Bezpieczeństwo EkonomiczneKomentarze I Analizy

Ustawa o KSC jest kontrowersyjna i dyskryminuje biznes [WYWIAD]

W Rządowym Centrum Legislacyjnym pojawiła się nowa wersja projektu nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (ustawa o KSC), która wywołała dość duże emocje. Głównie ze względu na dyskryminację niektórych podmiotów.

Jednym z najważniejszych a zarazem najbardziej kontrowersyjnych punktów ustawy o KSC jest procedura nadania dostawcom sprzętu telekomunikacyjnego (czyli np. takiego do uruchomienia 5G) statusu dostawcy wysokiego ryzyka. Status ten byłby nadawany dostawcom, którzy nie spełniliby szeregu kryteriów. W efekcie byłby to dla nich pocałunek śmierci, który całkowicie wykluczyłby ich z rynku bez możliwości powrotu.

Wśród kryteriów, które decydowałyby o być albo nie być dostawcy decydowałaby m.in. narodowość tj. czy kraj pochodzenia dostawcy jest w NATO lub UE. Decydować miałoby o tym specjalne kolegium do spraw cyberbezpieczeństwa. Co ciekawe do kolegium jako strona oceniająca może przystąpić przedsiębiorca komunikacyjne pod jednym warunkiem. Przychody za wcześniejszy rok muszą stanowić 20-tysięcznokrotność średniego wynagrodzenia, czyli ponad 100 mln złotych. To z kolei oznacza, że możliwość decydowania będzie miało tylko kilku największych operatorów. Z kolei z postępowania zostaną wykluczone małe i średnie firmy, które będą musiały dostosować się do podjętych decyzji. W przypadku wpisania na listę dostawców wysokiego ryzyka firmy, która dostarcza przedsiębiorcom telekomunikacyjnym infrastrukturę, te zmuszone będą do jej wymiany.

Wykluczenie jakiegokolwiek dostawcy sprzętu sieciowego oznaczałoby dla operatorów telekomunikacyjnych koniecznością poniesienia dużych kosztów wymiany sprzętu, a w efekcie i cen dla konsumentów. Analitycy Audytelu oszacowali, że koszty wymiany sprzętu od tylko jednego dostawcy z Azji mogłyby sięgnąć aż 14,9 mld zł.

W związku z siódmą już wersją ustawy o KSC postanowiliśmy o niej porozmawiać z ekspertem ds. cyberbezpieczeństwa, mec. Maciejem Trociem, ekspertem Warsaw Enterprise Institute.

Filip Lamański: Czy nowa wersja ustawy o KSC to Pana zdaniem dobry krok w stronę stworzenia ram prawnych dla rozwoju polskiej cyfryzacji oraz ekosystemu cyberbezpieczeństwa?

Mec. Maciej Troć: Przede wszystkim nowelizacja jest bardzo szeroka, więc trudno odnieść się do całości. Są w niej elementy dobre, ale też te kontrowersyjne, o których się więcej rozmawia i które mogą wymagać poprawy.

Jak ocenia Pan wykluczenie części podmiotów telekomunikacyjnych z istotnej dla ich funkcjonowania procedury wyboru dostawcy sprzętu telekomunikacyjnego na bazie kryteriów finansowych? To chyba dość kontrowersyjny zapis? Czy mamy tutaj do czynienia z jawną dyskryminacją systemową?

Chodzi Panu zapewne o umożliwienie wyłącznie niektórym przedsiębiorstwom telekomunikacyjnym przystąpienie na prawach strony do postępowania w sprawie uznania danego podmiotu za dostawcę wysokiego ryzyka. W tych postępowaniach będą mogli brać udział również najwięksi przedsiębiorcy telekomunikacyjni. Postulowano by byli to wszyscy przedsiębiorcy telekomunikacyjni, którzy są zainteresowani wynikiem postępowania, tak jednak nie będzie i wprowadzono w tym zakresie kryterium przychodowe. Warto powiedzieć, że jeśli dany dostawca zostanie uznany za dostawcę wysokiego ryzyka, to wówczas szereg podmiotów rynkowych, w tym przedsiębiorcy telekomunikacyjni, nie będzie mogło korzystać z produktów i usług takiego dostawcy wskazanych w decyzji w sprawie uznania za dostawcę wysokiego ryzyka. W związku z tym przedsiębiorcy telekomunikacyjni są bezpośrednio zainteresowani tym, czy dany dostawca będzie zakwalifikowany jako dostawca wysokiego ryzyka czy też nie. Ta nowelizacja w obecnym kształcie wprowadza ograniczenie możliwości uczestnictwa w tym postępowaniu, które polega na wprowadzeniu kryterium przychodowego. W postępowania będą mogły uczestniczyć tylko tacy przedsiębiorcy telekomunikacyjni, którzy osiągnęli w roku poprzednim przychody na poziomie 20-tysięcznej krotności przeciętnego wynagrodzenia, czyli w obecnie jest to ponad 100 mln złotych. W praktyce zapis ten pozwala na udział w postępowaniu wyłącznie kilkunastu przedsiębiorcom telekomunikacyjnym w Polsce, o czym zresztą wprost jest mowa w uzasadnieniu tej nowelizacji.

