Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa jest na ostatnim etapie rządowego procesu legislacyjnego i jeszcze w tym miesiącu powinien zostać przyjęty przez rząd i przekazany do parlamentu.
– Ze względu na narzucone przez Komisję Europejską tempo prac na poziomie europejskim nad podniesieniem poziomu cyberbezpieczeństwa sieci 5G nie przewidujemy kolejnej rundy szerokich konsultacji projektu. Pracujemy jeszcze tylko nad poprawą przejrzystości nowych przepisów dotyczących operatora sieci komunikacji strategicznej, żeby one nie budziły wątpliwości co do charakteru i znaczenia tego operatora dla zapewnienia ciągłości usług telekomunikacyjnych w sytuacjach kryzysowych – tłumaczy Robert Kośla.
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa zostanie notyfikowany w KE w wersji przyjętej przez rząd.
Zestaw narzędzi prawnych 5G Toolbox
Podczas konsultacji projektu podnoszono, że w pewnym zakresie nowe przepisy mogą naruszać prawo unijne – zwłaszcza te związane z uznawaniem dostawców urządzeń i oprogramowania za dostawców wysokiego ryzyka i ograniczające stosowanie dostarczanych przez nich typów produktów, rodzajów usług i konkretnych procesów do świadczenia usług kluczowych, utrzymania infrastruktury krytycznej i budowy nowych sieci 5G. Dyrektor Departamentu Cyberbezpieczeństwa w KPRM nie zgadza się jednak z tą opinią ani nie przewiduje trudności w zaakceptowaniu polskich rozwiązań przez Komisję Europejską.
– Konsultacje w ramach Grupy Współpracy Dyrektywy NIS i rozmowy z KE są prowadzone cały czas w związku z uzgadnianiem mechanizmów przedstawionych w unijnym zestawie narzędzi prawnych 5G Toolbox. Państwa członkowskie uzgodniły w 5G Toolbox mechanizm uznawania dostawców za dostawców wysokiego ryzyka (High Risk Vendors) i ograniczane stosowania ich produktów w europejskich sieciach 5G – podkreśla.
5G Toolbox to unijny dokument określający zestaw środków strategicznych, technicznych i wspierających ograniczających ryzyka w obszarze cyberbezpieczeństwa sieci 5G.
Cyberataki na skrzynki Microsoftu. Technologiczny gigant oskarża o nie Chiny
Prezentacja projektu innym państwom
Według przedstawiciela KPRM, Komisja prowadzi ciągły proces przeglądu stanu wdrażania przez państwa członkowskie środków z unijnego 5G Toolbox. Państwa członkowskie przekazują informacje o postępie implementacji poszczególnych środków w kwestionariuszu opracowanym przez KE. Polska zaprezentowała na spotkaniu roboczym z KE projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa zawierającej kryteria uznawania dostawców sprzętu i oprogramowania i została poproszona o zaprezentowanie jej innym państwom członkowskim, bo kryteria techniczne i pozatechniczne zostały uznane za ciekawe do rozważenia w ramach harmonizacji wymagań na poziomie europejskim. Oczywiście robocza prezentacja projektu przepisów nie oznacza formalnej notyfikacji KE.
Robert Kośla ocenia, że Komisja Europejska nie powinna mieć zastrzeżeń do polskiego podejścia, gdyż "zastosowane przez Polskę kryteria są obiektywne i transparentne, a także nie mają charakteru wykluczającego i dyskryminującego konkretne firmy i konkretne państwa pochodzenia tych firm.
Transparentne przepisy techniczne i pozatechniczne
Na model eliminujący określonych dostawców z góry zdecydowała się Szwecja i był on przedmiotem postępowania sądowego w tym państwie. Podobnie we Francji, Rada Konstytucyjna odrzuciła pozew złożony przez 2 z 4 operatorów krajowych kwestionujących ograniczanie ich swobody w wyborze dostawców komponentów do budowy sieci 5G. Z kolei polski model można porównać do rozwiązań niemieckich, gdzie wskazano kategorie funkcji krytycznych dla bezpieczeństwa sieci i usług, które są brane pod uwagę przez regulatora niemieckiego pod kątem bezpieczeństwa sieci 5G.
Równolegle do zmian w katalogu środków bezpieczeństwa dla sektora telekomunikacyjnego przygotowano zmiany w przepisach ustawy o bezpieczeństwie teleinformatycznym.
– Jest w niej element mówiący o tym, że właściwe ministerstwa Republiki Federalnej Niemiec będą prowadziły proces weryfikacji, czy dany dostawca gwarantuje spełnienie wymagań bezpieczeństwa. Przepisy niemieckie nie odnoszą się więc jedynie do kryteriów technicznych. Podobne przepisy przygotowała Finlandia, trwają też prace w Estonii. Jesteśmy w grupie państw, które przygotowały transparentne przepisy odnoszące się do kryteriów technicznych i pozatechnicznych – podsumowuje Robert Kośla.
PolskieRadio24.pl, PAP, DoS, md