Projekt przepisów, które ustanowią operatora strategicznej sieci bezpieczeństwa mającego świadczyć usługi telekomunikacyjne m.in. dla kancelarii: Prezydenta RP, Sejmu, Senatu oraz Prezesa Rady Ministrów, doczekał się już dziewiątej wersji. Stanowi on nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC), nad którą resort cyfryzacji pracuje od 2020 r.
W tym czasie zasadniczy cel noweli, jakim jest zwiększenie poziomu cyberbezpieczeństwa w kraju, został przesłonięty przez inne wątki, które w kolejnych wersjach projektu budziły gorące kontrowersje. Na pierwszych etapach była to procedura uznawania producentów oprogramowania i urządzeń do budowy sieci telekomunikacyjnych za dostawców wysokiego ryzyka (HRV). Jej warunki oceniano w branży pod kątem ewentualnego wykluczenia z polskiego rynku chińskiej firmy Huawei - co wpisywało się w geopolityczny spór między Stanami Zjednoczonymi i ich sojusznikami a Państwem Środka.
- Procedura ta oraz wynikające z niej skutki nadal budzą istotne wątpliwości pod kątem ich zgodności z konstytucją oraz prawem unijnym (w tym z dyrektywą NIS2), ostatnia zaś wersja projektu niczego w tym zakresie nie poprawia - komentuje Damian Karwala, radca prawny z praktyki prawa własności intelektualnej i nowych technologii w kancelarii CMS.
Decyzję o uznaniu dostawcy za HRV będzie podejmował minister ds. informatyzacji.
- Określony sprzęt lub oprogramowanie pochodzące od dostawcy wysokiego ryzyka będą musiały zostać wycofane z użytkowania m.in. przez podmioty tworzące krajowy system cyberbezpieczeństwa. Rzecz jasna tego rodzaju nowy sprzęt lub oprogramowanie nie będą mogły być również wprowadzane do użytkowania. Wszystko to ma pomóc w ochronie bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego - tłumaczy mec. Karwala.
Prawo komunikacji elektronicznej, aukcja 5G najważniejsze dla branży telekomunikacyjnej w 2023 roku
Prawo komunikacji elektronicznej, aukcja 5G najważniejsze dla branży telekomunikacyjnej w 2023 roku

Zobacz również

5G i inne problemy

W trakcie prac legislacyjnych doszły kontrowersje wywołane przez uzupełnianie projektu o przepisy niezwiązane bezpośrednio z cyberbezpieczeństwem. Chodzi o planowane powołanie spółki Polskie 5G i operatora strategicznej sieci bezpieczeństwa (OSSB). Ta pierwsza miała być przedsięwzięciem państwowo-prywatnym, w którym podmioty państwowe miałyby większość. Firmy telekomunikacyjne krytykowały ten pomysł i w październiku ub.r. został on usunięty z projektu.
Pozostał w nim jednak, równie źle przyjęty przez branżę, nowy operator. OSSB ma uruchomić specjalną sieć telekomunikacyjną dla organów państwa i samorządu terytorialnego oraz służb mundurowych i ratowniczych, a potem nią zarządzać. Zostanie nim spółka Skarbu Państwa o odpowiednich kompetencjach w dziedzinie telekomunikacji. Przy czym z wypowiedzi Janusza Cieszyńskiego, sekretarza stanu ds. cyfryzacji w Kancelarii Prezesa Rady Ministrów, wynika, że najprawdopodobniej będzie to firma Exatel.
Najnowsza wersja noweli KSC, datowana na 17 stycznia br., ogranicza trochę grono klientów OSSB.
- Co prawda nadal istnieć ma obowiązek korzystania z usług telekomunikacyjnych świadczonych przez OSSB przez podmioty sektora publicznego, jednak coraz liczniejsza jest grupa podmiotów wyłączonych z tego rozwiązania - wskazuje Damian Karwala. Jak dodaje, do wcześniej już wyłączonych służb specjalnych (SKW i SWW) dołączyły również ABW, Agencja Wywiadu, CBA, a także Siły Zbrojne RP oraz jednostki podległe lub nadzorowane przez ministra obrony narodowej.
- Podmioty te będą mogły podjąć decyzję o korzystaniu z usług OSSB, będzie to jednak dobrowolne, a nie obowiązkowe - tłumaczy prawnik.
Piotr Mieczkowski, dyrektor zarządzający fundacji Digital Poland, uważa, że poprawki odnośnie do OSSB nie zmieniają istoty sprawy.
- Nadal brakuje porządnej oceny skutków regulacji pod tym względem - mówi. Przyznaje, że tego rodzaju sieć dla podmiotów zajmujących się ochroną publiczną i wspomaganiem w sytuacji katastrof jest potrzebna, gdyż zapewni służbom mundurowym i ratowniczym sprawną komunikację np. w razie wojny.
- Autorzy projektu nie oszacowali jednak, jak to wpłynie na polski rynek telekomunikacyjny, gdy OSSB przejmie obsługę sektora publicznego - podkreśla.
W ocenie skutków regulacji podano tylko, jakie będą wydatki państwa związane z wdrożeniem i utrzymaniem sieci strategicznej. Oszacowano je na przeszło 7,5 mld zł w ciągu 10 lat. Piotr Mieczkowski zastanawia się, czy przy tak wysokim finansowaniu publicznym nowy operator nie zacznie sztucznie obniżać cen, zwalczając prywatną konkurencję. Jego wątpliwości budzą też uprawnienia OSSB do częstotliwości z pasma 700 MHz.

