Kto zdecyduje o zablokowaniu rynku dla vendora

Postępowanie w kwestii oceny ryzyka będzie prowadził minister właściwy do spraw informatyzacji. Na podstawie opinii rządowego kolegium ds. cyberbezpieczeństwa (pod przewodnictwem premiera, skladającego się m.in. z niektórych ministrów), będzie mógł wskazywać podmioty stanowiące poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego.

W opinii mają być uwzględniane zarówno czynniki techniczne (np. podatność na incydenty, wydane certyfikaty), jak i pozatechniczne (jak np. pozostawanie pod wpływem państwa spoza UE i NATO).

7 lat banu

Wskazany dostawca ma natychmiastowy obowiązek wycofania z rynku produktów i usług ocenionych jako ryzykowne, dostarczanych nie później niż siedem lat od dnia ogłoszenia lub udostępnienia informacji o decyzji.

Mali operatorzy nie mają głosu

Dla operatorów operacja banowania dostawcy oznacza wielomiliardowe koszty. W nowej wersji projektu dopuszczono więc do postępowania w zakresie oceny ryzyka operatorów korzystających z tego sprzętu, ale tylko dużych, którzy w poprzednim roku wypracowali równowartość ok. 113 mln zł obrotów (jest to kilkanaście firm).

Zdaniem konstytucjonalisty Marka Chmaja takie ograniczenie jest niezgodne z zasadą uczciwej konkurencji. Ponadto jego zdaniem projekt nadaje arbitralną władzę KPRM i kolegium do regulowania rynku, ponieważ kryteria oceny dostawców produktów i usług ICT nie są w jego opinii jasne ani precyzyjne.

„Projektowane postępowanie ocenne nie gwarantuje stronie czynnego udziału w postępowaniu ani możliwości odwołania do organu drugiej instancji” – twierdzi prawnik.

Źródło: Newseria Biznes

Artykuł Operatorzy telekomunikacyjni mogą być zmuszeni do rezygnacji z niektórych dostawców pochodzi z serwisu CRN.

Prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa przebiegają zbyt szybko i nie uwzględniają rzetelnej debaty publicznej – uważa Krajowa Izba Gospodarcza w piśmie skierowanym do ministra Janusza Cieszyńskiego. Apeluje o dyskusję nad propozycjami zgłoszonymi przez przedsiębiorców (do pierwszej wersji projektu wpłynęło ponad 750 uwag).

Zdaniem KIG okres vacatio legis nowej ustawy nie powinien być krótszy niż 24 miesiące, bo inaczej grozi chaos na rynku telekomunikacyjnym.

Zanosi się na chaos organizacyjny i prawny

Kolejną wersję nowelizacji KPRM opublikował w połowie października br., ogłaszając ekspresowe konsultacje – do 2 listopada.

„Szybkie wprowadzenie nowego prawa prawdopodobnie spowoduje chaos organizacyjny i prawny, ponieważ obecnie zaprezentowana nowelizacja zakłada również wcześniej niesygnalizowane zmiany, jak choćby powołanie Operatora Strategicznej Sieci Bezpieczeństwa (OSSB), która to ma powołać spółkę Polskie 5G, a wszystko to ma być finansowane głównie ze środków publicznych” – podkreśla prezydent KIG, Andrzej Arendarski, dla Newseria Biznes.

Wady ustawy jak były, tak są

Szef KIG uważa też, że nowy projekt jest obarczony wszystkimi wcześniejszymi wadami.

Wskazuje na uprawnienia kolegium ds. cyberbezpieczeństwa, które może decyzją administracyjną, bez możliwości odwołania, zmienić dostawców sprzętu i oprogramowania.

Nadając dostawcy status „wysokiego ryzyka” może doprowadzić do przynajmniej do jego częściowego wykluczenia z infrastruktury ICT, co odczytuje się jako zapis wymierzony w Huawei.

Kolegium oceni ryzyko na podstawie m.in. stopnia powiązania analizowanej firmy z państwem spoza UE albo NATO. Operatorzy korzystający z usług bądź sprzętu dostawcy „wysokiego ryzyka”, będą zmuszeni pozbyć się ich w ciągu 5 – 7 lat.

„Region, w którym żyjemy, jest szczególnie narażony na ataki, inwigilacje i dezinformacje z obszaru świata, gdzie „wschód słońca jest wcześniej niż w Europie”. Stąd podtekst polityczny jest zrozumiały. Pozostaje jednak pytanie, czy ta formuła będzie wykorzystywana również w innych celach, które nie są związane z bezpieczeństwem cyfrowym Polski” – komentuje Andrzej Arendarski.

