Gdyby rządowi faktycznie zależało na uchwaleniu i wejściu w życie KSC, mógł to zrobić dwa lata temu i mógł to zrobić rok temu - mówi Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji.
Wiemy już, że projekt trafi na wysłuchanie publiczne 11 września. Trudno mi dzisiaj cokolwiek przesądzać, ale wydaje się, że to poważnie obniża możliwość przyjęcia tej ustawy przed wyborami.
Niedobrze by było natomiast, gdyby utrzymywał się stan niepewności. Bo to nie jest tak, że nowelizacja KSC dopiero będzie miała wpływ na branżę telekomunikacyjną. Ona już ma wpływ. Gdy rządzący mówią o swoich zamiarach, to natychmiast wpływa na biznes, który słucha bardzo uważnie. Jeśli chodzi o KSC, to słuchamy o tym projekcie od 2020 r. Wreszcie 6 czerwca tego roku Rada Ministrów go przyjęła.
Ta władza potrafi podjąć decyzję w jeden dzień. Prawie trzy lata prac nad tą ustawą pokazało nam, że wszystko może się zdarzyć i niczego nie da się przewidzieć. Pewne jest, że gdyby rządowi faktycznie zależało na jej uchwaleniu i wejściu w życie, mógł to zrobić dwa lata temu i mógł to zrobić rok temu. Nie mamy pojęcia, dlaczego tak długo to trwało, i tylko rezygnacja z notyfikacji przepisów do KE dawała szansę, żeby się wyrobić w tej kadencji.
Przez ostatnie trzy lata w izbie obserwowaliśmy, jak firmy intensywnie czytały kolejne stustronicowe edycje projektu – jest ich już chyba 13 – żeby przygotować się do wdrożenia nowych przepisów.
Korzystne dla branży cyfrowej może być dopełnianie systemu kompleksowo podchodzącego do kwestii cyberbezpieczeństwa w Polsce. Dobrze oceniamy też podejście oparte na analizie ryzyka w miejsce szczegółowych wymogów, a także plany współpracy różnych podmiotów w tej dziedzinie.
Nie jest to jednak ustawa, która wspiera operatorów – KSC raczej nakłada obowiązki. Trudno to więc nazwać ułatwieniem w prowadzeniu działalności gospodarczej. To jest obciążenie. Na przykład branża za nierealny uważa wymóg raportowania incydentów bezpieczeństwa w ciągu zaledwie 8 godzin, podczas gdy wszystkie inne podmioty mają na to 24 godziny.
Mają podnieść ogólny poziom cyberbezpieczeństwa.
Dla użytkowników indywidualnych czy biznesowych zmiana nie będzie wyraźnie odczuwalna. Wierzymy, że ogólnie poprawi się bezpieczeństwo klientów, ale to rzecz trudniejsza do zmierzenia. Każda dyskusja o cyberbezpieczeństwie poprawia też świadomość użytkowników, co zawsze jest pozytywne.
Zdecydowanie bez. Rynek telekomunikacyjny w Polsce jest jednym z najbardziej konkurencyjnych w Europie. Do tego jest mocno regulowany – operatorzy uważają, że przeregulowany. Przede wszystkim biznes musi wiedzieć, w jakim otoczeniu prawnym działa, czego wymagają od niego regulatorzy. Niedobrze jest, gdy np. decyzje inwestycyjne podejmuje się w sytuacji niepewnej informacji – bo są wtedy nieoptymalne. A pamiętajmy, że obecnie branża funkcjonuje i próbuje utrzymać atrakcyjne oferty cenowe w warunkach wysokiej presji inflacyjnej, rosyjskiej agresji na Ukrainę, kryzysu energetycznego i podnoszenia się gospodarki po pandemii.
Nie jestem w stanie odpowiedzieć, jak to rozumiem, bo nie rozumiem. Rzecz jest kuriozalna. Najpierw będzie się trzeba dostosować do przepisów obecnie procedowanej noweli KSC, a niedługo później do nowych wymagań wynikających z NIS2. Dam pani przykład, który to obrazuje. W obecnym stanie prawnym wszystkie raporty są przesyłane przez operatorów do UKE. Projekt KSC zakłada powstanie sektorowego CSIRT Telco. Zapewne zostanie on zorganizowany w UKE pod koniec 2025 r. W międzyczasie incydenty bezpieczeństwa będzie trzeba zgłaszać do CSIRT NASK. To nie jest stabilna sytuacja. Takie rozedrganie w obszarze bezpieczeństwa, który powinien być szczególnie stabilny.
