Czy aukcja 5G, którą planuje ogłosić Prezes UKE, może być niezgodna z prawem?
Tak – wygląda na to, że jest takie niebezpieczeństwo. Chodzi o art. 11, który przyznaje Prezesowi UKE nieuzasadnione przepisami prawo do wykluczania określonych dostawców z dostarczania sprzętu do budowy 5G w projekcie decyzji rezerwacyjnej. Takie rozwiązanie nie ma podstaw w przepisach ustawy Prawo telekomunikacyjne, a także przepisach Rozporządzenia Ministra Cyfryzacji w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług. Powyższe postanowienie jest także sprzeczne z najnowszą dyrektywą europejską NIS2, która weszła w życie 16 stycznia 2023 roku.
Jakie obowiązki nakłada na Polskę dyrektywa NIS2 w kontekście aukcji 5G?
W ramach przyszłej aukcji przewidziane zostało, że Prezes UKE przekazuje podmiotowi, który wygrał aukcję „informację o uznaniu dostawcy za dostawcę wysokiego ryzyka”. Po otrzymaniu takiej informacji zwycięzca aukcji będzie miał obowiązek wycofania z eksploatacji sprzętu i oprogramowania wchodzącego w skład infrastruktury kluczowej, które pochodzą od dostawcy wysokiego ryzyka. Takie podejście stoi w oczywistej sprzeczności z art. 21 dyrektywy NIS2. Zgodnie z NIS 2 ocena ryzyka m.in. usług i produktów ICT wykonywana będzie na szczeblu UE i przy udziale przedstawicieli poszczególnych państw członkowskich. Takie rozwiązanie pozwala na koordynację działań oraz – co szczególnie istotne – budowanie jednolitych standardów w zakresie cyberbezpieczeństwa w całej UE.
Co jeszcze należy poprawić w procesie konsultacji?
Prezes Urzędu Komunikacji Elektronicznej rozpoczął długo oczekiwane konsultacje dotyczące aukcji 5G w dniu 20 grudnia 2022 r, które potrwają do 31 stycznia 2023. Niektóre z proponowanych przez Prezesa UKE w ramach konsultacji wymagań dotyczących aukcji 5G odwołują się do nieobowiązujących, a wręcz nieuzgodnionych ostatecznie przepisów dotyczących cyberbezpieczeństwa. W świetle dyrektywy NIS 2, która właśnie weszła w życie, postanowienia zawarte w dokumentacji aukcyjnej przestają być aktualne. Ich zmiana powinna uwzględniać rozwiązania przyjęte w dyrektywie NIS2, a nie w projekcie ustawy o krajowym systemie cyberbezpieczeństwa, który jest już częściowo nieaktualny. Wreszcie, w świetle bardzo zaawansowanych prac sejmowych nad projektem nowego Prawa Komunikacji Elektronicznej, pojawia się wątpliwość, czy w dostatecznym stopniu na etapie konsultacji uwzględniono całość regulacji prawnych, które docelowo będą regulować m.in. zasady zarządzania zasobami częstotliwości, w tym także aukcji. Dlatego koniecznie trzeba poprawić zapisy dotyczące aukcji 5G w procesie konsultacji.