Długo wyczekiwany, kolejny projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczństwa (KSC), nie jest krokiem w kierunku zwiększenia bezpieczeństwa dostawców kluczowych dla państwa usług ani sektora telekomunikacyjnego. To przede wszystkim próba kosmetycznego uwzględnienia niewielkiej części z setek uwag do projektu zgłoszonych w toku konsultacji.
Jednym z bardziej kontrowersyjnych celów tej ustawy jest wykluczanie dostawców rozwiązań teleinformatycznych z rynku. Wciąż wiele rozwiązań zawartych w projekcie budzi poważne zastrzeżenia – z punktu widzenia nawet nie tyle samego cyberbezpieczeństwa, co podstawowych zasad prawa. Wśród kryteriów oceny nadal przewiduje się czynniki całkowicie subiektywne, dotyczące kraju pochodzenia dostawcy. A przecież w dzisiejszej, globalnej gospodarce i przy globalnych łańcuchach dostaw, o sprzęcie telekomunikacyjnym produkowanym w całości w danym kraju – z uwagi na wielość komponentów, czy wykorzystywanych patentów – praktycznie nie może być mowy. Części mogą pochodzić z różnych krajów, podlegać składowi w jeszcze innym, by na koniec dostać naklejkę z nazwą producenta pochodzącego z kolejnego kraju.
Wbrew opublikowanym komentarzom projektodawców do uwag z konsultacji publicznych, kryteria oceny nie opierają się na wskaźnikach technicznych, w szczególności na modelu certyfikacji elementów. W nowym projekcie ustawy nadal brakuje obiektywnych, mierzalnych kryteriów. Co prawda w jednym z załączników przedstawiono kategorie funkcji krytycznych dla bezpieczeństwa sieci i usług, ale – wbrew branżowemu zwyczajowi, zakładającemu konsultacje co do jej kształtu – sama lista została sporządzona w sposób uznaniowy, bez odpowiedniej weryfikacji technicznej i rynkowej. Mamy więc do czynienia z pewnego rodzaju „samowolką” projektodawców, którzy na dodatek próbują uniemożliwić jakiekolwiek odwołanie od przyszłych arbitralnych decyzji, poprzez utajnienie gromadzonej dokumentacji… nawet przed podmiotem, co do którego będzie się toczyć sprawa o uznanie za dostawcę wysokiego ryzyka.
Brak konsultacji z rynkiem tych mechanizmów w projekcie ustawy oznacza, że kategorie funkcji krytycznych dla bezpieczeństwa sieci i usług obejmują urządzenia, o których prawdopodobnie nie myśleli autorzy legislacji – np. hotspoty WiFi czy routery IP – niezależnie od ich znaczenia w sieci.
