Rząd dąży do zablokowania Huaweia w Polsce. Operatorom grożą gigantyczne kary za niewypełnienie nowego prawa
5 lat na wyczyszczenie infrastruktury ze sprzętu uznanego za „ryzykowny”, kary do 3 proc. światowego obrotu za niewypełnienie tego obowiązku i tylko 14 dni na odwołanie się od decyzji rządu. Oto nowe zasady związane z cyberbezpieczeństwem w kluczowych obszarach. Tak rząd chce rozwiązać problem jaki ma z Huaweiem.
O tym, że szykowana jest nowa wersja ustawy o krajowym systemie cyberbezpieczeństwa wiadomo było już od kilku tygodni. Nowelizacja ta jest o tyle ważna, że prace nad nią przypadły wokół wizyty sekretarza stanu Mike'a Pompeo i jego zabiegów by państwa Europy Środkowej przyłączyły się do amerykańskiego planu ograniczania wpływów Chin w nowych technologiach. W wielkim skrócie chodzi o to, by zablokować Huaweia w budowie sieci 5G.
Opublikowany dziś przez przez Ministerstwo Cyfryzacji dokument nie pozostawia złudzeń. Jest tak skonstruowany, że pozwala nie tylko na zablokowanie udziału Huaweia w budowie sieci 5G ale może nawet doprowadzić do całkowitego pozbycia się tego chińskiego potentata z infrastruktury operatorów komórkowych. To pierwszy tak zdecydowany krok prawny w Polsce od czasu narastających kontrowersji wokół wybuchu afery szpiegowskiej w styczniu 2019 roku.
Jak zbanować, ale nie zbanować?
Oczywiście w nowelizacji ustawy nie pojawia się nazwa żadnego dostawcy, ale już w jej uzasadnieniu wyraźnie podkreślone jest, że to sieć 5G jest brana pod uwagę jako kluczowa do chronienia. Tyle że resort cyfryzacji już wielokrotnie zapewniał, że nie będzie bezpośrednio wskazywał żadnego dostawcy i jest za tym, by zachować zasady wolnego i konkurencyjnego rynku, także w stosunku do budowy sieci nowej generacji. Dlatego też nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa oprócz zapewnienia furtki do zablokowania pewnych firm, pozostawia także podobne furtki do negocjacji z nimi tak, by wciąż u nas działały, ale pod konkretnymi ograniczeniami. - Zjadamy ciastko i mamy ciastko - trochę cieszy się jeden z doradców rzadu związany z rynkiem telekomunikacyjnym.
O projekcie ustawy, który wyciekł kilka tygodni temu pisaliśmy już w Magazynie Spider’s Web+. W pierwotnej i obecnej wersji kluczowy jest art. 66.1a mówiący, że „Kolegium ds. cyberbezpieczeństwa może sporządzić, na wniosek członka Kolegium, ocenę ryzyka dostawcy sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa podmiotów krajowego systemu cyberbezpieczeństwa".
W skład tego kolegium wchodzą najważniejsi ludzie w państwie związani z bezpieczeństwem: premier, ministrowie spraw wewnętrznych, cyfryzacji, obrony narodowej, spraw zagranicznych, szef Biura Bezpieczeństwa Narodowego i minister-koordynator służb specjalnych. I to ten zespół ma oceniać dostawców sprzętu i oprogramowania m.in dla „sieci telekomunikacyjnych i systemów teleinformatycznych”. Poziomy takiego ryzyka miałyby być cztery: wysokie, umiarkowane, niskie i brak ryzyka.
Kto będzie wysoce ryzykowny?
Niezwykle ważne jest to, że w ocenie, oprócz jakości sprzętu, tego czy sposób jego produkowania jest należycie nadzorowany i czy pojawiały się jakieś incydenty związane z cyberbezpieczeństwem, ma być brane pod uwagę „prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego”.
Konkretnie sprawdzany będzie:
- stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem;
- prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka;
- prawodawstwo w zakresie ochrony danych osobowych, zwłaszcza tam, gdzie nie ma porozumień w zakresie ochrony danych między UE i danym państwem;
- struktura własnościowa dostawcy sprzętu lub oprogramowania;
- zdolność ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania.
Wszystkie te podpunkty jednoznacznie wskazują na jedną firmę: chińskiego Huaweia, budzącego kontrowersje swoim ewentualnym powiązaniem z Partią Komunistyczną.
5 lat na wyczyszczenie rynku
Co więcej, projekt ustawy jasno wskazuje, że jeżeli dostawca sprzętu lub oprogramowania zostanie uznany za niosącego „wysokie ryzyko” w kwestiach cyberbezpieczeństwa, to podmioty z niego korzystające mają nie tylko zakaz wprowadzania jego nowych produktów do swojej infrastruktury ale mają też mieć 5 lat na wycofanie starych już użytkowanych urządzeń.
Oczywiście nie chodzi o zakaz sprzedaży telefonów czy innych urządzeń osobistych, a jedynie, lub aż, sprzęt do budowy sieci telekomunikacyjnych, w tym sieci 5G.
Firma, która zostanie uznana za niosąca „wysokie ryzyko” ma mieć 14 dni na odwołanie od decyzji kolegium a to w ciągu 2 miesięcy ma takie odwołanie rozpatrzyć. Za nakazem wycofania uznanego za ryzykowny sprzętu i oprogramowania mają iść konkretne kary. Za brak wykonania tego obowiązku ma grozić kara w wysokości aż 3 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Taki zapis w ustawie to najgroźniejsze wyzwanie dla Orange i T-Mobile, które są częścią globalnych koncernów telekomunikacyjnych.
Umiarkowanie ryzykowni mogą dalej działać
Nowelizacja jednak uchyla furtkę także dla łagodniejszego potraktowania Huaweia. Wystarczy, że firma zostanie uznana za niosącą „umiarkowane” ryzyko, by operatorzy wciąż mogli z niej korzystać. Tyle, że nie będą mogli wprowadzać jej nowego sprzętu, a więc budować w oparciu o nią sieci 5G. Takie rozwiązanie nie obciążałoby operatorów koniecznością wymiany sprzętu od Huaweia. Nieoficjalnie taki krok jest wyceniany w Polsce między 2 a 16 mld zł.
Równocześnie byłby to mocny sygnał dla Stanów Zjednoczonych, że trzymamy ich stronę w kwestii ograniczania wpływów Chin. Nawet jeżeli ostatecznie Huawei, ani inny chiński dostawca nie zostałyby oficjalnie uznane za niosące wysokie ryzyko.
Póki co wiadomo jedno: operatorzy, których infrastruktura jest mocno oparta na sprzęcie Huaweia, czyli Orange, T-Mobile i Play są z tych przepisów więcej niż niezadowoleni. Nawet odroczone czyszczenie sieci przeciagnięte na 5 lat nie jest dla nich satysfakcjonującym rozwiązaniem.
Nowelizacja właśnie trafiła do konsultacji społecznych. Rząd zakłada, że wejdzie w życie 21 grudnia.
Nie przegap nowych tekstów. Obserwuj Spider's Web w Google News.