Ministerstwo Cyfryzacji broni zapisów o dostawcach wysokiego ryzyka w ustawie KSC

Ministerstwo Cyfryzacji broni ustawy KSC i w specjalnym komunikacie prasowym wyjaśnia wątpliwości dotyczące dostawców wysokiego ryzyka.

W dobie rosnących cyberzagrożeń kluczowe jest, aby informacje dotyczące dostawców wysokiego ryzyka były rzetelne i oparte na faktach. Wspólnie zadbajmy o bezpieczeństwo cyfrowe Polski, opierając się na oficjalnych źródłach i wiarygodnych informacjach – podkreśla wiceminister cyfryzacji Paweł Olszewski.

Według ministerstwa, instytucja dostawcy wysokiego ryzyka ma eliminować z użycia niebezpieczny sprzęt i usługi z kluczowych dla funkcjonowania państwa systemów informatycznych.

Przedsiębiorca, wobec którego zostałaby wydana decyzja ministra cyfryzacji, byłby uznany za dostawcę wysokiego ryzyka.

Podmioty istotne dla funkcjonowania państwa nie będą mogły wprowadzać do swoich systemów określonych typów produktów ICT, rodzajów usług ICT, ani konkretnych procesów ICT od takiego dostawcy.

Zobowiązuje to te podmioty do wycofania z użycia sprzętu w ciągu 7 lub 4 lat, co zazwyczaj pokrywa się z cyklem życia tych urządzeń.

Obecnie nie istnieją środki prawne umożliwiające nakazanie wycofywania z eksploatacji produktów ICT, usług ICT i procesów ICT zagrażających bezpieczeństwu kluczowych podmiotów w Polsce.

Polska w dalszym ciągu nie wdrożyła unijnego zestawu środków dla cyberbezpieczeństwa sieci 5G – tzw. Toolbox 5G. Jesteśmy jednym z ostatnich państw Unii Europejskiej bez horyzontalnej regulacji procedury uznawania za dostawcę wysokiego ryzyka.

Wdrożenie Toolbox 5G pozwoli Polsce na stosowanie najlepszych praktyk w tej dziedzinie, co podniesie standardy ochrony przed zagrożeniami. Dzięki temu, polski rynek technologiczny stanie się bardziej konkurencyjny, a firmy będą mogły rozwijać się w bezpieczniejszym otoczeniu.

Według ministerstwa w Polsce trwa kampania dezinformacyjna w tej sprawie. Dotyczy ona głównie powielania błędnych informacje dotyczących wprowadzenia instytucji dostawcy wysokiego ryzyka do polskiego porządku prawnego.

• Dezinformacja: Decyzja o uznaniu dostawcy za dostawcę wysokiego ryzyka to arbitralna decyzja polityczna.
  • Fakt: Decyzja ta ma być wynikiem wieloetapowego postępowania, w którym uczestniczyć będzie Kolegium do Spraw Cyberbezpieczeństwa oraz fakultatywnie, organizacje społeczne i Prezes UOKiK.
• Dezinformacja: Przy wydawaniu decyzji nie będą brane pod uwagę przesłanki techniczne, a wyłącznie polityczne.
  • Fakt: Decyzja będzie uwzględniać indywidualną sytuację przedsiębiorcy, biorąc pod uwagę zarówno przesłanki prawno-polityczne (ryzyko stworzenia zagrożeń w wymiarze ekonomicznym, wywiadowczym czy terrorystycznym), jak i techniczne, takie jak liczba i rodzaj wykrytych podatności i incydentów, tryb i zakres w jakim dostawca sprawuje nadzór nad procesem wytwarzania i dostarczania sprzętu lub oprogramowania, posiadanie przez dostawcę certyfikatów.
• Dezinformacja: Od decyzji nie przysługuje odwołanie.
  • Fakt: Decyzja o uznaniu dostawcy za dostawcę wysokiego ryzyka będzie zaskarżalna do sądu administracyjnego, co zapewnia obiektywne i niezależne spojrzenie na sprawę.
• Dezinformacja: Procedura skierowana jest przeciwko dostawcom z konkretnego państwa.
  • Fakt: Uznanie dostawcy za dostawcę wysokiego ryzyka ma odbywać się w drodze postępowania administracyjnego, dotyczącego konkretnego podmiotu, a nie wszystkich dostawców z danego kraju.