Karol Skupień, prezes KIKE: KSC to nieodpowiedzialna ustawa

Czym zajmuje się Krajowa Izba Komunikacji Ethernetowej (KIKE) i jakie podmioty reprezentuje?

Reprezentuje polskie firmy, przedsiębiorców telekomunikacyjnych z polskim kapitałem. To głównie małe i średnie firmy, nie mamy wśród członków międzynarodowych korporacji. To podmioty, które lokalnie świadczą usługi, głównie dostępu do internetu w sieciach światłowodowych.

Dlaczego postanowiliście przygotować raport z badania dotyczący kosztów wymiany sprzętu i oprogramowania od dostawców spoza UE i NATO?

Widzimy realne ryzyko pojawienia się w przyszłości decyzji ministra cyfryzacji wykorzystujących mechanizm tzw. dostawcy wysokiego ryzyka (DWR), które to decyzje realnie, w naszej opinii, mogą skutkować obowiązkiem wycofania sprzętu spoza Unii Europejskiej i NATO. Po pierwsze, przepisy pozwalają na wydanie takich decyzji. Po drugie, dostawców spoza UE i NATO będzie łatwiej uznać za DWR niż pozostałych: ustawa wprowadza w art. 67b ust. 11 pkt 2 kilka dodatkowych przesłanek przemawiających za uznaniem dostawcy za DWR, związanych z państwem pochodzenia dostawcy. Te przesłanki mogą być badane wyłącznie w przypadku dostawców spoza UE i NATO. Po trzecie, zdecydowana większość, bo ponad 80 proc. operatorów, używa ponad 50 proc. sprzętu spoza Unii Europejskiej i NATO w swoich sieciach. Po czwarte, zarówno sam minister cyfryzacji, wicepremier Krzysztof Gawkowski, jak i inni przedstawiciele administracji wielokrotnie mówili, że uważają – a pan wicepremier powiedział to wprost – że urządzenia producentów chińskich powinny być usunięte z polskich sieci. Minister przedstawia to jako zdanie prywatne, ale wypowiedział je publicznie wielokrotnie. Jeśli złożymy wypowiedzi publiczne ministra o tym, że powinniśmy usuwać z polskich sieci sprzęt produkcji chińskiej, z ustawą, która realnie pozwala na wydawanie tego typu decyzji, to widzimy istotne zagrożenie, że będziemy musieli to zrobić. Teraz minister częściowo wycofuje się z tych twierdzeń, tłumacząc, że przecież żaden przepis nie mówi o tym, że ten sprzęt będzie musiał być usuwany.

A mówi?

Nie mówi, ale umożliwia wycofywanie całych kategorii sprzętu i oprogramowania konkretnych producentów, w tym sprzętu spoza Unii Europejskiej i NATO, który będzie można usunąć łatwiej. Tymczasem z naszych dwóch poprzednich raportów, jak i z najnowszego raportu, wynika, że w gruncie rzeczy w polskich sieciach światłowodowych używamy w większości rozwiązań spoza Unii Europejskiej i NATO. Zresztą tak samo, jak praktycznie każdy inny kraj europejski. Używamy głównie trzech, czterech producentów.

I jacy to producenci? Największy udział ma Huawei, na drugim miejscu jest ZTE, a na trzecim koreański Dasan.

I właściwie ta trójka dostarcza zdecydowaną większość naszych urządzeń, jeśli chodzi o sieci światłowodowe, w tym część dostępową, o którą najbardziej się boimy. 

Ile według KIKE kosztowałaby wymiana sprzętu przedsiębiorców telekomunikacyjnych zrzeszonych w waszej organizacji?

Gdybyśmy rzeczywiście musieli usunąć cały sprzęt od dostawców spoza UE i NATO, z czego troszkę podśmiewuje się pan minister, że przecież to z żadnych przepisów nie wynika, to byłoby to ok. 14 mld zł. A zakładając, że nie będziemy musieli usunąć wszystkich, ale np. trzech ww. producentów to byłoby niewiele mniej, bo ok. 12 mld zł. Te obliczenia dotyczą małych i średnich przedsiębiorców w sektorze sieci światłowodowych. Nie mówimy w ogóle o sieciach komórkowych. Kwota 14 mld zł to poprawny szacunek, który jest też zgodny z naszymi poprzednimi analizami.

Dla przykładu, dwa lata temu robiliśmy podobne wyliczenia na mniejszej grupie i wtedy wyszło ok. 10 mld zł. Od pierwszego badania minęły cztery lata, a sprzęt został dokupiony. Było bardzo dużo inwestycji. Objęliśmy zasięgami nowe tereny, dokupiliśmy ogromną liczbę urządzeń. Wydaje mi się to naturalne, że ta kwota na przestrzeni czasu się powiększyła. Po pierwsze, sprzęt jest droższy, po drugie, mamy go więcej. Badania potwierdzają, że to realna kwota.

