Krajowa Izba Komunikacji Ethernetowej przygotowała i przesłała do Ministerstwa Cyfryzacji stanowisko do konsultacji projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa. Proponowane przepisy ocenia krytycznie podkreślając, że wdrożona ustawa będzie miała niebagatelny wpływ nie tylko na działalność dostawców sprzętu, technologii i oprogramowania wykorzystywanego w sieciach telekomunikacyjnych, ale także na działalność samych operatorów telekomunikacyjnych zrzeszonych w izbie.
Według KIKE ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) w ogóle nie powinna mieć zastosowania do operatorów telekomunikacyjnych, szczególnie z segmentu małych i średnich przedsiębiorców.
Izba obawia się, że zbyt duże uprawnienie zyska też Kolegium ds. Cyberbezpieczeństwa, które będzie mogło arbitralnie wywierać wpływ na danego dostawcę decydując o tym, czy jego sprzęt lub oprogramowanie będzie mogło być użytkowane w Polsce czy nie. Jest to według KIKE uprawnienie leżące poza kompetencjami opiniodawczo-doradczymi.
Krytykuje też przepis, że przy wydawaniu oceny Kolegium ma się kierować m.in. tym, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego. Izba uważa, że projektowane przepisy KSC wymieniają nieobiektywne przesłanki niemożliwe do zweryfikowania bez podejmowania nadzwyczajnych środków kontrolnych.
– Nie jest zrozumiałe, dlaczego pod uwagę mają być brane indywidualne cechy dostawcy, a pomijane będą najistotniejsze z punktu widzenia cyberbezpieczeństwa aspekty informatyczno-technologiczne. W infrastrukturze wykorzystywane są również urządzenia pasywne, co do których z punktu widzenia cyberbezpieczeństwa bez znaczenia jest, od jakiego są dostawcy. Konkludując, na podstawie opinii organu opiniodawczo-doradczego nie można zakazać korzystania z określonych urządzeń telekomunikacyjnych czy oprogramowania bez możliwości realnej obrony przed taką opinią przez zainteresowane podmioty, w tym przedsiębiorców telekomunikacyjnych, którzy będą zmuszeni ewentualnie ponieść koszt wymiany urządzeń dostawcy objętego oceną – uważa KIKE.
Dlatego KIKE postuluje m.in.o zapewnienie przejrzystego postępowania w tym zakresie, w oparciu o obiektywne, konkretne i niebudzące wątpliwości kryteria, w szczególności kryteria informatyczno-technologiczne, które powinny być nadrzędne przy podejmowaniu decyzji o wyłączeniu z rynku danego sprzętu. Uważa także za niezbędne zapewnienie dostawcy sprzętu, którego dotyczy postępowanie, możliwości czynnego udziału w każdym stadium postępowania.
KIKE zwróciła się również o przygotowanie odrębnej opinii w przedmiocie oceny zgodności z Konstytucją projektu ustawy o zmianie ustawy – o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych do dr hab. Mariusza Bidzińskiego, prof. Uniwersytetu SWPS. Także on odniósł się krytycznie do projektownaych zmian. Uważa on je jako niezgodne z Konstytucją, bowiem klauzula demokratycznego państwa prawnego i wynikająca z niej zasada zaufania obywatela do państwa nakładają na ustawodawcę obowiązek takiego formułowania nowych przepisów (...), które szanuje tzw. interesy w toku, a więc przedsięwzięcia gospodarcze i finansowe rozpoczęte pod rządami przepisów poprzednich.
W jego opinii, projektowana procedura ocenna, która może być wszczęta w stosunku do dostawców sprzętu i oprogramowania, została oparta na niejasnych i uznaniowych kryteriach. Rozwiązanie takie godzi bezpośrednio w zasadę przyzwoitej legislacji określoną w Konstytucji. Sprzeczne z nią byłoby także postępowanie ocenne prowadzone w całości Kolegium – bez udziału dostawcy,
Według prawnika z SWPS, procedura oceny ryzyka dostawców wymaga gruntownych poprawek legislacyjnych, co dyskwalifikuje je na obecnym etapie z dalszych prac, zaś ewentualne jego uchwalenie skutkować będzie daleko idącymi negatywnym i konsekwencjami w wielu obszarach społecznych i ekonomicznych.
