Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej (KIKE)
Reprezentuje polskie firmy, przedsiębiorców telekomunikacyjnych z polskim kapitałem. To głównie małe i średnie firmy, nie mamy wśród członków międzynarodowych korporacji. To podmioty, które lokalnie świadczą usługi, głównie dostępu do internetu w sieciach światłowodowych.
Widzimy realne ryzyko pojawienia się w przyszłości decyzji ministra cyfryzacji wykorzystujących mechanizm tzw. dostawcy wysokiego ryzyka (DWR), które to decyzje realnie, w naszej opinii, mogą skutkować obowiązkiem wycofania sprzętu spoza Unii Europejskiej i NATO. Po pierwsze, przepisy pozwalają na wydanie takich decyzji. Po drugie, dostawców spoza UE i NATO będzie łatwiej uznać za DWR niż pozostałych: ustawa wprowadza w art. 67b ust. 11 pkt 2 kilka dodatkowych przesłanek przemawiających za uznaniem dostawcy za DWR, związanych z państwem pochodzenia dostawcy. Te przesłanki mogą być badane wyłącznie w przypadku dostawców spoza UE i NATO. Po trzecie, zdecydowana większość, bo ponad 80 proc. operatorów, używa ponad 50 proc. sprzętu spoza Unii Europejskiej i NATO w swoich sieciach. Po czwarte, zarówno sam minister cyfryzacji, wicepremier Krzysztof Gawkowski, jak i inni przedstawiciele administracji wielokrotnie mówili, że uważają – a pan wicepremier powiedział to wprost – że urządzenia producentów chińskich powinny być usunięte z polskich sieci. Minister przedstawia to jako zdanie prywatne, ale wypowiedział je publicznie wielokrotnie. Jeśli złożymy wypowiedzi publiczne ministra o tym, że powinniśmy usuwać z polskich sieci sprzęt produkcji chińskiej, z ustawą, która realnie pozwala na wydawanie tego typu decyzji, to widzimy istotne zagrożenie, że będziemy musieli to zrobić. Teraz minister częściowo wycofuje się z tych twierdzeń, tłumacząc, że przecież żaden przepis nie mówi o tym, że ten sprzęt będzie musiał być usuwany.
Nie mówi, ale umożliwia wycofywanie całych kategorii sprzętu i oprogramowania konkretnych producentów, w tym sprzętu spoza Unii Europejskiej i NATO, który będzie można usunąć łatwiej. Tymczasem z naszych dwóch poprzednich raportów, jak i z najnowszego raportu, wynika, że w gruncie rzeczy w polskich sieciach światłowodowych używamy w większości rozwiązań spoza Unii Europejskiej i NATO. Zresztą tak samo, jak praktycznie każdy inny kraj europejski. Używamy głównie trzech, czterech producentów.
I właściwie ta trójka dostarcza zdecydowaną większość naszych urządzeń, jeśli chodzi o sieci światłowodowe, w tym część dostępową, o którą najbardziej się boimy.
Gdybyśmy rzeczywiście musieli usunąć cały sprzęt od dostawców spoza UE i NATO, z czego troszkę podśmiewuje się pan minister, że przecież to z żadnych przepisów nie wynika, to byłoby to ok. 14 mld zł. A zakładając, że nie będziemy musieli usunąć wszystkich, ale np. trzech ww. producentów to byłoby niewiele mniej, bo ok. 12 mld zł. Te obliczenia dotyczą małych i średnich przedsiębiorców w sektorze sieci światłowodowych. Nie mówimy w ogóle o sieciach komórkowych. Kwota 14 mld zł to poprawny szacunek, który jest też zgodny z naszymi poprzednimi analizami.
Dla przykładu, dwa lata temu robiliśmy podobne wyliczenia na mniejszej grupie i wtedy wyszło ok. 10 mld zł. Od pierwszego badania minęły cztery lata, a sprzęt został dokupiony. Było bardzo dużo inwestycji. Objęliśmy zasięgami nowe tereny, dokupiliśmy ogromną liczbę urządzeń. Wydaje mi się to naturalne, że ta kwota na przestrzeni czasu się powiększyła. Po pierwsze, sprzęt jest droższy, po drugie, mamy go więcej. Badania potwierdzają, że to realna kwota.
Przyznałby się, że zamierza wydawać te decyzje i doprowadzić do realnej wymiany sprzętu. Wydaje mi się, że nieliczenie tych kwot było celowe i była to zagrywka polityczna, aby ukryć fakt chęci wymiany sprzętu. Niestety, poza ustawą, w wypowiedziach publicznych, pan minister wolę usunięcia tych urządzeń jednak wykazywał. To jeden z najważniejszych wątków sporu między nami a ministerstwem. Resort mówi, że musimy wprowadzić mechanizm DWR, bo zobowiązaliśmy się do wdrożenia 5G Toolbox, ale w 5G Toolbox, po pierwsze, mechanizm DWR rzeczywiście się pojawia, ale wyłącznie w odniesieniu do sieci 5G, a nie do 18 sektorów i na pewno nie do sieci stacjonarnych. Po drugie, w 5G Toolbox nie ma konieczności usuwania sprzętu, ale mówi się o zastosowaniu „odpowiednich środków”. Mechanizm DWR jest dość elastyczny w samym 5G Toolbox i pozwala np. na dywersyfikację, a nie na usuwanie, a to jest zasadnicza różnica.