Państwo oszacowali te koszty, ale ustawodawca tego nie zrobił. Dlaczego?

Przyznałby się, że zamierza wydawać te decyzje i doprowadzić do realnej wymiany sprzętu. Wydaje mi się, że nieliczenie tych kwot było celowe i była to zagrywka polityczna, aby ukryć fakt chęci wymiany sprzętu. Niestety, poza ustawą, w wypowiedziach publicznych, pan minister wolę usunięcia tych urządzeń jednak wykazywał. To jeden z najważniejszych wątków sporu między nami a ministerstwem. Resort mówi, że musimy wprowadzić mechanizm DWR, bo zobowiązaliśmy się do wdrożenia 5G Toolbox, ale w 5G Toolbox, po pierwsze, mechanizm DWR rzeczywiście się pojawia, ale wyłącznie w odniesieniu do sieci 5G, a nie do 18 sektorów i na pewno nie do sieci stacjonarnych. Po drugie, w 5G Toolbox nie ma konieczności usuwania sprzętu, ale mówi się o zastosowaniu „odpowiednich środków”. Mechanizm DWR jest dość elastyczny w samym 5G Toolbox i pozwala np. na dywersyfikację, a nie na usuwanie, a to jest zasadnicza różnica.

My wielokrotnie mówiliśmy w ministerstwie, że jak czyta się oryginalny dokument 5G Toolbox, to z niego wynika, że mechanizm DWR, który rzeczywiście wydaje się mieć sens w odniesieniu do sieci piątej generacji, nie ma za zadanie chronić przed wykradaniem danych, tak jak mówiono w Sejmie na spotkaniach posłów z Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. 5G Toolbox w ogóle nie dotyczy tego typu zagrożeń. Mechanizm DWR, który jest jego składową, nie służy zabezpieczeniu przed szyfrowaniem danych lub ich wykradaniem, służy zabezpieczeniu łańcucha dostaw. Dlatego w wielu krajach, wdrażając mechanizm DWR, rządy oparły się na koncepcji dywersyfikacji, która eliminuje ryzyko uzależnienia od jednego producenta. W sytuacji, gdy dostawca nie wywiąże się z dostawy sprzętu, nie pozostaje się bez alternatywy. Warto dywersyfikować i korzystać z dwóch lub trzech producentów. To ma sens. Przykładowo, mały operator może posiadać 10 tys. urządzeń jednego producenta, ponieważ nie zdywersyfikował dostawców. W sytuacji problemów z dostępnością sprzętu musi on poszukać alternatywnego dostawcy. Jeśli dodatkowo zostanie nałożony obowiązek usunięcia tych 10 tys. urządzeń, trudności z zapewnieniem nowego sprzętu jeszcze się pogłębią, zamiast zmaleć. W polskiej wersji ustawy deklarowana ochrona przed zachwianiem łańcucha dostaw w praktyce nie jest realizowana – przeciwnie, ryzyko zostaje zwiększone.

Dlaczego razem z 10 innymi izbami, zrzeszającymi przedsiębiorców skierowaliście apel do Prezydenta RP Karola Nawrockiego przeciwko nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC)?

Prezydent ma uprawnienie, aby odmówić podpisania tej ustawy. Jeśli nie jest pewny, może ją skierować do Trybunału Konstytucyjnego. W ostatnim czasie powstało kilka opinii wybitnych autorytetów prawa, z których wynika, że mechanizm DWR jest niezgodny z polską Konstytucją. Ponadto, ustawa powinna była zostać poddana notyfikacji technicznej do Komisji Europejskiej, czego również nie zrobiono, co stanowi formę bezprawia legislacyjnego. Uznaliśmy, że warto przekazać te informacje Prezydentowi RP i poprosić, aby się do tego odniósł, żeby miał szansę ocenić ją pod względem niekonstytucyjności.

W apelu określają Państwo mechanizm wymiany sprzętu od tzw. dostawców wysokiego ryzyka za „bezprawne wywłaszczenie”? Dlaczego?

Wynika to z opinii prawnych. Pierwszym prawnikiem, który w naszym otoczeniu użył tego sformułowania był prof. Ryszard Piotrowski, wybitny konstytucjonalista, wykładowca Uniwersytetu Warszawskiego na Wydziale Prawa. Co z tego, że posiadasz urządzenie, skoro nie możesz go używać zgodnie z jego przeznaczeniem, a co najwyżej trzymać w magazynie lub zutylizować? To forma wywłaszczenia, które na gruncie Konstytucji jest rozumiane bardzo szeroko.

