Nowela ustawy o Krajowym systemie cyberbezpieczeństwa
W zwiÄ…zku ze zbliżajÄ…ca siÄ™ aukcjÄ… na rozdysponowanie dla operatorów komórkowych czÄ™stotliwoÅ›ci niezbÄ™dnych do rozwoju sieci 5G w Polsce ważne sÄ… prace nad ustawÄ… o zmianie ustawy o krajowym systemie cyberbezpieczeÅ„stwa („Nowela”). Nowe propozycje zmiany przepisów w szczególnoÅ›ci dotyczÄ…ce tzw. dostawców wysokiego ryzyka („HRV” – High Risk Vendors ) budzÄ… wiele kontrowersji o charakterze regulacyjnym.
Dotychczas wiele krajów UE w różny sposób podjęło dziaÅ‚ania o charakterze prawnym zmierzajÄ…cym do okreÅ›lenia warunków technicznych jakie powinni speÅ‚niać dostawcy usÅ‚ug telekomunikacyjnych. Za przykÅ‚ad może posÅ‚użyć Austria, w której parlament wÅ›ród kryteriów oceny HRV (§ 45 austriackiej ustawy prawo telekomunikacyjne) przyjmujÄ…c przepisy zwraca uwagÄ™ na jakość dostarczanych produktów oraz Å‚aÅ„cuch dostaw. W szczególnoÅ›ci odnosi siÄ™ do ochrony danych zobowiÄ…zujÄ…c dostawców do podjÄ™cia Å›rodków technicznych i organizacyjnych w celu zapewnienia, że ​​dane użytkownika nie mogÄ… być przekazywane bezprawnie poza UE lub uzyskane bezpoÅ›rednio lub poÅ›rednio przez organizacje, instytucje lub wÅ‚adze tych krajów. W Niemczech z kolei nowela ustawy prawo telekomunikacyjne oraz ustawy o UrzÄ™dzie Federalnym ds. BezpieczeÅ„stwa Technologii Informacyjnych okreÅ›la katalog wymagaÅ„ bezpieczeÅ„stwa dziaÅ‚ania systemów telekomunikacyjnych i systemów przetwarzania danych oraz danych osobowych poprzez certyfikacjÄ™ tzw. komponentów krytycznych. WÅ‚asne rozwiÄ…zania w dziedzinie cyberbezpieczeÅ„stwa wypracowaÅ‚y także Finlandia, Szwecja czy Rumunia. Pytanie jakÄ… drogÄ™ obierze Polska?
Aktualnie w noweli proponowanej przez Ministerstwo Cyfryzacji nie ma rozwiÄ…zaÅ„, które pozwalaÅ‚by na wydanie decyzji dotyczÄ…cej HRV co do niektórych tylko produktów czy usÅ‚ug. Decyzja zakazujÄ…ca zakupu produktów od okreÅ›lonego dostawcy bÄ™dzie wydawana do wszystkich jego produktów, nawet tych które nie majÄ… żadnego znaczenia dla bezpieczeÅ„stwa infrastruktury telekomunikacyjnej. W praktyce oznaczać to bÄ™dzie caÅ‚kowite wykluczenie danego dostawcy z polskiego rynku w zakresie dostaw infrastruktury telekomunikacyjnej. Tymczasem decyzja powinna być adekwatna i proporcjonalna do istniejÄ…cych zagrożeÅ„ bezpieczeÅ„stwa. Co wiÄ™cej nie przewidziano także możliwoÅ›ci prawnej podjÄ™cia wÅ‚aÅ›ciwych Å›rodków zaradczych przez HRV, w szczególnoÅ›ci wezwanie dostawcy do usuniÄ™cia wskazanych zagrożeÅ„ z zakreÅ›leniem terminu do ich usuniÄ™cia, z zastrzeżeniem, że w razie ich nieusuniÄ™cia w okreÅ›lonym terminie zostanie wydana decyzja.
Nowela nie przewiduje także zarówno pod wzglÄ™dem formy, jak i procedury, rozwiÄ…zaÅ„, które pozwalaÅ‚by siÄ™ wypowiedzieć w kwestiach oceny dostawców przedstawicielom rynku telekomunikacyjnego. Tymczasem takie rozwiÄ…zania funkcjonujÄ… już w Finlandii i sÄ… przewidziane w projekcie ustawy w Austrii. PrzykÅ‚adowo mogÅ‚aby zostać powoÅ‚ana Rada ds. BezpieczeÅ„stwa Elektronicznych Sieci Komunikacyjnych , której zadaniem byÅ‚oby doradzanie w sprawach cyberbezpieczeÅ„staw oraz klasyfikowanie producentów elementów sieci jako HRV. Powstaje wiÄ™c pytanie, dlaczego w Polsce nie mogÄ… być stosowane rozwiÄ…zania takie jak Austrii, Niemczech czy Finlandii a powinny być stosowane takie jak w Szwecji czy Rumunii. Dotychczasowa praktyka legislacyjna w krajach UE w omawianym zakresie pokazuje, że każdy z krajów przyjmuje indywidualne rozwiÄ…zania.
Niniejszy tekst jest zmodyfikowanÄ… wersjÄ… artykuÅ‚u, który ukazaÅ‚ siÄ™ w Dzienniku Gazeta Prawna
Prof. dr hab. Maciej Rogalski