My wielokrotnie mówiliśmy w ministerstwie, że jak czyta się oryginalny dokument 5G Toolbox, to z niego wynika, że mechanizm DWR, który rzeczywiście wydaje się mieć sens w odniesieniu do sieci piątej generacji, nie ma za zadanie chronić przed wykradaniem danych, tak jak mówiono w Sejmie na spotkaniach posłów z Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. 5G Toolbox w ogóle nie dotyczy tego typu zagrożeń. Mechanizm DWR, który jest jego składową, nie służy zabezpieczeniu przed szyfrowaniem danych lub ich wykradaniem, służy zabezpieczeniu łańcucha dostaw. Dlatego w wielu krajach, wdrażając mechanizm DWR, rządy oparły się na koncepcji dywersyfikacji, która eliminuje ryzyko uzależnienia od jednego producenta. W sytuacji, gdy dostawca nie wywiąże się z dostawy sprzętu, nie pozostaje się bez alternatywy. Warto dywersyfikować i korzystać z dwóch lub trzech producentów. To ma sens. Przykładowo, mały operator może posiadać 10 tys. urządzeń jednego producenta, ponieważ nie zdywersyfikował dostawców. W sytuacji problemów z dostępnością sprzętu musi on poszukać alternatywnego dostawcy. Jeśli dodatkowo zostanie nałożony obowiązek usunięcia tych 10 tys. urządzeń, trudności z zapewnieniem nowego sprzętu jeszcze się pogłębią, zamiast zmaleć. W polskiej wersji ustawy deklarowana ochrona przed zachwianiem łańcucha dostaw w praktyce nie jest realizowana – przeciwnie, ryzyko zostaje zwiększone.
Prezydent ma uprawnienie, aby odmówić podpisania tej ustawy. Jeśli nie jest pewny, może ją skierować do Trybunału Konstytucyjnego. W ostatnim czasie powstało kilka opinii wybitnych autorytetów prawa, z których wynika, że mechanizm DWR jest niezgodny z polską Konstytucją. Ponadto, ustawa powinna była zostać poddana notyfikacji technicznej do Komisji Europejskiej, czego również nie zrobiono, co stanowi formę bezprawia legislacyjnego. Uznaliśmy, że warto przekazać te informacje Prezydentowi RP i poprosić, aby się do tego odniósł, żeby miał szansę ocenić ją pod względem niekonstytucyjności.
Wynika to z opinii prawnych. Pierwszym prawnikiem, który w naszym otoczeniu użył tego sformułowania był prof. Ryszard Piotrowski, wybitny konstytucjonalista, wykładowca Uniwersytetu Warszawskiego na Wydziale Prawa. Co z tego, że posiadasz urządzenie, skoro nie możesz go używać zgodnie z jego przeznaczeniem, a co najwyżej trzymać w magazynie lub zutylizować? To forma wywłaszczenia, które na gruncie Konstytucji jest rozumiane bardzo szeroko.
Z dyrektywy NIS2 wynika, że jeśli istnieje faktyczne zagrożenie dla bezpieczeństwa państwa, czyli np. będą nam wyłączać sieci energetyczne albo uniemożliwiać działanie szpitala, a takie przykłady podaje pan minister na konferencjach, to zgodnie z dyrektywą NIS2 nie należy czekać 7 lat, tylko działać natychmiast. Problem polega jednak na tym, że „działanie natychmiastowe” nie oznacza obowiązku natychmiastowego usunięcia sprzętu, lecz konieczność niezwłocznego wyeliminowania zagrożenia, ograniczenia podatności czy ryzyka. To zasadnicza różnica, bo jeśli mamy urządzenie, w którym wykryto błąd, to pierwsze, co powinniśmy zrobić, to sprawdzić, gdzie on jest, na czym polega, jakie są jego skutki i je wyeliminować. Czasem naprawą jest np. wymiana wersji oprogramowania urządzenia. I to się zdarza najczęściej.
W naszych sieciach, w urządzeniach telekomunikacyjnych większość usterek usuwa się poprzez wymianę wersji oprogramowania, a nie wyrzucenie urządzenia. To zupełnie nie to samo. Czym innym jest obsługa incydentu bezpieczeństwa i usuwanie podatności, czyli naprawa błędu, a zupełnie czym innym nakaz wycofania urządzenia z użytkowania. To istota sprawy.
