Celem projektu jest m.in. poprawa skuteczności krajowego systemu cyberbezpieczeństwa i objęcie nim także operatorów telekomunikacyjnych oraz przedsiębiorców komunikacji elektronicznej, którzy wcześniej nie byli częścią krajowego systemu cyberbezpieczeństwa.
– To budzi kontrowersje ze strony sektora telekomunikacyjnego, bo dotychczasowe przepisy Prawa Telekomunikacyjnego, obowiązujące od roku 2004, w niewielkim stopniu wprowadzały wymagania w zakresie cyberbezpieczeństwa. Więc kiedy formułowane są nowe przepisy, podnoszące wymagania cyberbezpieczeństwa, to naturalnym odruchem jest podważanie ich zasadności – ocenia Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w KPRM.
Według przedstawiciela resortu cyfryzacji podobne zastrzeżenia zgłaszane były podczas prac nad rozporządzeniem o minimalnych środkach technicznych i organizacyjnych, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług, które po raz pierwszy wprowadziło wymagania cyberbezpieczeństwa – rozporządzenie to weszło w życie w grudniu 2020 r.
Łączność 5G ma w Polsce coraz większy zasięg. Docelowe pasmo częstotliwości przyspieszy cyfryzację gospodarki
Postulaty operatorów usług kluczowych
Według Roberta Kośli celem nowelizacji jest zwiększenie skuteczności krajowego systemu cyberbezpieczeństwa, dodanie do tego systemu sektora telekomunikacyjnego, od bezpieczeństwa którego zależy bezpieczeństwo usług kluczowych w pozostałych sektorach oraz bezpieczeństwo usług cyfrowych.
– Nowe operacyjne struktury cyberbezpieczeństwa, które wprowadziliśmy się w nowelizacji, czyli sektorowe zespoły reagowania na incydenty – CSIRT sektorowe oraz operacyjne centra bezpieczeństwa SOC – pojawiały się w postulatach operatorów usług kluczowych. Często zespoły ds. cyberbezpieczeństwa u operatorów usług kluczowych miały problemy z przebiciem się do świadomości decydentów, że powinny być pełnoprawnymi operacyjnymi centrami bezpieczeństwa – wyjaśnia Robert Kośla.
W rozmowach z rynkiem prowadzonych na etapie wprowadzania rozporządzenia do Prawa Telekomunikacyjnego, gdy dyskutowano kwestię zarządzania ryzykiem też w zakresie doboru środków technicznych – operatorzy wskazywali, iż nie są w stanie sami ustalić poziomu ryzyka danego dostawcy oraz tego czy komponenty do budowy i utrzymania sieci pochodzące od tego dostawcy mogą być bezpiecznie wykorzystywane.
– Stąd już wtedy, w roku 2019 roku sygnalizowaliśmy, że tę kwestię będziemy chcieli uregulować w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, równolegle wiedząc o tym, że trwają prace nad unijnym 5G Toolbox. 5G Toolbox, uzgodniony i opublikowany w styczniu 2020 r. potraktowaliśmy jako dokument referencyjny, ale w projekcie nowelizacji ustawy proces uznawania dostawców za dostawców wysokiego ryzyka nie ogranicza się tylko do dostawców do budowy sieci 5G – tłumaczy.
Tzw. Toolbox 5G to unijny dokument określający zestaw środków ograniczających ryzyka w obszarze cyberbezpieczeństwa sieci 5G.
Kryteria techniczne i pozatechniczne
Jak powiedział przedstawiciel KPRM, wymagania i zobowiązania, które zostały przyjęte przez państwa członkowskie mówiły o tym, żeby identyfikować i ograniczać korzystanie z komponentów pochodzących od dostawców wysokiego ryzyka przy budowie bezpiecznych sieci 5G. Na poziomie unijnym, uwzględniając głosy wielu państw odnoszące się do suwerenności decyzji w zakresie bezpieczeństwa narodowego, nie zdefiniowano jednak wspólnych kryteriów, jakie mają być stosowane przez państwa członkowskie. Uznano jedynie, że kryteria uznawania dostawców wysokiego ryzyka powinny być obiektywne.
– My przyjęliśmy zarówno kryteria techniczne, jak i kryteria pozatechniczne. Niestety uwagi do projektu, które zostały zgłoszone przez rynek odnoszą się tylko do aspektów technicznych, sugerując, że powinniśmy skupić się tylko na kwestiach technicznych i na tym, czy komponenty do budowy sieci są certyfikowane, a jeśli tak, to ich stosowanie nie powinno być ograniczane. Jednak nie ma obecnie europejskiego programu certyfikacji komponentów do budowy sieci 5G. Poza tym certyfikacja jest tylko odwzorowaniem aktualnego stanu w rozwoju produktu. A mamy do czynienia nie tylko z urządzeniami, ale także z oprogramowaniem, które podlega częstym aktualizacjom i modyfikacjom – bo taka jest architektura sieci 5G, wykorzystujących w znacznej części elementy programowalne oraz wirtualizację funkcji sieciowych – podkreśla dyrektor Departamentu Cyberbezpieczeństwa w KPRM.
2021 będzie rokiem upowszechnienia łączności 5G. Skorzysta przemysł, handel, ochrona zdrowia i gospodarstwa domowe
Nie ma przepisów wykluczających
Ekspert zdecydowanie odrzuca też pojawiający się podczas konsultacji projektu zarzut, że przepisy są konstruowane, żeby wykluczać firmy pochodzące z określonych państw z rynku.
– Niestety te uwagi formułowane były jedynie przez jedną firmę – Huawei. Widać to było wyraźnie, gdyż te uwagi kopiowane były następnie w wielu opiniach przesyłanych w procesie konsultacji. Z jednej strony ułatwiało to proces analizy uwag, jeśli były one kopiowane i wklejane do kolejnych pism z opiniami, ale z drugiej strony odwracało uwagę od głównego celu nowelizacji, jakim jest podniesienie poziomu odporności krajowego systemu cyberbezpieczeństwa. W trakcie spotkań towarzyszących konsultacjom publicznym wykazywaliśmy, że wbrew spekulacjom medialnym nie proponujemy w projekcie jakichkolwiek przepisów wykluczających, ale obiektywne kryteria umożliwiające ocenę aspektów, które muszą być wzięte pod uwagę z punktu widzenia ryzyka dla bezpieczeństwa narodowego – podkreśla Robert Kośla.
W jego ocenie kryteria te zostały opracowane na tyle precyzyjnie i obiektywnie, na ile to możliwe w ustawie.
PolskieRadio24.pl, PAP, DoS