Ostatnie dni to burzliwy okres w prawodawstwie. Bynajmniej nie chodzi tylko o “Nowy Ład”, który nie jest już tylko projektem. Ale nie o nim tutaj. Pytanie jakie nasuwa nam się przy okazji analizy innych, konsultowanych i ważnych dla branży telekomunikacyjnej projektów aktów prawnych jest takie, czy zawarte w konsultowanym projekcie ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa procedury uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, opisane w art. 66a-66e będą faktycznie wykorzystywane – jak twierdzą niektórzy politycy – w skrajnych wypadkach, czy jednak jest to starannie zaplanowane narzędzie do wyeliminowania z rynku jednego, czy kilku dostawców, a w konsekwencji obciążenie finansowe dla tych telekomów, którzy ze sprzętu takiego dostawcy korzystają? Zdaje się, że może ziszczać się ten drugi scenariusz, a “katem” będzie Prezes UKE.
W tym roku słowo “cyberbezpieczeństwo” odmieniono już chyba na wszystkie możliwe przypadki, dlatego tym razem krótko. Wczoraj zakończyły się konsultacje kolejnej wersji projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (dalej UKSC). Procedura uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka jaka była, taka pozostaje. Niczego tam nie zmieniono ani nie dodano, w każdym razie niczego, co ryzyka finansowe dla ISP by zminimalizowało. Systemowo jednak jest coś, co prowadzi do tego, że ustawodawca zamierza jednak pójść o krok dalej tzn. chce zapewnić sobie narzędzie do egzekucji nakazu wycofania określonego sprzętu z rynku.
Wspominaliśmy na początku o “ustawodawczej burzy”. Do piątku trwają także konsultacje projektu ministerialnego rozporządzenia ws. inwentaryzacji infrastruktury i usług telekomunikacyjnych (znany wszystkim SIIS).
Projekt UKSC przewiduje, że skutkiem uznania dostawcy sprzętu (albo oprogramowania) za „niebezpiecznego”, będzie obowiązek przedsiębiorców telekomunikacyjnych do wycofania określonych urządzeń/oprogramowania tego dostawcy z użytkowania. Natomiast projekt rozporządzenia ws. inwentaryzacji infrastruktury przewiduje, że jednymi z raportowanych informacji mają być informacje o: producencie, modelu oraz danych katalogowych anteny użytkowanej w stacji bazowej. Co ważne, zgodnie z obecnie obowiązującym rozporządzeniem z 24 lutego 2014 r. przedsiębiorcy nie mają obowiązku przekazywania takich informacji.
Te dwa projektowane akty prawne w powiązaniu ze sobą zdają się tworzyć konstrukcję, w której z jednej strony może powstać obowiązek wycofania określonego sprzętu z użytkowania, a z drugiej strony, Prezes UKE będzie mieć informacje o tym, którzy przedsiębiorcy telekomunikacyjni z takiego sprzętu korzystają i narzędzie do stosowania egzekucji . Odnalezienie i wskazanie przedsiębiorców, którzy będą mieć obowiązek wymiany sprzętu (i później ich kontrolowanie, czy ten sprzęt wymienili, czy nie) nie będzie problemem, a przynajmniej teoretycznie będzie prostsze. Konsekwencje finansowe będą oczywiste: kto zaraportuje sprzęt “niebezpiecznego dostawcy”, będzie musiał go wymienić (zapewne na sprzęt droższy, bo nie dość, że galopuje inflacja, to “wypadnięcie” z rynku konkurenta/ów ceny usług/produktów podwyższa, a nie obniża); komu przyjdzie przypadkiem do głowy “zafałszować” raport, naraża się na karę Prezesa UKE; biada temu, kto raportu nie złoży w ogóle (tu znów wkroczy Prezes UKE i jego machina administracyjno-finansowego nacisku).
Czy projektowane zmiany faktycznie zmierzają do rychłego wyegzekwowania zakazów i nakazów z art. 66a-66e UKSC, czas pokaże. Nie taki jest jednak cel przepisów dot. SIIS. Przekazanie i gromadzenie informacji o producencie sprzętu nie wynika ani z delegacji ustawowej, ani wytycznych BEREC.
Łukasz Bazański Anna Szura