowania, który stwarza poważne zagrożenie dla bezpieczeństwa państwa, obronności, bezpieczeństwa i porządku publicznego lub zdrowia i życia ludzi. Chodzi więc o identyfikację dostawcy, który w najbardziej istotny sposób zagraża Państwu Polskiemu i jego obywatelom. Za dostawcę wysokiego ryzyka może być uznany podmiot działający w Unii Europejskiej, jak i poza UE, niezależnie od pochodzenia kapitału – wyjaśnia ministerstwo.

I dodaje, że proces ten jest dokładnie uregulowany i wymaga przeprowadzenia sformalizowanej, wieloetapowej procedury administracyjnej, w ramach której dostawca będzie miał możliwość przedstawienia swoich argumentów. Decyzję administracyjną o uznaniu za dostawcę wysokiego ryzyka podejmuje Minister Cyfryzacji po zasięgnięciu opinii Kolegium do Spraw Cyberbezpieczeństwa.

Z kolei opinia Kolegium dotyczy kompleksowej oceny dostawcy sprzętu lub oprogramowania, wobec którego wszczęto postępowanie. Obejmuje ona aspekty techniczne, jak analiza podatności występujących w sprzęcie i oprogramowaniu dostarczanym przez dostawcę, jak i nietechniczne, takie jak wpływ państwa pochodzenia na działalność dostawcy.

Resort przypomina też, że projekt nie przewiduje automatycznego wycofania sprzętu lub oprogramowania, a wszelkie decyzje będą miały charakter zindywidualizowany. Okres na dostosowanie się do nowych przepisów wynosi do 7 lat, co daje czas na odpowiednią adaptację i uniknięcie negatywnych skutków dla małych i średnich przedsiębiorstw telekomunikacyjnych. Obowiązek wycofania sprzętu lub oprogramowania nie dotyczy przedsiębiorców komunikacji elektronicznej, których przychody nie przekraczają 10 mln złotych.

Projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa wprowadza możliwość dobrowolnej certyfikacji sprzętu i oprogramowania pod kątem cyberbezpieczeństwa. Jest to zgodne z unijnym Aktem o cyberbezpieczeństwie. Natomiast unijne wytyczne w zakresie cyberbezpieczeństwa sieci 5G wskazują na konieczność analizy również aspektów nietechnicznych związanych z dostawcami sprzętu i oprogramowania. Oparcie się więc na certyfikacji nie jest wystarczające – zauważa ministerstwo.

Ministerstwo Cyfryzacji zapewnia też, że  jest otwarte na dialog i współpracę ze wszystkimi zainteresowanymi stronami, w tym z przedstawicielami branży telekomunikacyjnej.