Mariusz Busiło: Uderzenie w konkurencyjność na polskim rynku telekomunikacyjnym

Rządowa propozycja zmian do ustawy o krajowym systemie negatywnie zaskoczyła chyba wszystkie podmioty działające na rynku telekomunikacyjnym w Polsce. Przygotowywany w atmosferze tajemnicy, został w końcu przedstawiony do publicznych konsultacji, z niezwykle krótkim, jak na zakres proponowanych zmian i skutki terminem 14 dni na zgłaszanie uwag. Skrócenie minimalnego stosowanego w takich projektach czasu 21 dni uzasadniono „innymi pilnymi inicjatywami ustawodawczymi”. Z uwagi na zakres zmian i potencjalne skutki społeczne i gospodarcze projektowanych rozwiązań budzi poważne zastrzeżenia.

Pierwszą rzeczą, po wstępnej analizie, jest włączenie wszystkich sieci telekomunikacyjnych, w zakres działania ustawy o systemie cyberbezpieczeństwa RP, mimo że od siedmiu lat mają one swoją osobną regulację bezpieczeństwa, zgodną z prawem unijnym, a równolegle przygotowany w tym samym ministerstwie projekt ustawy Prawo Komunikacji Elektronicznej („PKE”) podtrzymuje ten stan. Taka sprzeczność dwóch opublikowanych w odstępie kilku tygodni projektów ustaw rodzi poważne pytania o racjonalność działania ich autora.

Autor, Ministerstwo Cyfryzacji, wskazuje że „zmiany są konieczne z powodu podjętych na poziomie europejskim zobowiązań”, wskazując jako ich źródło tak zwany „5G Toolbox”, czyli zestaw narzędzi przygotowanych przez Komisję Europejską, Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Warto jednak wskazać, że 5G Toolbox ma znacznie niższy poziom w europejskim systemie aktów prawnych, niż dyrektywa NIS 2016/1148, która jednoznacznie wyłącza ze swojego zakresu sieci telekomunikacyjne, uznając regulacje dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej za wystarczające, zastąpionych przez art. art. 40 i nn Dyrektywy (UE) 2018/1972 ustanawiającą Europejski Kodeks Łączności Elektronicznej („EKŁE”), który powinien zostać wdrożony do polskiego porządku prawnego do 21 grudnia 2020 r. Prace nad PKE są już zaawansowane. Na początku września zakończyły się jego publiczne konsultacje. Projekt PKE praktycznie przejmuje w art. 39 i nn. regulacje zawarte dotychczas w ustawie Prawo telekomunikacyjne, dotyczące bezpieczeństwa i integralności sieci i usług telekomunikacyjnych, zgodnie z art. 40 i nn EKŁE.

Implementacja 5G Toolbox powinna zostać wykonana w przepisach wykonawczych do ustawy Prawo telekomunikacyjne (nawet art. 175d polskiej ustawy Prawo telekomunikacyjne przewidziano uwzględnienie przez Ministra Cyfryzacji wytycznych ENISA w Rozporządzeniu 175d), a nie zostać objęta oddzielnym reżimem ustawowym, wynikającym z dyrektywy NIS. W tym kontekście, projekt ustawy wydaje się sprzeczny z harmonizacją europejską, a część przepisów tam zawartych powiela obecnie już zawarte w innej ustawie (Prawo Telekomunikacyjne) oraz w projekcie ustawy Prawo Komunikacji Elektronicznej.

Kolejna regulacja, która wpada w oko już w pierwszym czytaniu, to kontrowersyjny mechanizm ingerowania administracji publicznej w budowę sieci telekomunikacyjnych przez prywatnych operatorów.

Mowa o projektowanym art. 66b, który stwierdza, że „w przypadku sporządzenia oceny ryzyka określającej wysokie ryzyko dostawcy sprzętu lub oprogramowania” podmioty objęte ustawą (w tym operatorzy telekomunikacyjni) muszą wprowadzać do użytkowania sprzęt, oprogramowania lub usługi określone w ocenie danego dostawcy sprzętu lub oprogramowania oraz wycofać z użytkowania sprzęt, oprogramowanie i usługi określone w ocenie danego dostawcy sprzętu lub oprogramowania nie później niż 5 lat od dnia ogłoszenia komunikatu o ocenie. Nie przewidziano żadnych odszkodowań od Skarbu Państwa z tytułu tego swoistego wywłaszczenia.