Zobacz także: Polskie5G coraz bliżej realizacji! Lepsze połączenie w całej Polsce?

Jeśli jakiś dostawca zostanie uznany za dostawce wysokiego ryzyka, jakie ma wówczas możliwości działania by przestać nim być?

Ustawa zasadniczo nie przewiduje wdrażania środków naprawczych. Jeśli ktoś raz zostanie uznany za przedsiębiorcę wysokiego ryzyka to jest to generalnie decyzja ostateczna. Nie ma trybu, w którym firma dostałaby decyzję, w której zostałaby poinformowana, że obecnie jest uznana za dostawcę wysokiego ryzyka, ale jeśli spełni określone warunki, to ta decyzja zostanie cofnięta. Nie ma takiej procedury. Co więcej, nie ma trybu, który zakładałby np. wznowienie postępowania w sprawie spółki, która została uznana w przeszłości za dostawcę wysokiego ryzyka, ale np. zmieniły się jakieś okoliczności i firma chciałby ponownie przejść przez to postępowanie. Nie ma takiego mechanizmu, który pozwoliłby przedsiębiorstwom przestać być dostawcą wysokiego ryzyka. Ze względu na ostateczny charakter podejmowanych decyzji, jest to mechanizm, który z pewnością trzeba przedyskutować, czy aby na pewno powinien tak wyglądać.

Czy w związku z ograniczeniem przychodowym, nowa wersja ustawy o KSC w jakiś sposób może naruszać istniejące obecnie przepisy prawne?

Nie ma tutaj wydaje się żadnych przepisów, które wprost nakazywałyby uwzględnianie wszystkich przedsiębiorstw telekomunikacyjnych w postępowaniach. Tu bardziej trzeba się odwoływać do kwestii równości i proporcjonalności. Jeśli przedsiębiorca telekomunikacyjny jest zainteresowany wynikiem postępowania, a w tym wypadku na pewno tak właśnie jest, to logika i dotychczasowa praktyka motywowana pojęciem strony z Kodeksu postępowania administracyjnego wskazuje, że powinien on uczestniczyć w postępowaniu. Trudno jednak znaleźć bezwzględnie obowiązujące przepisy prawne, które wprost wskażą, że każdy przedsiębiorca telekomunikacyjny musi być uwzględniony.

W stosunku do poprzednich wersji ustawy i tak jest poprawa. Gdy porównamy obecny kształt ustawy z poprzednim, to w poprzednim kształcie ustawy w ogóle żaden przedsiębiorca telekomunikacyjny nie był dopuszczony do postępowania. Więc i tak ta nowelizacja jest pewnym krokiem odpowiadającym na postulaty strony społecznej i przedsiębiorców telekomunikacyjnych, ale wydaje się, że jest to krok niewystarczający.

Dlaczego wprowadzono ten przepis 20-tysięcznokrotności? Nie mogą być wszyscy, tylko ci co akurat mają te ponad 100 mln przychodu?

Chodzi tutaj zapewne o zapewnienie sprawnego przebiegu postępowania. Łatwiej jest zarządzać procesem udziału kilkunastu podmiotów, a nie kilkuset podmiotów. Gdybyśmy nie ograniczali tego w ogóle, to można sobie wyobrazić, że ktoś może stworzyć przedsiębiorstwo telekomunikacyjne tylko na potrzeby uczestnictwa w danych postępowaniach i potem te postępowania opóźniać lub działać wobec nich destruktywnie. Kryterium przychodowe daje nam pewną gwarancje, że w postępowaniu będzie brał udział duży faktycznie działający na rynku podmiot. Wydaje się, że rzeczywiście trzeba postawić jakąś granice przychodową, ale może niekoniecznie tak wysoką. Mógłby to być przychód na poziomie kilku milionów złotych, tak żeby wykluczyć sytuację tworzenia sztucznych podmiotów na potrzeby postępowania. Teraz możliwość uczestnictwa jest tak zawężona, że można by spokojnie wyliczyć w ustawie wprost tych przedsiębiorców, którzy będą mogli uczestniczyć w postępowaniach. Tak wąskie jest to grono.

Zobacz także: Cyfrowi nomadzi są szansą na rozwój polskich miast

To jest bodajże siódma wersja tej ustawy. Konsultacje publiczne były jednak tylko przy pierwszej wersji, która została opublikowana we wrześniu 2020 roku. Nie zostały przeprowadzone formalne konsultacje publiczne do wersji projektu z 12 października 2021 r., pomimo że w tej wersji wprowadzono nowe przepisy dotyczące m.in.: strategicznej sieci bezpieczeństwa, spółki Polskie 5G, funduszu celowego na rzecz strategicznej sieci bezpieczeństwa czy rozdysponowania częstotliwości 700 MHz. Biorąc pod uwagę szeroki zakres zmian w ustawie względem poprzednich wersji ustawy, czy nie są konieczne konsultacje publiczne z głównymi uczestnikami rynku?

