Zalecenia zawarte w unijnym dokumencie 5G Toolbox są istotną podwaliną pod nowelę ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), ale czy rzeczywiście nowy kształt ustawy uwzględnia unijne rekomendacje?
Warto podkreślić, że unijny dokument 5G Toolbox nie jest źródłem prawa, a więc nie wymaga całościowej implementacji, jak choćby unijne dyrektywy czy rozporządzenia. Jest to zbiór postulatów i propozycji, które powinny być wzięte pod uwagę, ale to nie oznacza konieczności wprowadzania znajdujących się tam zapisów bezpośrednio do ustawy. A tymczasem w noweli ustawy o KSC znajdujemy całe fragmenty praktycznie dosłownie przepisane z unijnego dokumentu, a ponadto, są one wykorzystywane w sposób wybiórczy. 5G Toolbox musi być wprowadzany w zgodzie z porządkiem prawnym naszego kraju.
Kryteria oceny dostawców współpracujących z operatorami to unijne zalecenia, które przeniesiono do noweli ustawy o KSC. Dlaczego nadaje się im teraz rangę przepisów ustawy?
Problemem jest sposób w jaki przenosi się te zalecenia tj. praktycznie dosłowne ich powtórzenie w projektowanych przepisach ustawy, bez dostosowania ich do innych przepisów tej i innych ustaw. Powoduje to brak precyzji i jednoznaczności sformułowań, a to z kolei sprawia, że przepisy te będą generowały duże wątpliwości interpretacyjne. Konkretny przykład — przepis mówiący o weryfikowaniu dostawcy podlegającym kontroli państwa, w którym znajduje się jego siedziba jest tak ogólny i niejednoznaczny, że z pewnością wywoła w praktyce wiele wątpliwości interpretacyjnych i pewnie sporów sądowych.
Zalecenia 5G Toolbox są rekomendacjami, które można uwzględniać w procesie stanowienia prawa, ale należy to czynić w sposób zgodny z podstawowymi standardami. Wspomniane „kryteria oceny” nie są w unijnym dokumencie gotową, przygotowaną do bezpośredniego zastosowania instytucją prawną, ale zostały wymienione jedynie jako zbiór zaleceń i rekomendacji. Muszą więc być dostosowane do krajowych uwarunkowań prawnych.
Czy przegląd konkretnych propozycji, które zawiera nowela to potwierdza?
Warto zwrócić uwagę na kryteria oceny. Kryteria, które autorzy noweli uznają za techniczne, takimi jednak nie są. Przykładowo trudno uznać za techniczne kryterium oceny dostawcy kryterium w postaci „liczby i rodzajów wykrytych podatności i incydentów”. W innych krajach unijnych, np. w Niemczech, kryteria techniczne są wyraźnie sformułowane. W noweli ustawy o krajowym systemie cyberbezpieczństwa pojawił się w ostatnie wersji nowy rozdział poświęcony certyfikacji cyberbezpieczństwa. Pytanie — dlaczego więc wśród kryteriów oceny dostawcy brak kryterium w postaci certyfikacji cyberbezpieczństwa. Niemieckie przepisy przewidują tego rodzaju certyfikację produktów i usług. Pozwala na stwierdzenie odporności na niepożądaną ingerencję. Certyfikacja przekłada się na większe bezpieczeństwo danych przesyłanych w sieci.
W trakcie jesiennych konsultacji projektu noweli ustawy o KSC zgłoszono mnóstwo uwag, a wśród nich także postulat przygotowania certyfikacji technicznej produktów i usług stosowanych przy budowie sieci 5G. Jak nowela odpowiada na te postulaty?
Wspomniałem już, że nie ma w niej propozycji certyfikacji technicznej dostawców. Budzi to zdziwienie, skoro znajdują się już w tej noweli przepisy pozwalające na certyfikację i oczywistym powinno być wprowadzenie certyfikacji jako jedno z kryteriów oceny dostawcy.
Unijny zbiór zaleceń 5G Toolbox mówi o potrzebie badania kluczowych aktywów (key assets). Jak rozumieć ten wymóg?