Ocena ogłaszana jest Monitorze Polskim, w procesie bez udziału zainteresowanych podmiotów (ani dostawca, ani podmioty, na które nakłada się kosztowne obowiązki nie mają na nią wpływu) oraz bez możliwości jakiegokolwiek odwołania się do niezależnego organu wyższej instancji czy kontroli sądowej. Jedynie w przypadku określenia umiarkowanego lub niskiego ryzyka dostawca, którego dotyczy ta ocena dostawcy sprzętu lub oprogramowania, może przedstawić Kolegium środki zaradcze i plan naprawczy, a Kolegium wydające ocenę w przypadku akceptacji tych środków i planu naprawczego może zmienić ocenę. Sama ocena jest dokonywana w oparciu o bardzo ogólne i arbitralne kryteria, bez konkretnych miar i obiektywnych wskaźników. Z inicjatywą przeprowadzenia oceny może zwrócić się dowolny członek Kolegium. Ocena może dotyczyć arbitralnie wybranego dostawcy. W efekcie mamy sytuację, w której w niejawnej procedurze zbliżonej w działaniu do sądu kapturowego nakładane mogą być obowiązki, których wykonanie może kosztować prywatne przedsiębiorstwa nawet miliardy złotych. Negatywny wpływ na konkurencję (wykluczanie dostawców może sprzyjać tworzeniem monopoli i oligopoli), skutków społecznych (wzrost cen, który będzie musiał rekompensować koszty wycofywania sprzętu, odbije się negatywnie na konsumentach) i wzrostu wykluczenia cyfrowego. Przewidziane w art. 66b i nn. regulacje nie spełniają podstawowych zasad demokratycznego państwa prawa.

Materia cyberbezpieczeństwa jest niezwykle istotna i coraz istotniej przenika wszystkie aspekty naszej codzienności. Wszelkie regulacje w tym obszarze powinny być podejmowane rozważnie i przy jak najszerszych konsultacjach społecznych. W odniesieniu do projektu ustawy opublikowanego przez Ministra Cyfryzacji należy w pierwszej kolejności postulować wydłużenie okresu konsultacji do co najmniej 30 dni. Projekt zawiera oczekiwane przez sektor telekomunikacyjny pozytywne regulacje, takie jak wprowadzenie CSIRT Telko i koordynacje jego działań z innymi centrami bezpieczeństwa. Jednak zawiera też rozwiązania całkowicie nietrafione, nieprzystające go porządku prawnego jaki obowiązuje w Polsce. Rządowi powinno zależeć, by w tak delikatnej materii dać realną szansę wszystkim zainteresowanym na przeprowadzenie stosownych analiz nowych przepisów na ich działalność i przekazanie takich ekspertyz projektodawcom. Jest to o tyle istotne, że sami autorzy projektu nie przeprowadzili w sposób prawidłowo wymaganej zasadami techniki prawodawczej Oceny Skutków Regulacji.

Tymczasem jak wskazano w kilku punktach powyżej regulacja może ograniczyć konkurencyjność na polskim rynku, co odbije się negatywnie na konsumentach, przez opóźnienie udostępniania im nowoczesnych usług w dostępnej cenie. W konsekwencji wpłynie też na dostępność narzędzi niezbędnych do zdalnej pracy, nauki, czy diagnostyki medycznej. Całkowicie pominięty przez autorów pozostał także wpływ tych przepisów na koszty działalności samorządów terytorialnych, w szczególności w miastach. Niewłaściwie rozumiana potrzeba zapewnienia bezpieczeństwa usług telekomunikacyjnych, może w efekcie doprowadzić do ograniczenia ich dostępności i wzrostu wykluczenia cyfrowego.

Mariusz Busiło jest prawnikiem specjalizującym się w nowych technologiach, wspólnikiem w Kancelarii Bącal, Busiło Sp. k. Zajmuje się łącznością bezprzewodową, prywatnością i bezpieczeństwem. Posiada szerokie doświadczenie w pracach zespołów eksperckich polskich i zagranicznych, w tym Komisji Europejskiej, Europejskiej Konferencji Administracji Poczty i Telekomunikacji (CEPT) oraz Międzynarodowego Związku Telekomunikacyjnego (ITU). Brał udział w całym spektrum prac legislacyjnych, m.in. nad projektami ustaw i rozporządzeń z obszaru telekomunikacji, mediów i sektora technologii informacyjno – komunikacyjnych (ICT). Jest krótkofalowcem (SP5ITI).

Publicystyka