Wzbudzająca liczne kontrowersje i rynkowe zaniepokojenie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa doczekała się już siódmej wersji. Mimo zgłoszenia setek uwag przez zainteresowane podmioty rynkowe, dokument wciąż zawiera wiele kontrowersyjnych przepisów, które utrudnią życie operatorom. I choć debata publiczna skupia się wokół interesów kilku największych telekomów, najnowsza iteracja ustawy w najgorszym położeniu zdaje się stawiać małych i średnich operatorów telekomunikacyjnych.
W świetle ostatnich globalnych wydarzeń i rosnących zagrożeń cybernetycznych Polska potrzebuje dzisiaj bardziej niż kiedykolwiek odpowiednich ram dla ekosystemu cyberbezpieczeństwa. Jednocześnie nasza gospodarka musi dostać nowy impuls do wzrostu, którym będzie wdrożenie nowoczesnych sieci 5G, napędzających dalszy rozwój internetu rzeczy, sztucznej inteligencji czy chmury obliczeniowej. Obu krytycznych wyzwań nie da się jednak zrealizować bez odpowiednich norm prawnych. Takim dokumentem powinna być, procedowana od niemal dwóch lat, znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa.
Od samego początku prac nad nowelizacją ustawy debatę publiczną zdominowała kwestia wskazywania „dostawcy wysokiego ryzyka”. Prawodawca założył, że konieczne jest stworzenie kryteriów, które musi spełnić tzw. zaufany dostawca sieci telekomunikacyjnych, aby jego rozwiązania mogły być wykorzystywane m.in. przy budowie sieci 5G w Polsce. Decyzję w tej sprawie ma podejmować organ rządowy – kolegium ds. cyberbezpieczeństwa, po analizie szeregu kryteriów, wśród których znajduje się także kryterium kraju pochodzenia dostawcy sprzętu. Z tego względu zarzucano stronie rządowej upolitycznienie procesu i słusznie obawiano się, że decyzje będą zapadać arbitralnie, bez konsultacji z rynkiem. W najnowszej wersji dokumentu do udziału w procedurze oceny dostawcy wysokiego ryzyka zostają jednak dopuszczeni operatorzy telekomunikacyjni – co jest dobrym rozwiązaniem, o które postulował rynek.
Tutaj pojawia się jednak wielkie „ale”, gdyż prawodawca wprowadza swoisty cenzus finansowy, dyskryminująco dzielący operatorów na lepszych i gorszych ze względu na wielkość ich przychodów. W procedurze oceny dostawcy wysokiego ryzyka wziąć będą mogli udział tylko przedsiębiorcy telekomunikacyjni, których roczny przychód wynosi ok. 113 mln złotych. Co więcej, mniejsi operatorzy, jeśli nie spełnią wymagań biznesowych, nie będą mieli również możliwości zaskarżenia rozstrzygnięcia bezpośrednio ich dotyczącego. Na uwagę zasługuje fakt, że ustawa w obecnym kształcie w żaden sposób nie uzasadnia ustalenia takiego progu, co samo w sobie może świadczyć o arbitralnym podejściu do projektowanych zmian. Warto tutaj podkreślić, że funkcjonujące od lat Prawo Telekomunikacyjne nie rozróżnia przedsiębiorców telekomunikacyjnych ze względu na przychody, ale za to nakłada takie same obowiązki ustawowe. Rozwiązanie prawne zawarte w nowej wersji KSC jest więc wbrew zasadom wolnego rynku i stanowi wprost złamanie gwarantowanej przepisami Konstytucji RP zasady równości wobec prawa. Tym samym mamy do czynienia z uprzywilejowaniem największych operatorów kosztem mniejszych firm.
