Hasło „bezpieczeństwo” nie powinno być wytrychem

Prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) trwają od 2020 roku, czyli już sześć lat. Jak pani ocenia projekt zmian przygotowywany przez Ministerstwo Cyfryzacji?

Ministerstwo wykonało dużo pracy nad wdrożeniem dyrektywy NIS2. Duża część postulatów przedsiębiorców została uwzględniona. Wiele obowiązków jest określonych precyzyjnie, co powinno ułatwić ich realizację. Natomiast najważniejsze postulaty operatorów w sprawie tzw. dostawcy wysokiego ryzyka (DWR), czyli wdrożenia zaleceń 5G Toolbox, nie zostały uwzględnione wcale. Moim zdaniem mechanizm DWR w obecnym kształcie to wylanie dziecka z kąpielą.

Ministerstwo zapewnia, że małe i średnie firmy są wyłączone z mechanizmu DWR. Jednak pani od dawna wskazuje, że jest to fikcja, bo granica 10 mln zł przychodu doprowadzi do objęcia ustawą także mikroprzedsiębiorców. Co to oznacza dla małych, lokalnych dostawców internetu?

Mechanizm DWR dotknie wszystkie podmioty kluczowe i ważne oraz niektóre podmioty finansowe, które nie podlegają pod NIS2. Tylko wśród przedsiębiorców komunikacji elektronicznej wprowadzono wyjątek dla podmiotów o rocznych przychodach niższych niż 10 mln zł. Górna granica przychodów małego przedsiębiorcy wynosi jednak 10 mln euro. Czyli wszyscy mali przedsiębiorcy komunikacji elektronicznej o rocznych przychodach powyżej 10 mln zł aż do 10 mln euro także będą objęci mechanizmem. Przedsiębiorcy średni tym bardziej. Ta granica kwotowa ma zresztą znaczenie głównie retoryczne. I tak większość mikro- i małych przedsiębiorców komunikacji elektronicznej świadczy również usługi DNS, a dostawcy DNS są podmiotami kluczowymi bez względu na swoją wielkość. To oznacza, że po wydaniu decyzji DWR wszystkie podmioty kluczowe i ważne (z nielicznymi wyjątkami w branży komunikacji elektronicznej), zamiast przeznaczać swoje zasoby na walkę o cyberbezpieczeństwo i reakcję na rzeczywiste ataki, będą zobowiązani do poniesienia kosztów usunięcia nieokreślonej partii swojego sprzętu. Sprzętu, który wcale nie musi być wadliwy ani szkodliwy. Dlaczego tak twierdzę? Wiemy, jakie zagadnienia będą badane przez kolegium ds. cyberbezpieczeństwa przy wydawaniu opinii dla ministra cyfryzacji w toku postępowania DWR. Niektóre z tych zagadnień mogą być w ogóle badane wyłącznie w przypadku dostawców spoza UE i NATO. Zatem państwo pochodzenia dostawcy może okazać się równie ważne, jak i ewentualne wady sprzętu. W skrócie: polscy przedsiębiorcy mogą zostać zobowiązani do usuwania sprawnego i bezpiecznego sprzętu.

Wspomniała pani o swego rodzaju cenzusie majątkowym w procedurze wyboru dostawcy. Czy to oznacza, że prawo do bycia stroną w tak kluczowym postępowaniu ma zależeć od wielkości portfela firmy? Co to może oznaczać dla małych i średnich firm?

Dokładnie tak jest. W mechanizmie DWR są przedsiębiorcy, którzy mają więcej praw, bo są bogaci. I przedsiębiorcy, którzy nie mają praw, ponieważ są zbyt biedni lub nie świadczą usług komunikacji elektronicznej. Status strony w postępowaniu w sprawie uznania dostawcy za DWR przysługuje samemu „kandydatowi” na DWR. Do postępowania mogą dołączyć przedsiębiorcy telekomunikacyjni, których przychód wyniósł co najmniej „dwudziestotysięczną krotność przeciętnego wynagrodzenia w gospodarce narodowej”. Ta kwota do obecnie ok. 178 mln zł. Natomiast bezpośrednie skutki uznania dostawcy za DWR ponoszą, co do zasady, wszystkie podmioty kluczowe i ważne z 18 sektorów gospodarki (nie tylko komunikacji elektronicznej), użytkujące sprzęt, który zostanie objęty nakazem „wycofania z użytkowania”. Bez żadnej rekompensaty. Brak statusu strony w postępowaniu DWR oznacza przede wszystkim brak możliwości przedstawiania dowodów oraz kontrargumentów dla twierdzeń strony przeciwnej. A przecież duzi przedsiębiorcy telekomunikacyjni borykają się z innymi problemami niż przedsiębiorcy mniejsi. Inna jest choćby ich siła negocjacyjna z dostawcami sprzętu. Z tego powodu nie ma możliwości, aby decyzja DWR była wydana zgodnie z zasadą proporcjonalności, czyli zawierała tylko środki konieczne i adekwatne do stwierdzonego ryzyka – także dla polskich przedsiębiorców, a nie tylko międzynarodowych korporacji.