To unijne zalecenie dotyczy kluczowych elementów infrastruktury i zasobów technicznych. Tymczasem w noweli ustawy o KSC nacisk położony jest na ocenę nie tyle zasobów, co konkretnych podmiotów. Punkt uwagi jest przeniesiony z pro- duktów i usług na ich dostawców, które mają w swojej ofercie. Jest to podejście budzące wątpliwości, gdyż przypomina regulatorów, którzy pragnąc zadbać o bezpieczeństwo na drogach nie weryfikują bezpieczeństwa aut pochodzących od poszczególnych producentów, ale zajmują się samymi producentami — ich pochodzeniem, udziałowcami, partnerami itd.
Nowością w noweli ustawy o KSC jest jej załącznik nr 3 — „Kategorie funkcji krytycznych dla bezpieczeństwa sieci i usług”, który wymienia listę funkcji krytycznych infrastruktury. W Niemczech tego rodzaju listę przygotował branżowy regulator, ale w ścisłej współpracy z służbami niemieckiego państwa i przedsiębiorcami telekomunikacyjnymi. Lista jest publicznie dostępna i cyklicznie aktualizowana w trybie współpracy stron. W naszym przypadku projektodawcy narzucają jej treść w ustawie.
Brzmi trochę nieprawdopodobnie. Czyżby projektodawca noweli ustawy o KSC nie miał sprecyzowanej wizji tego, jak w praktyce ma wyglądać krajowy system cyberbezpieczeństwa?
Koncepcja oczywiście jest. Po zgłoszeniu zbioru uwag podmiotów rynkowych jesienią 2020 r., zakładam, że były one przedmiotem analizy, ale propozycje zmian w stosunku do poprzedniej wersji są bardzo ograniczone. Pojawiły się natomiast całkowicie nowe propozycje regulacji, nowych instytucji. Budzi to niepokój co do stabilności przyszłych przepisów. Wprowadzane są nowe rozwiązania, podczas gdy nie ma zapewnienia spójności i stabilności obecnie wprowadzanych. Przykładowo w innych krajach UE jest już stworzony spójny system weryfikacji. W przywołanych już wcześniej Niemczech kwestia ta jest poddana uporządkowanym, spójnym regulacjom. Produkty i usługi IT podlegają tam wieloaspektowym ścieżkom weryfikacji technicznej, certyfikacji, audytów i sprawdzeń, które obejmują cały łańcuch dostaw. Nad działaniem tego mechanizmu, precyzyjnie opisanego w regulacjach, czuwają profesjonaliści z branży telco.
W modelu proponowanym w noweli punktem wyjścia są kryteria, ale one skupiają się za weryfikowaniu samego dostawcy, a nie jego produktów i usług. W dodatku dostawca będzie oceniany nie za to jakiej jakości sprzęt i oprogramowanie oferuje, ale w sposób uznaniowy za kwestie, które w gruncie rzeczy nie mają bezpośredniego związku z cyberbezpieczeństwem, np. kraj pochodzenia.
Cyberbezpieczeństwo to złożona kwestia dotycząca szerokiego spectrum merytorycznych tematów, także podmiotów.
Dlatego wymaga czasu, głęboko przemyślanych działań, cierpliwego i starannego tworzenia odpowiednich przepisów, a ponieważ na polskim gruncie są one tworzone od podstaw to mamy do czynienia z jeszcze większym wyzwaniem. Jednak można sobie z nim skutecznie poradzić. W 2020 r. przez 10 miesięcy trwała wytężona praca, obejmująca kilka rund konsultacji społecznych, nad przygotowaniem rozporządzenia do art. 175d Prawa telekomunikacyjnego, także dotyczącego cyberbezpieczeństwa. Ten akt prawny, mający nie więcej niż 2 strony, tworzono cierpliwie wspólnym wysiłkiem godząc różne stanowiska. To jest dobry przykład wypracowywania wspólnego stanowiska. Podobnie powinno być w przypadku prac nad nowelą do ustawy o krajowym systemie cyberbezpieczeństwa.
Więcej na temat rozwoju sieci 5G na Forum Gospodarczym TIME, które odbędzie się online w dniach 8-11 marca 2021 r. Szczegółowe informacje, program i rejestracja - fgtime.pl. Uczestnictwo w Forum jest bezpłatne