Procedura wykluczenia może wpłynąć na relacje handlowe

„Wprowadzona procedura wykluczenia niektórych dostawców usług, produktów i procesów ICT może istotnie wpłynąć na relacje handlowe między przedsiębiorcami telekomunikacyjnymi, podmiotami krajowego systemu cyberbezpieczeństwa, integratorów, vendorów oraz dostawców urządzeń i oprogramowania, a przygotowany projekt nie zawiera zaktualizowanej oceny skutków regulacji w tym zakresie” – podkreśliła KIG w liście do ministra Cieszyńskiego.

Rząd: tak uzgodniono w Europie

Rząd uzasadnia, że nowelizacja ustawy o KSC jest podyktowana ustaleniami na poziomie europejskim. Chodzi m.in. o przepisy tzw. 5G Toolbox, które mają wzmocnić cyberbezpieczeństwo w UE w związku z budową sieci 5G.

Ponadto bez nowelizacji grozi jeszcze większe opóźnienie z 5G w kraju – bez niej nie ruszy aukcja UKE na częstotliwości z pasma C, które ma stanowić szkielet polskiej sieci piątej generacji.

Źródło: Newseria Biznes

Artykuł Grozi chaos na rynku telekomunikacyjnym pochodzi z serwisu CRN.

Związek Cyfrowa Polska, zrzeszający największe firmy z branży, popiera nową wersję projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Jego zdaniem prace w tym zakresie nie powinny być już przedłużane. Organizacja podkreśla konieczność szybkiego działania w razie rozpoznania niegodnych zaufania źródeł infrastruktury 5G.

„Jako branża zaangażowana w rozwój łączności i bezpiecznych usług cyfrowych pozytywnie oceniamy prace nad KSC” – deklaruje Michał Kanownik, prezes Związku Cyfrowa Polska.

„Obszar cyberbezpieczeństwa jest nadzwyczaj istotny, a jego znaczenie stale wzrasta wraz z postępującą cyfryzacją gospodarki i społeczeństwa. Ustawa nadająca bezpieczeństwu cyfrowemu techniczno-formalne ramy i porządkująca procedury związane m.in. z budową sieci 5G jest konieczna” – uważa.

Nowa wersja projektu definiuje m.in. sposób postepowania w sprawie uznania dostawcy sprzętu i oprogramowania dla podmiotów krajowego systemu cyberbezpieczeństwa za dostawcę „wysokiego ryzyka”. Określa też czas na wycofanie sprzętu i oprogramowania takiej firmy (5 lat dla infrastruktury krytycznej, 7 lat na wykonanie decyzji administracyjnej). Ten zapis uznawany jest za wymierzony w Huawei.

Nie czekać z wykluczeniem firmy „wysokiego ryzyka”

Zdaniem prezesa Związku Cyfrowa Polska należy możliwie jak najszybciej wycofać sprzęt lub oprogramowanie dostawców uznanych za źródło wysokiego ryzyka, z uwagi na bezpieczeństwo kraju i gospodarki.

„Cyberbezpieczeństwo nie może czekać, szczególnie, gdy na szali są procesy o znaczeniu krytycznym” – zaznacza Michał Kanownik.

Zauważa przy tym, że wycofanie sprzętu w dużej skali jest bardzo złożonym procesem.

Zdaniem przedstawiciela Huawei projektowane przepisy są dyskryminujące dla tej firmy, naruszają międzynarodowe umowy handlowe oraz regulacje dotyczące swobody prowadzenia działalności gospodarczej.

Dostawca „wysokiego ryzyka” – te same zasady w całej sieci

Szef organizacji branżowej zwraca uwagę, że w skali całej sieci, krytyczne znaczenie mieć może każdy jej element, który wykazuje podatność na atak. Dlatego produktów „wysokiego ryzyka” nie należy traktować łagodniej w elementach infrastruktury, uznanych za mniej istotne.

„Uważamy, że podejście do dostawców wysokiego ryzyka powinno być ujednolicone zarówno dla warstwy CORE, jak i RAN sieci 5G. Kryteria uznania dostawcy jako obarczonego wysokim ryzykiem powinny być jednakowe niezależnie od elementu sieci, jaki on dostarcza. Wszystkie komponenty sieci powinny podlegać rozważaniu na temat ryzyka i być traktowane jako potencjalnie krytyczne” – wskazuje Michał Kanownik.

5G stworzy nowe produkty i usługi

Prezes Cyfrowej Polski apeluje o jak najszybsze sfinalizowanie prac nad projektem. Sprawa ciągnie się już przeszło rok.

