W połączeniu z niejasno określonymi kryteriami, stanowi to poważny problem dla swobodnej działalności podmiotów związanych z telekomunikacją, których nikt już nie będzie pytał o opinię – bo kolejnej fazy konsultacji nie przewidziano.
W obliczu tak nieprecyzyjnych, uznaniowych i (niemal) nie poddanych publicznej dyskusji przepisów, powstaje pytanie nie tyle o losy jakiegokolwiek dostawcy sprzętu, co raczej o przyszłość polskiej telekomunikacji w ogóle. Mimo rozlicznych apeli o wydłużenie terminu na wymianę sprzętu z obszaru infrastruktury krytycznej, który zostanie uznany za ryzykowny, w ich przypadku czas ten pozostał niezmieniony i w nowym projekcie ustawy nadal wynosi 5 lat (7 lat dla innych kategorii urządzeń – red.). Co więcej, decyzja ta zawsze podlega rygorowi natychmiastowej wykonalności. Przyjęty okres nie umożliwia amortyzacji kosztu zakupu sprzętu, zapis będzie więc skutkować zaprzestaniem inwestowania w sprzęt jeszcze zanim wydane zostanie oficjalne stanowisko wobec konkretnego dostawcy.
Co gorsze jednak, w obliczu tak istotnej sprawy, jaką jest zapewnienie w kraju odpowiedniego poziomu cyberbezpieczeństwa, projektodawca KSC ucieka się do rozwiązań, które z cyberbezpieczeństwem nie mają nic wspólnego (i może właśnie dlatego w jednym z punktów zmieniono zapis dotyczący cyberbezpieczeństwa na odnoszący się do bliżej niesprecyzowanego „bezpieczeństwa narodowego”). A wystarczyłoby przecież oprzeć się na certyfikatach, jak chociażby Common Criteria, branżowe schematy takie, jak NESAS (Network Equipment Security Assurance Scheme), czy nadchodzące schematy cerytfikacji zgodne z Cybersecutity Act – zamiast mnożyć uznaniowe zapisy. Pierwszym z brzegu przykładem kraju, który właśnie na certyfikację sprzętu postawił, są Niemcy. Choć i tam przedstawiciele administracji amerykańskiej nalegali na zawarcie nieprecyzyjnych przepisów, niemiecka Federalna Agencja ds. Sieci – w porozumieniu z Federalnym Urzędem ds. Bezpieczeństwa Informacji (BSI) i Federalnym Rzecznikiem Ochrony Danych i Wolności Informacji – opublikowała projekt katalogu wymagań bezpieczeństwa funkcjonowania sieci telekomunikacyjnych i przetwarzania danych oraz przetwarzania danych osobowych.
