Wzmocnienie infrastruktury cyfrowej oraz całego systemu wymiany informacji o cyberzagrożeniach jest jednym z priorytetów jeśli chodzi o bezpieczeństwo obronne i gospodarcze każdego kraju. W dyskusji nad kształtem nowego polskiego systemu cyberbezpieczeństwa należy zadbać przede wszystkim o stworzenie funkcjonalnych procedur i mechanizmów szybkiej reakcji na zagrożenia. Z drugiej strony istotne jest też jednak przestrzeganie reguł działania gospodarki wolnorynkowej. Co do zasady przepisy nie powinny kolidować z regułą równego dostępu do rynku czy prowadzić do ograniczeń wolnej konkurencji ze względu na wielkość firmy czy jej pochodzenie. Wkrótce w naszym Sejmie odbędzie się debata w tej sprawie, która może przesądzić o kształcie nowego systemu.
Odmrożony - długo oczekiwany - projekt
Prace nad nową wersją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), tj. nowelizacją ustawy o KSC z 5 lipca 2018 roku, trwają w Polsce od września 2020 roku, mimo to jak dotąd - w bieżącej kadencji parlamentu, nie znalazły swojego finału. Rządowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw dotyczy realizacji celów „Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024”. Są nimi przede wszystkim podniesienie poziomu odporności na cyberzagrożenia oraz ochrony informacji w sektorach: publicznym, militarnym i prywatnym, realizacja celów szczegółowych odnoszących się do rozwoju krajowego systemu cyberbezpieczeństwa, a także zapewnienie bezpieczeństwa łańcucha dostaw i utworzenia krajowego systemu certyfikacji cyberbezpieczeństwa.
Otwarte konsultacje to krok frontem do rynku
Projekt wpłynął do Sejmu RP na początku lipca tego roku. Podczas posiedzenia połączonych komisji sejmowych: Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej zdecydowano o przedłużeniu prac nad projektem w parlamencie i organizacji wysłuchania publicznego z udziałem przedstawicieli rynku. Odbędzie się ono 11 września i umożliwi przedstawicielom branży m.in. telekomunikacyjnej, wypowiedzenie się w najbardziej newralgicznych kwestiach będących przedmiotem regulacji. Powrót do konsultacji w otwartej formule może być więc ważnym konsensusem, bo proponowane zapisy już teraz wywołują krytyczne komentarze (w odniesieniu do uprzedniego projektu ze stycznia 2021 r. podnoszono uwagi m.in. właśnie co do samego przebiegu procesu konsultacji). Ostateczne zapisy ustawy będą determinować spełnienie potrzeb państwa w zakresie cyberobronności. Będą też miały ogromny wpływ na ukształtowanie rynku telekomunikacyjnego w Polsce, w związku z czym winny jednocześnie zapewniać poszanowanie reguł gospodarki wolnorynkowej oraz właściwie regulować kwestie dostępności usług telekomunikacyjnych dla każdego konsumenta.
Uznaniowość w procedurze weryfikacji – ryzyko potencjalnych naruszeń
W projekcie ustawy znajduje się szeroko komentowany zapis o wykluczeniu z budowy polskiej sieci 5G przedsiębiorców telekomunikacyjnych spoza Europy. Chodzi o procedurę sprawdzającą dostawców sprzętu i oprogramowania pod kątem zagrożenia, jakie może wywołać wykorzystywanie oferowanego przez nich sprzętu lub oprogramowania. W kwestii więc proponowanych nietechnicznych kryteriów oceny projekt zawiera rozwiązania stwarzające możliwość uznaniowego wykluczania z rynku firm spoza UE, w tym oferujących nowoczesne rozwiązania, ale pochodzących spoza Starego Kontynentu, np. dostawców azjatyckich. Jeżeli w przeprowadzonej analizie dostawca urządzeń lub oprogramowania zostanie określony mianem „dostawcy wysokiego ryzyka” (HRV), wówczas operatorzy, którzy z nim współpracują, nie będą mogli nadal kupować od takiej firmy sprzętu, a ten już posiadany będą musieli wymienić w ciągu 5 lub 7 lat.
Co więcej, projekt pozbawia mniejszych operatorów i dostawców usług cyfrowych nie tylko udziału w postępowaniu dotyczącym uznania za dostawcę HRV, lecz również możliwości wniesienia skargi na tę decyzję.
Mniejsza konkurencja - wyższe ceny
Konsekwencją potencjalnej ingerencji w mechanizmy wolnorynkowe, jaką niesie ze sobą przyjęcie rozwiązań w proponowanym obecnie kształcie, będzie prawdopodobnie spadek dostępności tańszych usług i wzrost cen. Takie mechanizmy wywołuje zawsze monopolizacja wszelkich usług czy produkcji przez dużych graczy. Mniejsza liczba dostępnych i certyfikowanych operatorów usług telekomunikacyjnych to nie tylko zły prognostyk dla polskich gospodarstw domowych, ale również dla naszych małych i średnich firm, które dotąd współpracowały głównie z tańszymi podmiotami spoza Europy. Wiele z nich będzie musiało zmierzyć się z koniecznością rozwiązania dotychczasowych umów, negocjowaniem nowych kontraktów z gorszą „pozycją startową” czy z utratą dominującej dotychczas pozycji na rynkach lokalnych na rzecz globalnych operatorów. Konsumenci korzystający z usług prawdopodobnie - at the end of a day - spotkają się ze wzrostem cen usług teleinformatycznych. Zarządzenie nowych reguł w branży może bowiem skłonić operatorów do przeniesienia na końcowych użytkowników kosztów związanych z wymianą sprzętu czy oprogramowania od firm uznanych za dostawców wysokiego ryzyka.