To budzi kontrowersje ze strony sektora telekomunikacyjnego, bo dotychczasowe przepisy Prawa Telekomunikacyjnego, obowiązujące od roku 2004, w niewielkim stopniu wprowadzały wymagania w zakresie cyberbezpieczeństwa. Więc kiedy formułowane są nowe przepisy, podnoszące wymagania cyberbezpieczeństwa, to naturalnym odruchem jest podważanie ich zasadności – ocenia Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w KPRM.
Jak powiedział przedstawiciel KPRM, wymagania i zobowiązania, które zostały przyjęte przez państwa członkowskie mówiły o tym, żeby identyfikować i ograniczać korzystanie z komponentów pochodzących od dostawców wysokiego ryzyka przy budowie bezpiecznych sieci 5G. Na poziomie unijnym, uwzględniając głosy wielu państw odnoszące się do suwerenności decyzji w zakresie bezpieczeństwa narodowego, nie zdefiniowano jednak wspólnych kryteriów, jakie mają być stosowane przez państwa członkowskie. Uznano jedynie, że kryteria uznawania dostawców wysokiego ryzyka powinny być obiektywne.
My przyjęliśmy zarówno kryteria techniczne, jak i kryteria pozatechniczne. Niestety uwagi do projektu, które zostały zgłoszone przez rynek odnoszą się tylko do aspektów technicznych, sugerując, że powinniśmy skupić się tylko na kwestiach technicznych i na tym, czy komponenty do budowy sieci są certyfikowane, a jeśli tak, to ich stosowanie nie powinno być ograniczane. Jednak nie ma obecnie europejskiego programu certyfikacji komponentów do budowy sieci 5G. Poza tym certyfikacja jest tylko odwzorowaniem aktualnego stanu w rozwoju produktu. A mamy do czynienia nie tylko z urządzeniami, ale także z oprogramowaniem, które podlega częstym aktualizacjom i modyfikacjom – bo taka jest architektura sieci 5G, wykorzystujących w znacznej części elementy programowalne oraz wirtualizację funkcji sieciowych – podkreśla dyrektor Departamentu Cyberbezpieczeństwa w KPRM.
Ekspert zdecydowanie odrzuca też pojawiający się podczas konsultacji projektu zarzut, że przepisy są konstruowane, żeby wykluczać firmy pochodzące z określonych państw z rynku.
Niestety te uwagi formułowane były jedynie przez jedną firmę – Huawei. Widać to było wyraźnie, gdyż te uwagi kopiowane były następnie w wielu opiniach przesyłanych w procesie konsultacji. Z jednej strony ułatwiało to proces analizy uwag, jeśli były one kopiowane i wklejane do kolejnych pism z opiniami, ale z drugiej strony odwracało uwagę od głównego celu nowelizacji, jakim jest podniesienie poziomu odporności krajowego systemu cyberbezpieczeństwa. W trakcie spotkań towarzyszących konsultacjom publicznym wykazywaliśmy, że wbrew spekulacjom medialnym nie proponujemy w projekcie jakichkolwiek przepisów wykluczających, ale obiektywne kryteria umożliwiające ocenę aspektów, które muszą być wzięte pod uwagę z punktu widzenia ryzyka dla bezpieczeństwa narodowego – podkreśla Kośla.