Nie jest za późno, aby polskie przepisy 5G poprawić w modelu fińskim

W rocznicę pierwszego lockdownu z powodu COVID-19 trudno znaleźć w Polsce osobę bagatelizującą gospodarkę i społeczeństwo cyfrowe. Dostęp do administracji przez E-PUAP,  zdalna praca i edukacja, czy telemedycyna pozwoliły nam wszystkim w miarę sprawnie funkcjonować w warunkach ograniczonych spotkań fizycznych i przemieszczania się.

Udział w cyfrowych aktywnościach wymaga nowoczesnej infrastruktury sieci telekomunikacyjnych, tanich usług łączności elektronicznej, w szczególności dostępu do Internetu, komputerów, smartfonów, routerów i oprogramowania. Nade wszystko wymaga kompetencji po stronie administracji cyfryzującej swoje procesy, oraz po stronie użytkowników, aby z udostępnianych usług bezpiecznie korzystać. Warunki do rozwoju inwestycji i wzrostu kompetencji powinien oczywiście tworzyć rząd proporcjonalną, mądrą regulacją.

Z tego punktu widzenia w Polsce dobrze nie jest. W publikowanym przez Komisję Europejską Indeksie Gospodarki Cyfrowej i Społeczeństwa Cyfrowego (DESI) 2020 jesteśmy na pozycji 23 z 28, na którą to pozycję wróciliśmy z pozycji 25, kręcąc się od trzech lat w kółko.

Liderem tego rankingu jest Finlandia. To miejsce nie dziwi, chociażby, patrząc jak wdrażają sieci 5G: mimo granicy z Rosją częstotliwości 700 MHz zostały przydzielone operatorom w listopadzie 2016 r. (!), aukcję pasma 3,6 GHz przeprowadzono we wrześniu 2018 r., a w czerwcu 2020 r., mimo pandemii, skończyła się aukcja pasma 26 GHz. W Polsce jedyna aukcja częstotliwości z tych zakresów, która miała szansę się odbyć dotyczyła pasma 3,6GHz i została zatrzymana w niejasnych okolicznościach z końcem zeszłego roku, a jej dalsze losy do dzisiaj są tylko przedmiotem zmiennych i dość niepokojących deklaracji to rządu, to UKE.

Równie skuteczne jak do wdrażania sieci 5G wydaje się być podejście Finlandii uregulowania cyberbezpieczeństwa tych sieci i wdrożenia europejskiego „5G Toolbox”. Ustawę w tym zakresie Finowie przyjęli i skutecznie notyfikowali już w zeszłym roku.

Regulacji poddano elementy krytyczne sieci telekomunikacyjnych (czyli przedmiot), a nie podmiot – tj. dostawców, jak w polskich projektach ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). W rezultacie, decyzją administracji, z krytycznych fragmentów sieci usunięty może zostać konkretny sprzęt będący zagrożeniem dla bezpieczeństwa narodowego, a nie sprzęt od konkretnego dostawcy. Przed usunięciem, operator takiego sprzętu, otrzymuje czas na usunięcie stwierdzonych zagrożeń i podatności.

W ramach partnerstwa administracji z rynkiem, Finowie powołuję Radę Doradczą ds. Bezpieczeństwa Krajowego, w której zasiadać będą nie tylko ministrowie z podległymi im urzędami i służbami, ale operatorzy telekomunikacyjni i przedstawiciele przemysłu. Rada ma wydawać niewiążące zalecenia ds. bezpieczeństwa sieci łączności.

Decyzja o usunięciu sprzętu nie może być ogólna, tj. np. odnosić się do sprzętu wybranego producenta czy dostawcy, z uwagi na fakt określenia go jak o „wysokiego ryzyka”. Musi ona dotyczyć szczegółowo wskazanych urządzeń – użycie konkretnego urządzenia musi rodzić rzeczywiste zagrożenie dla bezpieczeństwa narodowego. Wprowadzenie precyzyjnej definicji ustawowej elementów krytycznych, było w toku fińskich prac parlamentarnych wymaganiem Komisji Konstytucyjnej.

Regulator fiński – TRAFICOM – 8 marca 2021 r. przekazał KE notyfikację rozporządzenia wykonawczego do art. 244 i 244a fińskiej ustawy. Wymienia ono bardzo szczegółowo krytyczne elementy sieci telekomunikacyjnych. Rozporządzenie powstało w wyniku pełnej współpracy operatorów i przedstawicieli przemysłu. Na 5 stronach formatu A4 wskazane zostały funkcje i elementy krytyczne sieci łączności, poprzez odniesienie się do konkretnych definicji w międzynarodowych standardach 3GPP, z rozróżnieniem na elementy sieci 4G i sieci 5G. Interesujące jest też wyłączenie spod regulacji wymienionych krytycznych urządzeń sieciowych, jeśli służą one wsparciu usług innych niż usługi łączności elektronicznej na brzegu sieci, o ile zapewnione zostaną wskazane warunki gwarantujące bezpieczeństwo głównego ruchu telekomunikacyjnego.

Wydaje się, że nie ma żadnych merytorycznych przeszkód, aby twórcy polskiego projektu ustawy o KSC wdrażając Toolbox 5G przyjęli sposób postępowania i rozwiązania fińskie.

Zarówno partnerskie traktowanie wszystkich zainteresowanych stron (przez uczestnictwo w organie wydającym zalecenia),  jak i zawarta w ustawie przejrzysta procedura działania administracji w odniesieniu do konkretnego sprzętu (wysłuchanie opinii operatora, danie możliwości ograniczenia ryzyka, a dopiero gdy to się nie stanie, polecenie usunięcie danego urządzenia z sieci z równoczesną rekompensatą finansową) doskonale pasują do polskiego porządku prawnego i Konstytucji.