Niewykluczone zresztą, że rozporządzenie w sprawie minimalnych środków technicznych, to nie jedyny zaplanowany w Polsce akt prawny do wdrożenia toolboksa (o czym dalej).
Uzasadnienie projektu rozporządzenia wskazuje, że wdrożenia zaleceń ENISA jest możliwe zarówno w postaci zestawu wytycznych wydawanych przez regulatora (tą drogą idą Niemcy) lub przepisów prawa. Elastyczność zatem jest duża, a żadna z dróg nie wyklucza innej, ponieważ ogólne przepisy mogą przyjąć rangę ustawową, a bardziej szczegółowe – kształt aktu wykonawczego, czy też wytycznych regulatora.
Projekt rozporządzenia w sprawie minimalnych środków został opublikowany jeszcze w październiku 2019 r., czyli około pół roku temu.
Tak, ale tematyka jest skomplikowana. Pojawiają się kolejne wersje. Niedawno został opublikowany projekt rozporządzenia z dnia 6 kwietnia 2020 r. a już mamy nowy projekt z dnia 22 kwietnia 2020, który jest przedmiotem konsultacji publicznych.
Wprowadzane są nowe rozwiązania, które często budzą poważne wątpliwości zarówno pod względem legislacyjnym, jak i merytorycznym. W szczególności dotyczy to regulacji, które dotyczyć mogą producentów sprzętu infrastruktury do świadczenia usług 5G.
Jeżeli pamiętam pierwszą wersję projektu rozporządzenia, to zapisy w zakresie bezpieczeństwa 5G wydawały mi się dosyć... miękkie.
Chyba bym się nie zgodził, ponieważ i tam była między innymi mowa o konieczności zabezpieczania ciągłości usług 5G poprzez tzw. roaming lokalny oraz pełną redundancję elementów infrastruktury. To zostało stanowczo oprotestowane przez operatorów i w kolejnej wersji projekt uległ modyfikacji, poprzestając na zaleceniach dotyczących dywersyfikacji dostaw sprzętu. W ostatniej wersji projektu mówi się już nie o „dywersyfikacji”, ale o „zagwarantowaniu braku uzależnienia od jednego producenta”.
W przypadku omawianego rozporządzenia, pomimo częstych zmian i kontrowersji, kierunek regulacji jest generalnie znany. Inaczej ze wspomnianym przeze mnie wcześniej projektem ustawy, która również może mieć związek z bezpieczeństwem sieci 5G, a o której mało wiadomo. Myślę o ustawie zmieniającej Prawo telekomunikacyjne, ustawę o krajowym systemie cyberbezpieczeństwa oraz – z nie do końca dla mnie jasnych powodów – ordynację podatkową.
Nie przypominam sobie takiego projektu.
Ponieważ jest to dopiero informacja (z ogólnymi wyjaśnieniem) w planie aktów prawnych rządu. Moja kancelaria prawna wystąpiła z formalnym pytaniem o ten projekt, ale dowiedzieliśmy się tylko, że obecnie jest przedmiotem prekonsultacji w gronie podmiotów uczestniczących w Kolegium ds. Cyberbezpieczeństwa.
Jakie są pana domysły, jeżeli chodzi o treść tej legislacji?
Nie wykluczam (chociaż to spekulacje), że właśnie ten akt zaimplementuje pewne elementy objęte toolboksem do polskiego porządku prawnego. Z uwagi na ostatnią wersję rozporządzenia z art. 175d Pt, o której rozmawialiśmy już wcześniej i pojawieniem się tam nowych rozwiązań, trudno mi jednak powiedzieć jak mogą kształtować się te nowe regulacje.