Pierwsze konsultacje publiczne w tego typu projektach są zasadniczo obowiązkowe, na co wskazuje regulamin Rady Ministrów. Jeśli pojawiają się kolejne wersje ustawy, to wszystko zależy od skali zmian. Jeśli wprowadzone zmiany są nieznaczne, to nie robi się kolejnych konsultacji. Jeśli jest inaczej, tzn. mamy jakieś istotne zmiany, to zasadniczo takie konsultacje należałoby ponownie przeprowadzić. Pytanie, jak podchodzimy do tych zmian, które wprowadzono obecnie. Czy to są rzeczywiście nieznaczne zmiany, które nie wymagają konsultacji publicznych? Choćby na podstawie ilości komentarzy i kontrowersji wokół tych zmian można dojść do wniosku, że to są istotne zmiany, które należałoby ponownie skonsultować. Choćby kwestie dopuszczenia przedsiębiorców telekomunikacyjnych do postępowań w sprawie uznawania dostawców za dostawców wysokiego ryzyka, o których mówimy. To jest kwestia bardzo sporna, która wymagałaby konsultacji publicznych. Trudno powiedzieć, żeby został osiągnięty konsensus, z którym można pójść dalej. Cały czas są wątpliwości, w związku z tym wydaje się, że konsultacje publiczne powinny tutaj być przeprowadzone.

Jaki może być wpływ ustawy o KSC na małych i średnich operatorów telekomunikacyjnych?

To będzie miało zasadniczy wpływ na wszystkie podmioty, nie tylko na małe i średnie firmy. Cała koncepcja uznawania dostawców za dostawców wysokiego ryzyka mocno wpłynie na rynek. W momencie kiedy jakaś firma zostanie uznana za dostawce wysokiego ryzyka, operator telekomunikacyjny będzie musiał zmienić część swojej infrastruktury w zakresie, w którym korzysta z urządzeń i usług tego dostawcy wskazanego w decyzji. W tym znaczeniu to będzie miało ogromny wpływ. Trudno też powiedzieć, urządzenia i usługi którego dokładnie dostawcy taka zmiana będzie dotyczyć, bo to zależy od tego, kto zostanie uznany za dostawcę wysokiego ryzyka. Ustawa ta będzie miała istotny wpływ na przedsiębiorstwa telekomunikacyjne. W związku z tym kontrowersyjne jest, że tak wąskie grono przedsiębiorców telekomunikacyjnych będzie mogło brać udział w postępowaniach dotyczących dostawców.

Czyli de facto mniejszym przedsiębiorcom zostanie narzucony sprzęt z którego mają korzystać?

Nie tyle zostanie narzucony sprzęt, z którego mają korzystać, co zostanie im narzucone, z którego sprzętu nie mogą korzystać.

Czy projektowane obecnie przepisy mogą doprowadzić do ograniczenia możliwości rozwoju sieci telekomunikacyjnych w Polsce? Mam tu na myśli m.in. sieć 5G.

Ta ustawa tworzy ramy dla rozwoju sieci 5G i na pewno jest ona w tym znaczeniu fundamentalnie ważna. Sieć 5G to technologia z ogromnym potencjałem. W kontekście rozwoju sieci 5G nawet nie same zapisy ustawy mogą ograniczyć jej rozwój, ale sam brak uchwalenia tej nowelizacji w praktce ogranicza ten rozwój.

Mówi Pan, że 5G jest bardzo ważną technologią dla rozwoju kraju. Nasuwa więc się pytanie, dlaczego to tak długo trwa? Jest to siódma nowelizacja tej ustawy, a cały proces trwa już półtora roku. Są ustawy, które „przepychane” są momentalnie, a ta mająca tak duże znaczenie się przeciąga.

Ta ustawa narzuca nam określone ramy, w których 5G będzie tworzone w związku z tym jest to dość obszerny i ważny dokument. Wszystko to musi być przemyślane pod każdym kątem, zwłaszcza, że państwo prawdopodobnie zdominuje kluczowe aspekty rozwoju tej sieci.

To dobrze czy nie, że państwo będzie miało tak silny udział w tworzeniu sieci 5G?

Uważam, że można w tej nowelizacji zawrzeć więcej mechanizmów wolnorynkowych. W tym momencie jest to głównie rozwój zdominowany przez państwo. O ile sam rozwój sieci jest niekontrowersyjny, to nad sposobem można się zastanowić.

A jak to wygląda w innych krajach? Też jest tak cały proces upaństwowiony?

Jeśli chodzi o inne kraje, to jest z tym bardzo różnie. Upaństwowienie 5G bierze się w dużej mierze z unijnego dokumentu 5G Toolbox, w którym zaznacza się, żeby państwa UE zwróciły szczególną uwagę na bezpieczeństwo tej technologii.

Transformacja cyfrowa – więcej niż technologia?

Polecane artykuły

Back to top button