Prace nad nowelizacją KSC trwają od września 2020 r. Ustawa ma zwiększyć poziom cyberbezpieczeństwa kraju. Dlatego przewiduje m.in. rozszerzenie krajowego systemu cyberbezpieczeństwa na przedsiębiorców komunikacji elektronicznej. To pojęcie obejmuje firmy telekomunikacyjne oraz świadczące usługi tzw. komunikacji interpersonalnej niewykorzystującej numerów – czyli np. usługi poczty elektronicznej. Włączenie ich do KSC oznacza, że będą zobowiązani do m.in. zapobiegania incydentom cyberbezpieczeństwa, ich obsługi oraz raportowania odpowiednim organom. Na zgłoszenie poważnego incydentu będą mieli 8 godzin od jego wykrycia.
Zakres projektowanych w nowelizacji KSC przepisów jest jednak dużo szerszy – i część z nich budzi kontrowersje.
Co z Huawei
Najdłużej i najgoręcej dyskutowane były zapisy związane z planowaną siecią komórkową 5G w tzw. paśmie C (to częstotliwości 3,4–3,8 GHz). Dotyczą one dostawców urządzeń i oprogramowania do budowy i utrzymania sieci telekomunikacyjnych. W praktyce na tym rynku liczą się tylko chiński Huawei, szwedzki Ericsson i fińska Nokia. Projekt KSC przewiduje, że takie firmy będą badane pod kątem ewentualnego zagrożenia dla bezpieczeństwa. Jeśli analiza wypadnie dla nich niepomyślnie, zostaną uznane za dostawców wysokiego ryzyka.
Sprzętu takiego producenta nie będzie wolno kupować, a już posiadany trzeba będzie wymienić. Żadnej firmy nie wskazano w projekcie KSC wprost jako podejrzanej, jest jednak tajemnicą poliszynela, że na celowniku tych przepisów znajduje się Huawei. Uznanie go za dostawcę wysokiego ryzyka, wykluczyłoby chińskiego producenta z ogromnej inwestycji na polskim rynku telekomunikacyjnym – czyli budowy sieci 5G w paśmie C.
Od początku prac nad KSC zakładano też, że przepisy nowelizacji będą podstawą wymogów dotyczących bezpieczeństwa sieci przy aukcji częstotliwości na 5G. Tu sprawa jest obecnie niejasna, bo z powodu przedłużających się prac nad KSC prezes Urzędu Komunikacji Elektronicznej pod koniec ub.r. opracował dokumentację aukcyjną bez nowelizacji – i przeprowadził już dwie tury konsultacji. W obu wskazano, że ustalenie warunków bezpieczeństwa sieci bez nowego KSC powoduje ryzyko naruszenia prawa, w konsekwencji unieważnienie aukcji.
Co więcej – jak pisaliśmy w DGP 30 maja – podobne ostrzeżenia znalazły się w opinii kancelarii CWW, sporządzonej na zlecenie UKE.
Państwowy operator
KSC przewiduje także powołanie operatora strategicznej sieci bezpieczeństwa. Ta sieć (SSB) będzie obsługiwała m.in. organy państwa i samorządu terytorialnego. Jej operatorem zostanie spółka Skarbu Państwa o odpowiednich kompetencjach w dziedzinie telekomunikacji - najprawdopodobniej będzie to firma Exatel. Ten podmiot będzie miał preferencje przy przydziale częstotliwości.
Stworzenie SSB wywołało krytykę ze strony prywatnych operatorów. Według autorów nowelizacji KSC jest jednak konieczne, „ponieważ usługi telekomunikacyjne związane z obronnością i bezpieczeństwem państwa powinien świadczyć podmiot kontrolowany w całości przez państwo, wolny od wpływów podmiotów trzecich”. Również służąca takiej łączności infrastruktura telekomunikacyjna „powinna być pod kontrolą państwa”.
Polecenia i certyfikaty
Wiele obaw wzbudził też pomysł wprowadzenia tzw. polecenia zabezpieczającego. Będzie to decyzja administracyjna wydawana przez ministra właściwego do spraw informatyzacji w przypadku wystąpienia incydentu krytycznego - tj. niosącego znaczne szkody dla bezpieczeństwa lub porządku publicznego. Polecenie zabezpieczające nakaże przedsiębiorcom świadczącym istotne usługi dla społeczeństwa informacyjnego pewne zachowanie: np. zabroni korzystania z określonego sprzętu lub oprogramowania. Ma to zmniejszyć skutki incydentu lub zapobiec jego rozprzestrzenianiu się.
Autorzy ustawy zapewniają, że „istnieje ważny interes publiczny w tym”, aby państwo dysponowało takim narzędziem i „mogło nakazać, w niezbędnym i proporcjonalnym zakresie, przedsiębiorcom świadczącym istotne usługi dla społeczeństwa informacyjnego, zachowanie, które uchroni m.in. systemy informacyjne, sieci telekomunikacyjne wielu podmiotów przed skutkami incydentu krytycznego”.
Ponadto nowelizacja KSC wprowadzi m.in. możliwość testowania produktów, usług i procesów ICT oraz otrzymywania certyfikatów cyberbezpieczeństwa opartych na europejskich programach i uznawanych w Unii Europejskiej.