Z dyrektywy NIS2 wynika, że jeśli istnieje faktyczne zagrożenie dla bezpieczeństwa państwa, czyli np. będą nam wyłączać sieci energetyczne albo uniemożliwiać działanie szpitala, a takie przykłady podaje pan minister na konferencjach, to zgodnie z dyrektywą NIS2 nie należy czekać 7 lat, tylko działać natychmiast. Problem polega jednak na tym, że „działanie natychmiastowe” nie oznacza obowiązku natychmiastowego usunięcia sprzętu, lecz konieczność niezwłocznego wyeliminowania zagrożenia, ograniczenia podatności czy ryzyka. To zasadnicza różnica, bo jeśli mamy urządzenie, w którym wykryto błąd, to pierwsze, co powinniśmy zrobić, to sprawdzić, gdzie on jest, na czym polega, jakie są jego skutki i je wyeliminować. Czasem naprawą jest np. wymiana wersji oprogramowania urządzenia. I to się zdarza najczęściej.

W naszych sieciach, w urządzeniach telekomunikacyjnych większość usterek usuwa się poprzez wymianę wersji oprogramowania, a nie wyrzucenie urządzenia. To zupełnie nie to samo. Czym innym jest obsługa incydentu bezpieczeństwa i usuwanie podatności, czyli naprawa błędu, a zupełnie czym innym nakaz wycofania urządzenia z użytkowania. To istota sprawy.

Dlaczego Państwa zdaniem 4 lub 7 lat na usunięcie sprzętu od tzw. DWR to za krótki termin?

Z naszego poprzedniego raportu wynika, że wśród wyróżnionych przez nas kilku podstawowych kategorii sprzętu sieciowego nie istnieje taka kategoria sprzętu, która byłaby powszechnie wymieniana co 7 lat. Nawet okres amortyzacji dla aktywnych urządzeń telekomunikacyjnych wynosi 10 lat. Dlaczego zresztą mielibyśmy usuwać sprzęt za kilka lat? Jeśli jest bezpieczny, to żaden okres nie jest właściwy. Jeśli mamy usuwać urządzenia z tego powodu, że są niebezpieczne, to czas nie gra roli. Są urządzenia, które mogą być bezpieczne po 15-20 latach, a są urządzenia, które mogą stać się niebezpieczne za rok. Ustanowienie funkcji czasu jako elementu bezpieczeństwa jest błędem co do zasady.

A czy z tym usuniętym sprzętem można byłoby jeszcze cokolwiek zrobić?

Niestety nie. Jeśli np. centrala jest profesjonalnym sprzętem do łączeń międzyoperatorskich, to może jej użyć tylko operator. Jeśli zakażemy jej użycia, to urządzenie staje się bezużyteczne. Tak samo jak z urządzeniem medycznym. Ono służy do badań. Jeśli wycofamy je z użycia, to gdzie może być dalej wykorzystywane?

A co ta wymiana mogłaby oznaczać dla przeciętnego Kowalskiego? Każdy z nas musiałby wtedy zapłacić więcej za dostęp do internetu?

To jest trudne do policzenia. Nasza sytuacja jest tak zła, że gdyby rzeczywiście doszło do konieczności wymiany większości urządzeń i to np. większości spoza UE i NATO, to koszt byłby tak znaczny, że wielu przedsiębiorców w ogóle tematu nie podejmie. Zamknie firmy i niektórzy obywatele w ogóle stracą dostęp do internetu. Nasze firmy działają często w regionach, gdzie duże korporacje nie inwestują, bo to się im nie opłaca. Jeśli z rynku znikną polscy operatorzy, zostanie kilka dużych podmiotów. W krajach zachodnich, gdzie rynek jest bardziej skoncentrowany, ceny internetu są średnio trzykrotnie wyższe niż w Polsce. To dane publicznie dostępne.

Internet w Polsce jest jednym z najtańszych w Europie właśnie dlatego, że funkcjonują tu setki elastycznych, lokalnych operatorów, którzy potrafią dostosować technologię do lokalnych warunków. Jeśli nowe obowiązki doprowadzą do ich wycofania się z rynku, ceny mogą wzrosnąć nawet trzykrotnie.

Z badania KIKE wynika, że prawie połowa przedsiębiorców (48 proc.) nadal nie zna konsekwencji nowelizacji KSC. Z czego to wynika?

Skala zmian legislacyjnych w Polsce, szczególnie w telekomunikacji, jest ogromna. W 2024 r. uchwalono całą nową najważniejszą dla nas ustawę, czyli Prawo Komunikacji Elektronicznej (PKE). Nadal wydawane są sukcesywnie kolejne rozporządzenia do tej ustawy. Do wszystkich tych zmian przedsiębiorcy muszą się dostosować. Przedsiębiorcy nie analizują jeszcze dodatkowo zmieniających się regularnie projektów ustaw. Często zapoznają się z przepisami dopiero wtedy, gdy wchodzą w życie.