KSC w stanie wojny

- Do pochodzącej ze stycznia wersji projektu dodano art. 3 ust. 2, którzy przesądza, że przepisy KSC mają znajdować zastosowanie „we wszystkich stanach gotowości obronnej państwa” - zaznacza Damian Karwala. Jak wyjaśnia - zgodnie z uzasadnieniem do projektowanych zmian - zapis ten „zapewni ciągłość realizacji kompetencji przez krajowy system cyberbezpieczeństwa w stanach pokoju, kryzysu i wojny”.
- Dla operatorów usług kluczowych istotna może być zmiana wprowadzona w ostatniej wersji projektu, zgodnie z którą infrastruktura SOC (Security Operations Center) musi być zlokalizowana na terenie Polski - dodaje Karwala. Jak tłumaczy, chodzi tu głównie (lecz nie tylko) o organizację funkcji SOC przez podmiot zewnętrzny.
W uzasadnieniu projektu czytamy, że zapewni to „możliwość skutecznej kontroli wykonywania obowiązków SOC, a także ograniczy wpływ podmiotów zagranicznych na funkcjonowanie SOC”.
- Dodatkowo w nowej wersji noweli przewidziano, że personel odpowiedzialny za obsługę SOC musi dysponować krajowym poświadczeniem bezpieczeństwa osobowego do klauzuli „poufne” - stwierdza Karwala.

Aukcja jednak bez KSC

Po agresji Rosji na Ukrainę rok temu kwestia cyberbezpieczeństwa jeszcze zyskała na znaczeniu, ale noweli KSC to nie pomogło. Prac nad projektem nie przyspieszyła też motywacja wynikająca z planów budowy ogólnopolskiej sieci komórkowej piątej generacji (5G), potrzebnej m.in. do rozwoju przemysłu 4.0.
Przez ponad dwa lata sprawa nowelizacji była bowiem ściśle związana z aukcją tzw. pasma C (3480-3800 MHz), czyli głównych częstotliwości na sieć 5G. Odpowiedzialny za przydział częstotliwości Urząd Komunikacji Elektronicznej od 2020 r. deklarował, że przystąpi do aukcji, kiedy projekt KSC zostanie przynajmniej zatwierdzony przez rząd. Chodziło o to, że zawiera on zapisy dotyczące bezpieczeństwa sieci, które regulator chciał uwzględnić w dokumentacji aukcyjnej.
Jednak w grudniu ub.r. stracił cierpliwość i rozpoczął konsultacje warunków aukcji bez nowego KSC. Jak nam wtedy wyjaśniał prezes UKE Jacek Oko, zdecydował się na to m.in. ze względu na sytuację ekonomiczną (zwłaszcza inflację cen energii), wojnę w Ukrainie i inne czynniki wpływające na rynek telekomunikacyjny.
Tymczasem nowela KSC znowu utknęła. Jeszcze w styczniu zanosiło się na to, że na początku lutego zostanie w końcu zatwierdzona przez Stały Komitet Rady Ministrów, a następnie zaakceptowana przez rząd. Według nieoficjalnych informacji DGP na ostatniej prostej kilka ministerstw zgłosiło jednak dodatkowe uwagi do projektu. KPRM ich dotychczas nie opublikowała. Podobne sygnały o rychłej finalizacji prac nad KSC pojawiały się już kilkakrotnie - i za każdym razem kolejny spór między resortami blokował drogę nowelizacji do Sejmu. ©℗
ikona lupy />
Krajobraz cyberzagrożeń / Dziennik Gazeta Prawna - wydanie cyfrowe
Etap legislacyjny
Projekt w pracach rządu