Ministerstwo Cyfryzacji opublikowało 18. wersję projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. To jednak pierwszy projekt nowego rządu. Ma on wiele wspólnego z wcześniej procedowanymi wersjami, ale także bardzo wiele zmian, chociażby dlatego, że implementuje unijną dyrektywę NIS2, którą poprzednie projekty pomijały.
Pobieżna lektura nowego projektu wskazuje, że przedsiębiorcy telekomunikacyjni – w porównaniu do poprzednich wersji – są ujęci mniej szczegółowo. Mniej jest odwołań do obowiązków tak zdefiniowanych podmiotów i mniej o organach je regulujących. Usunięto projekt stworzenia sektorowego CSIST Telco. Oczywiście operatorzy telekomunikacyjni nadal pozostają podmiotem regulacji KSC, ale bardziej jako dostawcy usług „kluczowych i ważnych”.
Jeżeli chodzi o kwestie, które do tej pory wywoływały najwięcej kontrowersji na rynku telekomunikacyjnym, to z nowego projektu wykreślono projekt budowy Operatora Strategicznej Sieci Bezpieczeństwa, który miałby uzyskać monopol na (teoretycznie) część usług łączności dla podmiotów sektora publicznego, jak również uzyskać zasoby radiowe w paśmie 700 MHz do budowy nowej sieci mobilnej na użytek porządku i bezpieczeństwa publicznego.
Pozostał natomiast (co nie budzi zdziwienia) zapis o tzw. dostawcach wysokiego ryzyka (DWR), których produkty mogą być uznane za niepożądane w krajowych systemach teleinformatycznych. Jak poprzednio, odpowiedzialność za określanie statusu DWR spoczywa na ministrze właściwym ds. informatyzacji. W nowej wersji projektu uwzględniona została w większym stopniu opinia izb gospodarczych oraz Prezesa UOKiK.
Przedsiębiorcy telekomunikacyjni zostają zobowiązani do usunięcia w ciągu 4 lat – a nie 5 lat, jak wcześniej – produktów DWR ze swojej infrastruktury. I co – szczególnie istotne – obowiązek ten obejmuje dostawców o rocznych obrotach powyżej 10 mln zł, czyli także mniejsi operatorzy. Z drugiej strony do postępowania w sprawie określenia DWR na prawach strony nadal mogą przystępować tylko duże podmioty z sektora telekomunikacyjnego (tj. o obrotach stanowiących „dwudziestotysięcznej krotności przeciętnego wynagrodzenia w gospodarce narodowej wskazanego w ostatnim komunikacie Prezesa Głównego Urzędu Statystycznego”).
W planie pozostaje wprowadzenie narzędzia „polecenia zabezpieczającego”, którym minister ds. informatyzacji może zalecić podmiotom „kluczowym i ważnym” w systemie cyberbezpieczeństwa określone działania, które mają przeciwdziałać zagrożeniu systemów informatycznych. Narzędzie to zostało opisane bardziej ogólnie, niż w poprzednich wersjach nowelizacji.
Konsultacje publiczne nowego projektu potrwają do 24 maja br.