Jako izba gospodarcza uczestniczyliśmy w konsultacjach tego projektu. Potem przekazywaliśmy swoje stanowiska do niemal każdej kolejnej wersji. Ale nikt nam nie wyjaśnił, dlaczego wybrano akurat takie rozwiązanie. Mogę jedynie spekulować, że „tak wyszło”, bo nowelizację procedowano tak długo, że w międzyczasie weszła w życie dyrektywa NIS2, a później zabrakło woli, by to odkręcić.
Do wysłuchania publicznego mamy jeszcze czas na decyzję o naszym stanowisku. Ogólnie mogę natomiast powiedzieć, że w pierwszej kolejności za słuszne uznalibyśmy usunięcie przepisów, które już w najbliższej przyszłości i tak będą musiały być zmienione, z uwagi właśnie na wdrożenie NIS2. Przede wszystkim dotyczy to fragmentarycznego włączenia telekomunikacji do krajowego systemu cyberbezpieczeństwa – w sytuacji, w której kompleksowe rozwiązanie przewiduje już dyrektywa. Nasza propozycja była jasna, wdrożenie EKŁE powinno bazować na rozwiązaniach z ustawy – Prawo telekomunikacyjne, a włączenie telekomunikacji i zmiany organizacji KSC powinny dokonać się w ramach kompleksowej transpozycji NIS2. Bardzo chętnie zaczniemy nad nimi pracę i dialog.
W odniesieniu do KSC za dobre uważamy usunięcie na ostatniej prostej polecenia zabezpieczającego, czyli decyzji, w której nakazane mogły być takie zachowania jak zaprzestanie używania określonego sprzętu lub dokonanie określonych konfiguracji. Te zapisy rodziły bardzo duże ryzyko nagłej ingerencji w działalność operatorów, a także innych podmiotów krajowego systemu cyberbezpieczeństwa, bez wystarczającej refleksji nad skutkami. A te mogłyby być fatalne. Rolą państwa w tym przypadku powinno być monitorowanie i pomoc, a nie ręczne sterowanie.
Branża musi się przygotować finansowo do budowy nowej sieci 5G po aukcji. W tym kontekście oczekujemy zrozumienia u rządzących – w kwestii wsparcia tych inwestycji ze środków Krajowego Planu Odbudowy lub innych środków publicznych. Oczekujemy obecnie na publikację zrewidowanego KPO, którego projekt zakładał usunięcie mechanizmów wsparcia sieci 5G. Uzasadniano to wysokim poziomem zobowiązań w aukcji, które jednak w międzyczasie zrewidowano. Dlatego jesteśmy gotowi do dalszej dyskusji o możliwych warunkach takiego wsparcia i poprawiania jakości oraz zasięgu nawet poza zobowiązania aukcyjne.
Częściowo znajdujemy tu zrozumienie. Sieć komórkowa, która powstanie w paśmie C, jest ważna dla branży i dla całej gospodarki. Usługi 5G zwiększą bowiem jej konkurencyjność i przyspieszą rozwój. Internet rzeczy, projekty inteligentnych miast i wsi, edukacja – to wszystko rozwinie się dzięki nowej sieci. Wprawdzie w miastach 5G już działa, ale znaczenie gospodarcze będzie miała ta docelowa sieć, umożliwiająca masowe zastosowanie w przemyśle i rolnictwie.
Aukcja ma potrwać 150 dni. Przez kolejny rok będziemy dochodzić do pierwszego wyznaczonego przez UKE poziomu parametrów sieci.
Z natury jestem optymistą. Przez ostatnie trzy lata wierzyłem, że aukcja wkrótce ruszy. Owszem, wiem o wątpliwościach prawnych. Słuchałem też uważnie prezesa Oko i ministra Cieszyńskiego mówiących, że są świadomi zastrzeżeń i mają analizy prawne, które umacniają ich w przekonaniu, iż wszystko się wydarzy bez nadzwyczajnej zwłoki i utrudnień prawnych. Zobaczymy. Trzymam kciuki, żeby aukcja się udała.
Wszyscy dostawcy rozwiązań teleinformatycznych są zainteresowani, żeby nowa sieć powstała, bo jako rynek wszyscy na tym zyskujemy. Wisi nad nami jednak pytanie o dostawcę wysokiego ryzyka – choć żadna firma nie jest tu wymieniona z nazwy. Ustawa wprowadza mechanizm oceny. O nim zawsze można dyskutować. Faktem jest jednak, że od pierwszej wersji ustawy wprowadzono w nim kilka pozytywnych zmian, a zalecenia unijne i działania innych krajów wskazują, że narzędzia prawne warto mieć. To, czy i jak zostaną wykorzystane, to już zupełnie inna historia. ©℗