Po zakończonym procesie konsultacji do projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) nie milkną echa tej sprawy. Największe emocje budzi fakt, że w najnowszej wersji projektu nowelizacji ustawy wprowadzono kategorię tak zwanych dostawców wysokiego ryzyka. O tym, kto zostanie tak sklasyfikowany, ma decydować Rządowe Kolegium ds. Cyberbezpieczeństwa. Wśród dostawców infrastruktury dla sieci 5G zawrzało, ale nie tylko oni zabierają głos w sprawie.

Realnym zagrożeniem nowej ustawy może być zablokowanie działalności na przykład firmy Huawei, jednego z gigantów wśród dostawców sieci 5G. Nie tylko eksperci ostrzegają przed gospodarczym odwetem za realny scenariusz blokady chińskiej firmy.

„Producenci rolni obawiają się, że może dojść do sytuacji, która ma miejsce podczas wojny handlowej pomiędzy Chinami i Australią. Najboleśniej właśnie branża rolno-spożywcza odczuła skutki tego konfliktu. Eksport australijskiego wina spadł o 96 proc., a eksport homarów o ok. 90 proc. A to nie jedyne branże rolne, w stosunku do których Chiny objęły cłami lub wprowadziły inną formę zakłóceń. Straty ponieśli również australijscy producenci jęczmienia, wołowiny, pszenicy, wełny oraz bawełny” – pisze Jakub Kulesza, poseł Konfederacji, w swojej interpelacji w sprawie skutków rządowych prac nad projektem ustawy o Krajowym Systemie Cyberbezpieczeństwa.

„Zgodnie z najnowszymi doniesieniami stosunki pomiędzy Australią i Chinami prawdopodobnie będą stopniowo się normalizować, ale wyłącznie dlatego, że Australia eksportowała również do Chin ważne z punktu widzenia strategicznego produkty: paliwa energetyczne, gaz i węgiel. Polska w przypadku wojny handlowej z Chinami nie będzie miała takich środków odziaływania” – czytamy w interpelacji.

Wtórował mu w rozmowie z Newserią Bogdan Góralczyk, profesor UW, który stwierdził, że drugim kosztem, jaki ponieść może Polska w przypadku zablokowania chińskich firm, może być „zemsta Chin”. – Chińczycy mogą nam poprzecinać kanały dostaw – kwituje wykładowca Centrum Europejskiego UW, politolog i ekspert ds. relacji z Chinami.

Wśród kontrowersyjnych tematów jest także ten dotyczący Rządowego Kolegium ds. Cyberbezpieczeństwa, który ma decydować o tym, który z dostawców zostanie oceniony jako „wysokiego ryzyka”. Kolegium ma brać pod uwagę takie czynniki, jak np. prawdopodobieństwo znajdowania się dostawcy pod wpływem państwa spoza UE bądź NATO. Uznanie firmy za potencjalnie ryzykowną z czysto ekonomicznego punktu widzenia będzie kluczowe z perspektywy działania wielu firm, szczególnie tych, które na przykład z usług takiego dostawcy skorzystają. Zmieniają się także warunki przedstawiane przez dostarczających usługi. – Jak potwierdziło OPZZ w swoim piśmie do posłów, coraz więcej producentów zgłasza, że ich chińscy kooperanci zmieniają warunki dotychczasowej współpracy. Z umów długoterminowych przechodzą na model współpracy ograniczający się tylko do bieżących zamówień. A jak wiadomo, umowy długoterminowe są gwarantem stabilności prowadzenia działalności gospodarczej – dodaje poseł Jakub Kulesza.

Raport przygotowany przez Krajową Izbę Komunikacji Ethernetowej (KIKE) pokazuje, że 100 proc. przedsiębiorców z segmentu małych i średnich firm w Polsce korzysta ze sprzętu producenta, który ma swoją siedzibę główną w kraju spoza UE lub NATO. Jeśli przyjmiemy, że dana firma zostanie przez kolegium sklasyfikowana jako dostawca „wysokiego ryzyka”, korzystający poniesie koszty wymiany takiego sprzętu. Koszty mogą doprowadzić do upadku firmy i także ograniczeń w dostawie internetu. Firma może też podwyższyć ceny, żeby wyrównać poniesioną stratę. W tym scenariuszu starci także konsument.

Niemałe emocje wzbudza też fakt, że kolegium ma składać się z przedstawicieli instytucji rządowych. Branża nawołuje, by zachować transparentność, powinni w nim znaleźć się pracujący w branży eksperci z zakresu infrastruktury telekomunikacyjnej. Przykładem jest Finlandia i Niemcy, gdzie dodatkowo weryfikacja odbywa się poprzez sprawdzanie poszczególnych komponentów, urządzeń i usług, a nie dostawcy jako całości.

W przypadku wydania negatywnej decyzji prawo producenta do odwołania się od niej jest bardzo zawężone, przy czym sama decyzja ma natychmiastową wykonalność. Czy nie ma więc pola na jakiekolwiek działanie między wnioskiem, a decyzją? Jak czytamy w projekcie, niekoniecznie będzie to decyzja z dnia na dzień, bo w „przypadku wszczęcia postępowania w sprawie uznania za dostawcę wysokiego ryzyka z urzędu, minister właściwy do spraw informatyzacji przed rozstrzygnięciem sprawy zasięga opinii Kolegium. Kolegium przekazuje opinię w terminie trzech miesięcy od dnia wystąpienia o opinię” – nie można więc założyć, że będzie to termin kilku dni, ale też nie można założyć, że firma będzie czekała na informację z komisji trzy miesiące. Niemniej kiedy decyzja już zapadnie, występuje konieczność usunięciu sprzętu producenta. Ustawa, choć jest potrzebna w kontekście budowania cyberbezpieczeństwa, wymaga kompleksowych konsultacji publicznych ze względu na fakt, że zawiera wiele nowych rozwiązań m.in. w zakresie działania operatora strategicznej sieci bezpieczeństwa.

Aktualnie nowelizacja ma trafić do Komitetu Rady Ministrów do spraw Bezpieczeństwa Narodowego i spraw Obronnych. Urząd Komunikacji Elektronicznej – który szykuje ogłoszenie aukcji pasma C, częstotliwości do budowy sieci 5G – czeka na przyjęcie ostatecznej wersji KSC przez Radę Ministrów.