W żadnym państwie UE nie ma tak groźnych dla przedsiębiorców przepisów dotyczących tzw. Dostawcy Wysokiego Ryzyka (DWR), jakie planuje wprowadzić polskie Ministerstwo Cyfryzacji. Pomysłodawca polskiego rozwiązania DWR, czyli Janusz Cieszyński, w swoim wpisie na X (z 23.10.2024) na temat DWR posługuje się chińską flagą, a projektowane przepisy wyraźnie gorzej traktują dostawców spoza krajów UE i NATO od pozostałych (art. 67b ust. 11 pkt 2 KSC). W sytuacji, gdy z nowego Raportu Krajowej Izby Komunikacji Ethernetowej wynika, że sprzęt chiński (czyli spoza krajów UE i NATO) dominuje w sieciach MŚP, nie mogę czekać z krytyką, aż decyzja DWR zostanie wydana. Wpływ przedsiębiorców na kształt wydawanych w przyszłości decyzji DWR będzie bowiem iluzoryczny. Ich udział w postępowaniu zostanie ograniczony w sposób bezprecedensowy w polskim systemie prawnym.
(Odpowiedź Karola Skupnia, na komunikat Ministerstwa Cyfryzacji z 29.10.2024 r.)
Największym problemem z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC), w kontekście DWR, jest skrajna nadregulacja i oderwanie projektowanych przepisów od realiów cyberzagrożeń.
- Jeżeli jakiekolwiek państwo UE wprowadziło rozwiązania dotyczące DWR w sieciach telekomunikacyjnych, dotykają one wyłącznie sieci 5G – to w Polsce dotkną wszystkich sieci (w tym stacjonarnych) i wszystkich technologii.
- Istniejące rozwiązania DWR w państwach UE są różnorodne, przykładowo:
- w Niemczech rząd usiadł do stołu z operatorami i wspólnie zidentyfikowano krytyczne funkcje sieci 5G, których nie będzie mógł obsługiwać DWR. Doszło do rzeczywistego, a nie fasadowego dialogu z przedsiębiorcami, jak w Polsce. A jest to zarzut zarówno do poprzedniego, jak i obecnego ministra cyfryzacji, ponieważ kształt przepisów DWR w projekcie poprzedniego, jak i obecnego ministra jest niemal identyczny i zarazem „teflonowy”, tj. całkowicie odporny na rozpaczliwe protesty operatorów;
- w Finlandii rząd wspólnie z operatorami wypracował, co jest krytyczne i podlega ewentualnemu wykluczeniu, w sposób jasny i transparentny, bez geopolityki. Z kolei w Polsce nie tylko wyłącza się możliwość zindywidualizowanej reakcji operatora na uznanie dostawcy za DWR, lecz również przesądzono, że zdecydowana większość operatorów będzie pozbawiona prawa głosu w postępowaniu DWR (art. 67b ust. 2 i 4 KSC).
- Obowiązek wycofania sprzętu i oprogramowania z użytkowania może dotyczyć nawet takich rozwiązań, w przypadku których nie zidentyfikowano żadnej poważnej podatności ani poważnego cyberzagrożenia lub incydentu.
Jeżeli dostawca DWR obciążony jest wyższym ryzykiem od pozostałych, operator może być rozliczany z tego, jak ‒ w świetle tego ryzyka ‒ zabezpiecza sieć. Operator powinien jednak samodzielnie decydować o tym, jaka reakcja będzie najbardziej adekwatna w przypadku jego sieci. Przykładowo, gdy sprzęt pełni cztery funkcje, z których jedna wiąże się z istotnym cyberzagrożeniem, tę jedną wadliwą funkcję można najczęściej wyłączyć lub odizolować od sieci, a usuwanie całego sprzętu nie zawsze jest niezbędne. Trzeba też sobie uświadomić, że gdy sprzęt jest rzeczywiście obciążony podatnościami, żaden operator nie będzie czekał kilka lat, aby go usunąć lub odpowiednio odizolować. Zrobi to niezwłocznie.
Warto przyjrzeć się logice projektowanego postępowania DWR.
- Decyzję DWR będzie wydawał minister cyfryzacji. Przed wydaniem decyzji zasięgnie opinii Kolegium ds. Cyberbezpieczeństwa (art. 67b ust. 10 KSC). Podkreślmy: zasięgnie opinii. Nie jest konieczne np. uzyskanie czyjejkolwiek zgody (art. 67b ust. 10 KSC). Opinia ta ilustruje (art. 67b ust. 11 KSC), jakie okoliczności będą brane pod uwagę przy ocenie, czy dostawca stanowi „poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi” (art. 67b ust. 15 KSC).
- Do uznania dostawcy za DWR nie będzie konieczne ani wykrycie poważnej podatności, ani zaistnienie poważnego incydentu za sprawą sprzętu lub oprogramowania takiego dostawcy. Przepisy nie zawierają takiego wymogu. Podatności i incydenty będą analizowane, jednak nie nadano im priorytetowego charakteru.
- W przypadku dostawców z państw spoza krajów UE i NATO (i tylko w ich przypadku) w opinii Kolegium analizowane będą przepisy dotyczące relacji pomiędzy państwem dostawcy a dostawcą, czy też praktyki w tym zakresie(art. 67b ust. 11 pkt 2 KSC).