W postępowaniu dotyczącym ryzykownych dostawców sprzętu sieciowego będą mogli uczestniczyć operatorzy – dowiedział się Dziennik Gazeta Prawna. Z nieoficjalnych informacji wynika, że taka zmiana zostanie wprowadzona do przepisów regulujących postępowanie w sprawie uznania za dostawcę wysokiego ryzyka (HRV) zawartych w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC).
Zabiegała o to branża telekomunikacyjna podczas konsultacji najnowszej wersji projektu, którą w październiku zaprezentowała Kancelaria Prezesa Rady Ministrów (po rekonstrukcji rządu przejęła kompetencje resortu cyfryzacji).
Projekt KSC przewiduje, że postępowania w sprawie uznania za HRV będzie prowadził minister właściwy do spraw informatyzacji, czyli premier. Jego decyzja kwalifikująca dostawcę sprzętu lub oprogramowania jako podmiot stwarzający wysokie ryzyko będzie poprzedzona opinią Kolegium ds. Cyberbezpieczeństwa. Na czele tego organu stoi premier, a w skład kolegium wchodzą ministrowie spraw wewnętrznych (i koordynator służb specjalnych), obrony narodowej oraz spraw zagranicznych, szefowie Biura Bezpieczeństwa Narodowego, Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego, dyrektor Rządowego Centrum Bezpieczeństwa i dyrektor NASK.
Postępowanie będzie oparte na procedurach określonych w kodeksie postępowania administracyjnego, choć niektóre z nich wyłączono. Stroną będą dostawcy, wobec których postępowanie zostało wszczęte, ale już nie firmy, które odczują jego skutki, tj. operatorzy korzystający ze sprzętu danego producenta. Uznanie np. Huaweia za HRV będzie bowiem – zgodnie z zapisami projektu – oznaczało zakaz zaopatrywania się w tej firmie i konieczność wymiany już kupionego od niej sprzętu. Na wymianę ryzykownych urządzeń i oprogramowania będzie siedem lub pięć lat, jeśli jest on w infrastrukturze krytycznej.
Niedopuszczenie telekomów do postępowania ws. HRV autorzy projektu tłumaczyli potrzebą „uniknięcia obstrukcji” procedury i wzmocnienia trwałości rozstrzygnięć, „mając na względzie, że do każdego takiego postępowania według zasad ogólnych mogłyby przystąpić na prawach strony nawet setki podmiotów korzystających z konkretnych produktów pochodzących od konkretnego dostawcy sprzętu lub oprogramowania”.