Zgodnie z terminami zawartymi w projekcie rząd zakłada, że sprzęt telekomunikacyjny wymienia się co cztery–siedem lat. Jednak z raportu KIKE wynika, że okres amortyzacji wynosi 10 lat, a kluczowe urządzenia pracują jeszcze dłużej. Czy w innych państwach pojawiły się problemy z brakiem środków na wymianę sprzętu?

Jedynym źródłem danych na temat cyklu życia sprzętu, przywoływanym przez ministerstwo w uzasadnieniu projektu ustawy, jest raport BEREC na temat sieci 5G. I nawet z tego raportu wynika co najwyżej, że cykl życia urządzeń w sieci szkieletowej i RAN 5G wynosi pięć do 10 lat. Czyli twierdzenie, że cykl życia urządzeń pełniących funkcje krytyczne w sieciach ruchomych (nie tylko w sieci 5G) wynosi cztery lata – nie ma podstaw. Ministerstwo nie przytacza żadnych danych, które mogłyby uzasadniać twierdzenie o cyklu życia sprzętu w sieciach stacjonarnych. Takie dane postanowiła zgromadzić KIKE. Z raportu KIKE wynika przede wszystkim, że wśród pięciu najbardziej podstawowych kategorii sprzętu w sieciach światłowodowych nie ma takiego sprzętu telekomunikacyjnego, który byłby powszechnie wymieniany co siedem lat. Natomiast w zakresie środków na wymianę sprzętu nie możemy porównywać się z żadnym państwem UE. Z załącznika do oceny skutków regulacji, przygotowanego przez ministerstwo, oraz z drugiego raportu unijnej Grupy NIS na temat wdrażania 5G Toolbox wynika, że w innych państwach UE środki dotyczące DWR dotyczą przede wszystkim sieci 5G. Potencjalna skala rażenia polskiego mechanizmu DWR, który ma objąć 18 sektorów gospodarki, może być tylko porównywana – z zachowaniem oczywiście proporcji – z mechanizmem wdrożonym w USA. W 2020 r. przyjęto tam regulację zmierzającą do usuwania sprzętu chińskich dostawców wykorzystywanych w telekomunikacji i w monitoringu wideo. Z informacji na stronie amerykańskiego Kongresu wynika, że na wymianę niektórych tylko rodzajów sprzętu, przy dofinansowaniu na poziomie 39,5 proc., przyznano fundusze w wysokości niecałych 2 mld dol. Odpowiedzialny za dofinansowania organ FCC ogłosił w 2022 r., że uwzględnienie wniosków o dofinansowanie w przypadku wszystkich kwalifikujących się wniosków wymagałoby dofinansowania na poziomie 4,98 mld dol.

Powiedziała pani, że żadne inne państwo UE nie rozszerza mechanizmu DWR z technologii 5G na aż 18 innych sektorów gospodarki. Dlaczego Polska decyduje się na tak szerokie działanie mechanizmu, co może się odbić na bezpieczeństwie ekonomicznym nawet 40 tys. podmiotów?

Ministerstwo twierdzi, parafrazując, że tak będzie bezpieczniej. Moim zdaniem hasło „bezpieczeństwo” nie powinno być wytrychem, który zwalnia z analizy skutków planowanych restrykcji. Tym bardziej że mówimy o podwyższonym profilu ryzyka dostawców, a nie o bezpośredniej groźbie i stwierdzonych naruszeniach. W przypadku sprzętu, który jest rzeczywiście wadliwy, a jego dostawca jest powiązany z cyberatakami, organy dysponują innymi, bardzo stanowczymi narzędziami o natychmiastowych skutkach. W swoim obecnym kształcie regulacja DWR ma potencjał katastroficzny dla polskich przedsiębiorców telekomunikacyjnych, w tym dla sieci wybudowanych z funduszy unijnych. W sieciach, których nie opłacało się budować na zasadach komercyjnych, może również nie opłacać się wymieniać całych partii sprzętu. Zatem mechanizm DWR to taki duży czerwony guzik, którym można potencjalnie wyłączyć sieci budowane ze środków publicznych od lat. Ponieważ jest w nich sporo sprzętu dostawców spoza UE i NATO. Problem polega głównie na tym, że ministerstwo nie analizowało potencjalnych skutków ekonomicznych decyzji DWR na etapie prac nad ustawą, a na etapie wydawania decyzji – chce skutecznie uniemożliwić badanie takich skutków dla telekomunikacyjnych MŚP oraz dla pozostałych podmiotów kluczowych i ważnych.

Dlaczego pani zdaniem rząd od razu sięga po „opcję atomową”, czyli całkowity nakaz usuwania sprzętu danego dostawcy, zamiast na przykład ograniczać udział takiej firmy w sieci do bezpiecznego poziomu?