W związku ze zbliżająca się aukcją na rozdysponowanie dla operatorów komórkowych  częstotliwości niezbędnych do rozwoju sieci 5G w Polsce ważne są prace nad ustawą o zmianie  ustawy o krajowym systemie cyberbezpieczeństwa („Nowela”). Nowe propozycje zmiany przepisów w szczególności dotyczące tzw. dostawców wysokiego ryzyka („HRV” – High Risk Vendors ) budzą wiele kontrowersji o charakterze regulacyjnym.
Dotychczas wiele krajów UE w różny sposób  podjęło działania o charakterze prawnym zmierzającym do określenia warunków technicznych jakie powinni spełniać dostawcy usług telekomunikacyjnych. Za przykład może posłużyć Austria, w której parlament wśród kryteriów oceny HRV (§ 45 austriackiej ustawy prawo telekomunikacyjne) przyjmując przepisy zwraca uwagę na jakość dostarczanych produktów oraz łańcuch dostaw. W szczególności odnosi się do ochrony danych zobowiązując dostawców do podjęcia środków technicznych i organizacyjnych w celu zapewnienia, że ​​dane użytkownika nie mogą być przekazywane bezprawnie poza UE lub uzyskane bezpośrednio lub pośrednio przez organizacje, instytucje lub władze tych krajów. W Niemczech z kolei nowela ustawy prawo telekomunikacyjne oraz ustawy o Urzędzie Federalnym ds. Bezpieczeństwa Technologii Informacyjnych określa katalog wymagań bezpieczeństwa działania systemów telekomunikacyjnych i systemów przetwarzania danych oraz danych osobowych poprzez certyfikację tzw. komponentów krytycznych. Własne rozwiązania w dziedzinie cyberbezpieczeństwa wypracowały także Finlandia, Szwecja czy Rumunia. Pytanie jaką drogę obierze Polska?
Aktualnie w noweli proponowanej przez Ministerstwo Cyfryzacji nie ma rozwiązań, które pozwalałby na wydanie decyzji dotyczącej HRV co do niektórych tylko produktów czy usług. Decyzja zakazująca zakupu produktów od określonego dostawcy będzie wydawana do wszystkich jego produktów, nawet tych które nie mają żadnego znaczenia dla bezpieczeństwa infrastruktury telekomunikacyjnej. W praktyce oznaczać to będzie całkowite wykluczenie danego dostawcy z polskiego rynku w zakresie dostaw infrastruktury telekomunikacyjnej. Tymczasem decyzja powinna być adekwatna i proporcjonalna do istniejących zagrożeń bezpieczeństwa. Co więcej nie przewidziano także możliwości prawnej podjęcia właściwych środków zaradczych przez HRV, w szczególności wezwanie dostawcy do usunięcia wskazanych zagrożeń z zakreśleniem terminu do ich usunięcia, z zastrzeżeniem, że w razie ich nieusunięcia w określonym terminie zostanie wydana decyzja.
Nowela nie przewiduje także  zarówno pod względem formy, jak i procedury, rozwiązań, które pozwalałby się wypowiedzieć w kwestiach oceny dostawców przedstawicielom rynku telekomunikacyjnego. Tymczasem takie rozwiązania funkcjonują już w Finlandii i są przewidziane w projekcie ustawy w Austrii. Przykładowo mogłaby zostać powołana Rada ds. Bezpieczeństwa Elektronicznych Sieci Komunikacyjnych , której zadaniem byłoby doradzanie w sprawach cyberbezpieczeństwa oraz klasyfikowanie producentów elementów sieci jako HRV. Powstaje więc pytanie, dlaczego w Polsce nie mogą być stosowane rozwiązania takie jak Austrii, Niemczech czy Finlandii a powinny być stosowane takie jak w Szwecji czy Rumunii. Dotychczasowa praktyka legislacyjna w krajach UE w omawianym zakresie pokazuje, że każdy z krajów przyjmuje indywidualne rozwiązania.

Niniejszy tekst jest zmodyfikowaną wersją artykułu, który ukazał się w Dzienniku Gazeta Prawna

Prof. dr hab. Maciej Rogalski

Nowela ustawy o Krajowym systemie cyberbezpieczeństwa