Aktualizacja 21.10.2020 19:13
Dzisiaj opublikowane zostały kolejne stanowiska i opinie konsultacyjne. Pojawiły się pisma m.in. Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji, Krajowej Izby Komunikacji Ethernetowej, T-Mobile, czy Exatela.
Zwraca uwagę stanowisko Federacji Konsumentów, która wskazuje, że dodatkowe koszty nowych obowiązków operatorskich na rzecz cyberbezpieczeństwa mogą zostać przerzucone na klientów końcowych. Organizacja postuluje wydłużenie do 10 lat czasu na wycofanie (w razie takiej dyspozycji) produktów dostawców wysokiego ryzyka.
Zwraca również uwagę, że kryterium kraju pochodzenia dostawców jest niestabilną przesłanką, ponieważ transakcje kapitałowe mogą łatwo zmienić status quo. Zdaniem Federacji, lepsze byłyby takie mechanizmy, jak certyfikacja produktów, promowanie otwartych technologii sieciowych, czy dywersyfikacja dostaw.
---
Rządowe Centrum Legislacji opublikowało opinie i stanowiska jakie napłynęły w konsultacji projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa [KSC]. Nowelizacja dokona istotnych zmian w systemie kontroli cyberryzyka w polskim systemie teleinformatycznym oraz wprowadzi instytucję „dostawców wysokiego ryzyka” i ograniczenia w korzystaniu z ich rozwiązań.
Na liście jest na razie niewiele stanowisk podmiotów reprezentujących branżę telekomunikacyjną (wedle naszych informacji nie opublikowano jeszcze wszystkich przekazanych opinii). Pośród nielicznych przywołać można np. stanowisko Krajowego Sekretariatu Łączności NSZZ Solidarność (które można uznać za reprezentację pracowników Orange Polska).
Wskazuje ona na kolizję planowanych zmiana w KSC z innymi aktami prawnymi: przede wszystkim opracowywanym Prawem komunikacji elektronicznej [PKE], a poniekąd również rozporządzaniem w sprawie warunków technicznych (z którym, co prawda, koliduje już samo PKE). Zdaniem KSŁ, włączanie telekomów do krajowego systemu ustawą KSC jest niepotrzebne, ponieważ przedsiębiorcy telekomunikacyjni pełnią tę rolę na mocy zapisów Prawa telekomunikacyjnego dzisiaj i PKE w przyszłości. Funkcję koordynacji pomiędzy telekomami, a różnymi CSIRT (ang. Computer Security Incident Response Team), jakie konstytuuje ustawa o KSC, może z powodzeniem pełnić Prezes UKE.
Podobna opinia pojawia się także w stanowisko Polskiej Izby Komunikacji Elektronicznej, która również punktuje konkretne niespójności pomiędzy projektami ustaw KSC i PKE. Izba wyraża również obawę o nowe uprawnienia Kolegium i Pełnomocnika Rządu ds. Cyberbezpieczeństwa, którzy mocą opinii, ostrzeżeń oraz poleceń zabezpieczających zyskują zupełnie nowy (i przemożny) wpływ na działania przedsiębiorców telekomunikacyjnych, regulując dla nich katalog dostępnych rozwiązań technologicznych.
Odnosi się do tego również stanowisko KSŁ NSZZ Solidarność, które wnosi o wprowadzenie mechanizmu technicznej certyfikacji dopuszczonych do eksploatacji rozwiązań, precyzyjnych szacunków, jakie są koszty wprowadzanych ograniczeń i jakie korzyści dla bezpieczeństwa informatycznego wnoszą. Solidarność wskazuje również, że nowelizacja KSC opóźnia rozpoczęcie aukcji pasma 3400-3800 MHz potrzebnego do budowy sieci 5G.
Prezes Urzędu Komunikacji Elektronicznej w swoim stanowisko również zwraca uwagę na kolizję Pt/PKE z ustawą o KSC, ale mniej to kontestuje, a bardziej postuluje o uspójnienie mechanizmów, w tym działanie nowego CSIRT Telco.
Pośród dotychczas opublikowanych opinii są także stanowiska Biura Bezpieczeństwa Narodowego oraz Agencji Wywiadu, które co do zasady w pełni popierają nowe mechanizmy KSC, proponując pewne modyfikacje zaproponowanych zapisów – na przykład: rozstrzygnięcie, czy dopuszczalne byłoby tymczasowe użytkowanie produktów „dostawcy wysokiego ryzyka”, gdyby w trybie weryfikacji jego status miał ulec złagodzeniu?
W konsultacjach pojawiło się również szereg opinii organizacji non-profit na ogół kwestionujące nowelizację KSC. NASK PIB przedstawił opinię koncentrującą się na potrzebie zwiększenia budżetu jednostki w związku z czekającymi ją nowymi zadaniami w krajowym systemie cyberbezpieczeństwa.