Huawei: proponowane w KSC zapisy są wyjątkowo restrykcyjne

Dziennik Gazeta Prawna informuje, że tysiące firm z branż, które na pierwszy rzut oka nie mają nic wspólnego z nowymi technologiami, będą musiały sprawdzić, czy nie mają urządzeń uznanych za niebezpieczne, i w razie potrzeby będą musiały je wymienić.

Skierowana przez Ministerstwo Cyfryzacji do konsultacji nowelizacja sprawi, że obowiązki w tej dziedzinie spadną na podmioty z 18 sektorów gospodarki: od bankowości, przez transport, żywność i chemikalia, po ścieki i gospodarkę odpadami.

W sumie wymogi przewidziane w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa dotkną ponad 38,5 tys. podmiotów, w tym administracji publicznej. Większość z nich – ok. 35 tys. – oprócz zarządzania cyberryzykiem, audytów i raportowania będzie też miała zakaz zaopatrywania się w określonych firmach w produkty, usługi lub procesy ICT (tj. związane z technologiami informacyjno-telekomunikacyjnymi), jeśli zostaną one uznane za dostawców wysokiego ryzyka. A w razie zrobienia tam zakupów wcześniej – trzeba będzie sprzęt wymienić na inny.

Na usunięcie takiego sprzętu lub oprogramowania będzie siedem lat, a jeśli jest wykorzystywany przez największych przedsiębiorców telekomunikacyjnych do realizowania funkcji krytycznych dla bezpieczeństwa sieci i usług – cztery lata. Projekt nie przewiduje za to żadnych rekompensat.

Obecny projekt, tak jak kilkanaście wersji poprzedniego rządu, wdraża rozwiązania wynikające z tzw. toolboxu – zestawu narzędzi przyjętych w UE w 2020 r. na potrzeby cyberbezpieczeństwa sieci komórkowych piątej generacji (5G). Tym razem jednak doszła jeszcze implementacja unijnej dyrektywy 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (dalej: NIS2).

W rezultacie połączenia tych regulacji w jednym projekcie ustawy doszło do rozszerzenia jej zakresu podmiotowego – mówi prof. dr hab. Maciej Rogalski, rektor Uczelni Łazarskiego i partner w kancelarii prawnej Rogalski i Wspólnicy. – Wcale nie musiało się tak stać. Wskazują na to implementacje w innych krajach: np. w Niemczech implementacja NIS2 dotyczy 35 tys. podmiotów, a we Francji 15 tys. – stwierdza.

O tym, jakiego sprzętu i oprogramowania firmy nie będą mogły kupować, zdecyduje minister cyfryzacji – uznając danego producenta, importera lub dystrybutora za dostawcę wysokiego ryzyka w wyniku postępowania, które może wszcząć z urzędu sam albo na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa (tę funkcję sprawuje premier).

Największe wyzwanie będą mieli wszelkiego rodzaju dostawcy. Jeżeli zostanie wobec nich wszczęte postępowanie o uznanie za dostawcę wysokiego ryzyka, to jeszcze przed jego zakończeniem będą narażeni na ostracyzm klientów, którzy mogą się obawiać o wynik tego postępowania. Szczególnie że cała procedura jest nieprzejrzysta i częściowo utajniona – stwierdza Marcin Serafin.

Jednym z elementów analizy dostawców będzie prawdopodobieństwo znajdowania się ich „pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego”.

Z uwagi na tak sformułowane kryteria oceny dostawcy w art. 67b ust. 11 oraz ograniczoną liczbę dostawców na poszczególnych rynkach produktów i usług uregulowania te będą dotyczyć głównie dostawców spoza UE, a przede wszystkim z Chin. Z pewnością tak będzie na rynku dostawców infrastruktury do budowy sieci 5G. Można więc mówić o uregulowaniach w tym zakresie jako „lex Chiny” – stwierdza prof. Rogalski.

Z perspektywy Huawei temat jest znany już od dłuższego czasu, ale mówimy tutaj o ponad 38 tys. firm i podmiotów – komentuje Ryszard Hordyński, dyrektor ds. strategii i komunikacji w Huawei Polska. – Dostrzegam też swego rodzaju nadregulację w kontekście NIS2 – zaznacza, wskazując, że w 11 państwach Unii, które już implementowały dyrektywę NIS2, nie zastosowano kryterium politycznego. – Proponowane w ustawie zapisy są wyjątkowo restrykcyjne i z całą pewnością wyróżniają Polskę na tle innych krajów UE. Pytanie brzmi, jak w praktyce wpłyną na rodzimy biznes i jakie koszty poniosą polscy przedsiębiorcy – dodaje.

Wdrażana dyrektywa NIS2 w założeniu ma zwiększyć cyberbezpieczeństwo Polski.

Pełna treść artykułu z Dziennika Gazeta Prawna znajduje się tutaj