Z naszego poprzedniego raportu wynika, że wśród wyróżnionych przez nas kilku podstawowych kategorii sprzętu sieciowego nie istnieje taka kategoria sprzętu, która byłaby powszechnie wymieniana co 7 lat. Nawet okres amortyzacji dla aktywnych urządzeń telekomunikacyjnych wynosi 10 lat. Dlaczego zresztą mielibyśmy usuwać sprzęt za kilka lat? Jeśli jest bezpieczny, to żaden okres nie jest właściwy. Jeśli mamy usuwać urządzenia z tego powodu, że są niebezpieczne, to czas nie gra roli. Są urządzenia, które mogą być bezpieczne po 15-20 latach, a są urządzenia, które mogą stać się niebezpieczne za rok. Ustanowienie funkcji czasu jako elementu bezpieczeństwa jest błędem co do zasady.
Niestety nie. Jeśli np. centrala jest profesjonalnym sprzętem do łączeń międzyoperatorskich, to może jej użyć tylko operator. Jeśli zakażemy jej użycia, to urządzenie staje się bezużyteczne. Tak samo jak z urządzeniem medycznym. Ono służy do badań. Jeśli wycofamy je z użycia, to gdzie może być dalej wykorzystywane?
To jest trudne do policzenia. Nasza sytuacja jest tak zła, że gdyby rzeczywiście doszło do konieczności wymiany większości urządzeń i to np. większości spoza UE i NATO, to koszt byłby tak znaczny, że wielu przedsiębiorców w ogóle tematu nie podejmie. Zamknie firmy i niektórzy obywatele w ogóle stracą dostęp do internetu. Nasze firmy działają często w regionach, gdzie duże korporacje nie inwestują, bo to się im nie opłaca. Jeśli z rynku znikną polscy operatorzy, zostanie kilka dużych podmiotów. W krajach zachodnich, gdzie rynek jest bardziej skoncentrowany, ceny internetu są średnio trzykrotnie wyższe niż w Polsce. To dane publicznie dostępne.
Internet w Polsce jest jednym z najtańszych w Europie właśnie dlatego, że funkcjonują tu setki elastycznych, lokalnych operatorów, którzy potrafią dostosować technologię do lokalnych warunków. Jeśli nowe obowiązki doprowadzą do ich wycofania się z rynku, ceny mogą wzrosnąć nawet trzykrotnie.
Skala zmian legislacyjnych w Polsce, szczególnie w telekomunikacji, jest ogromna. W 2024 r. uchwalono całą nową najważniejszą dla nas ustawę, czyli Prawo Komunikacji Elektronicznej (PKE). Nadal wydawane są sukcesywnie kolejne rozporządzenia do tej ustawy. Do wszystkich tych zmian przedsiębiorcy muszą się dostosować. Przedsiębiorcy nie analizują jeszcze dodatkowo zmieniających się regularnie projektów ustaw. Często zapoznają się z przepisami dopiero wtedy, gdy wchodzą w życie.
Staramy się oczywiście zapewniać naszym członkom możliwie pełną i aktualną informację, ale wiemy, że poza izbą funkcjonuje jeszcze wiele podmiotów, które tej wiedzy nie mają. Przedsiębiorcy są zapracowani, a jednocześnie zarzucani ciągłymi zmianami prawnymi. Naprawdę nie są w stanie na etapie projektów ustaw śledzić ich prawdziwych konsekwencji.
W mechanizmie dostawcy wysokiego ryzyka wróciłbym do założeń, które pochodzą z 5G Toolbox, czyli ograniczyłbym działanie mechanizmu dostawcy wysokiego ryzyka wyłącznie do elementów krytycznych sieci 5G, tak jak to było właśnie w zamyśle 5G Toolbox.
Oczywiście. Przykładowo przedsiębiorcy z sektora ładowarek do aut elektrycznych sygnalizują, że inwestycje zwracające się przez 10 lat staną się bardzo ryzykowne, jeśli istnieje możliwość nakazu ich usunięcia po siedmiu latach. Podobne zagrożenia dotyczą branży medycznej czy spożywczej.
Naszym zdaniem decyzje dotyczące infrastruktury energetycznej, ochrony zdrowia czy przemysłu powinny być podejmowane przez podmioty odpowiedzialne za te sektory, a nie przez ministra cyfryzacji. Usunięcie urządzenia nie zawsze jest najlepszym rozwiązaniem – czasem wystarczy je zabezpieczyć lub zaktualizować.
Oddanie jednej osobie tak szerokich kompetencji w 18 sektorach gospodarki jest – w naszej ocenie – bardzo niebezpieczne. Błędy są nieuniknione, a ich skutki mogą być poważne. Minister cyfryzacji często przypomina, że nasilają się ataki w cyberprzestrzeni. To oczywiście prawda. Jednak czy jak wymienimy chiński sprzęt na amerykański, to one nagle ustaną? No, niestety nie. To jest demagogia polityczna. To jest nieodpowiedzialna ustawa.