Jest to szczególnie widoczne, gdy weźmiemy pod uwagę, że legislator w ogóle nie wziął pod uwagę różnić wynikających ze skali prowadzonego biznesu. Dostawcy sprzętu telekomunikacyjnego inne urządzenia mogą udostępniać największym operatorom, a inne mniejszym firmom. Może to prowadzić do kuriozalnych sytuacji, gdy do procedury oceny dostawcy sprzętu dla tych właśnie firm nie zostaną one dopuszczone, w przeciwieństwie do firm, które danego typu infrastruktury wcale nie potrzebują.
Ustawa w obecnym kształcie w żaden sposób nie uwzględnia więc żywotnych interesów ekonomicznych małych i średnich operatorów telekomunikacyjnych. Projekt nowego KSC, ze względu na obecne nadal kryteria polityczne, niezmiennie może uderzyć bowiem w azjatyckich dostawców sprzętu telekomunikacyjnego. Z opublikowanego przez KIKE raportu wynika zaś, że 100 proc. małych i średnich przedsiębiorców telekomunikacyjnych korzysta dzisiaj ze sprzętu producentów, którzy swoją siedzibę główną mają poza Unią Europejską lub USA. Oszacowany przez małych i średnich operatorów koszt wymiany takiego sprzętu wyniósłby co najmniej 161,8 mln zł - średnio 2,99 mln zł dla pojedynczej spółki. Dla mniejszych firm taki wydatek może stanowić o „być albo nie być” na rynku. Tego aspektu prawodawca zdaje się w ogóle nie brać pod uwagę.
Dlatego w procedurze oceny dostawców wysokiego ryzyka powinny brać udział zarówno duże firmy, jak i te mniejsze, które będą ponosić proporcjonalnie największe koszty potencjalnej wymiany sprzętu od dostawców wykluczonych z rynku. Konieczne jest także uwzględnienie przedstawicieli organizacji społecznych i izb handlowych reprezentujących mniejsze firmy, w celu przedstawienia stanowiska całego rynku, w sytuacji kluczowej dla funkcjonowania kompleksowego ekosystemu. Kluczowe jest także zapewnienie mniejszym operatorom możliwości zaskarżenia do sądu szkodzącej ich działalności biznesowej decyzji kolegium, wraz z zawieszeniem wykonalności decyzji. Biorąc pod uwagę fakt, że mniejsi operatorzy działają głównie lokalnie, przeciwdziałając wykluczeniu cyfrowemu mieszkańców wsi i małych miast, niezbędną zmianą może okazać się także zmiana zakresu oceny dostawców wysokiego ryzyka, która powinna ograniczyć się zakresowo wyłącznie do operatora strategicznej sieci bezpieczeństwa.
Zakres zmian wprowadzanych do ustawy o KSC i ich potencjalny wpływ na funkcjonowanie całego rynku telekomunikacyjnego oraz konieczność wypracowania nowych rozwiązań wskazuje wprost, że na obecnym etapie ustawa wymaga kompleksowych konsultacji społecznych. Tylko w ten sposób możliwe będzie wypracowanie takich rozwiązań, które uwzględnią interesy firm oraz potrzeby państwa w zakresie obronności i bezpieczeństwa, a także odpowiedzą na postulaty rynkowe. A tymczasem jakiekolwiek wykluczenie z procedury oceny dostawców wysokiego ryzyka głównych zainteresowanych jest przykładem dyskryminacji ustawowej, nie mającej żadnego związku z budowaniem ekosystemu bezpieczeństwa Polski.
Mniejsi operatorzy telekomunikacyjni mają bardzo wysoki poziom świadomości i odpowiedzialności za jakość i koszt dostarczanych lokalnie usług telekomunikacyjnych, a ich argumenty w dyskusji mają zupełnie inny kontekst merytoryczny i dlatego właśnie ich głos jest ważny, uzupełniając niezbędną do podjęcia właściwej decyzji argumentację.
Autor: Piotr Muszyński – doradca społeczny Prezydenta Pracodawców RP ds. teleinformatyki, prezes Fixmap
/>