„Nie stać nas na dalsze zwlekanie z implementacją 5G w naszym kraju. By ruszyć z miejsca, musimy tylko mieć odpowiednie wiążące regulacje” – zaznacza.

Szef organizacji branżowej ocenia, że 5G umożliwi rozwój rynku w różnych sektorach – pozwoli usprawnić np. funkcjonowanie przemysłu i tworzyć nowe usługi i produkty w branżach takich jak energetyka, służba zdrowia, edukacja, komunikacja  i innych.

Artykuł Cyfrowa Polska popiera zbanowanie dostawcy „wysokiego ryzyka” pochodzi z serwisu CRN.

Zapisy kolejnej wersji projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa są wymierzone w Huawei – nie ma co do tego wątpliwości przedstawiciel firmy – i umożliwiają wykluczenie koncernu z polskiego rynku.

Jednak w takiej sytuacji Polska musi liczyć się z retorsjami ze strony chińskiej.

„Chińczycy mogą nam poprzecinać kanały dostaw” – twierdzi Bogdan Góralczyk, profesor UW, wykładowca Centrum Europejskiego UW, politolog i ekspert ds. relacji z Chinami.

„Jak to wygląda, można zaobserwować na rynku w USA, gdzie Amerykanie nie mają chociażby możliwości montowania samochodów czy innego sprzętu, bo chińscy poddostawcy przestali dostarczać komponenty. To samo może stać się w Polsce, więc konsekwencje byłyby poważne” – ostrzega politolog dla agencji Newseria Biznes.

„Chiny potrafią bardzo ostro i agresywnie wręcz reagować w obronie swoich interesów i tego bym się spodziewał w przypadku Huaweia” – utrzymuje.

Zagrożenie jest o tyle poważne, że Chiny są dla Polski drugim (po Niemczech) największym partnerem handlowym. Według danych GUS w 2020 roku miały 14,4-proc. udział w polskim imporcie, warty przeszło 146,5 mld zł.  

Dostawca „wysokiego ryzyka” zostanie zbanowany

Projekt ustawy dopuszcza uznanie dostawcy za firmę „wysokiego ryzyka” np. wówczas gdy znajduje się on pod kontrolą państwa spoza UE i NATO lub państwo ingeruje w daną firmę. Decyzję podejmie kolegium ds. cyberbezpieczeństwa, a postępowanie będzie prowadzić minister właściwy ds. informatyzacji. Według zapowiedzi ma też brać pod uwagę techniczne kryteria. Dostawca „wysokiego ryzyka” w kilka lat zostanie usunięty z infrastruktury krytycznej kraju – wynika z projektu.

Z kolei Huawei apeluje o kierowanie się wyłącznie technicznymi kryteriami bezpieczeństwa cyfrowego, a nie politycznymi, oraz o udział w ich ocenie branżowych ekspertów i firm.

Niemcy wyznaczą kierunek

Bogdan Góralczyk uważa, że kluczowe dla stanowiska Polski wobec chińskiego koncernu okaże się podejście do Huaweia nowej administracji w Niemczech (po zmianie kanclerza).

„Jeżeli Niemcy próbowaliby usuwać Huaweia ze swojego rynku, czego nie przewiduję, to wtedy Polska w zasadzie nie ma wyjścia, bez względu na swoje ustawodawstwo, bo oba rynki są silnie powiązane. Jeżeli natomiast Niemcy podejmą odwrotną decyzję, to w Polsce powinniśmy się nad tym prawnie i politycznie zastanowić” – mówi ekspert.

Tajne postępowanie, decyzja bez możliwości zaskarżenia

Z kolei Maciej Rogalski, rektor Uczelni Łazarskiego, zauważa, że decyzja o uznaniu dostawcy za firmę „wysokiego ryzyka” przez kolegium ds. cyberbezpieczeństwa ma rygor natychmiastowej wykonalności i nie ma opcji jej zaskarżenia nawet w sądzie. Ponadto projekt dopuszcza wyłączenie jawności postępowania kolegium w tej sprawie. Uważa, że trzeba zmienić te przepisy.

Polski Instytut Spraw Międzynarodowych ocenia, że w przyszłości USA mogą uzależniać swoją współpracę z sojusznikami od stopnia nasycenia ich gospodarek i infrastruktury chińskimi technologiami. Polska we wrześniu ub.r. podpisała ze Stanami deklarację o współpracy w zakresie bezpieczeństwa przy wdrażaniu technologii 5G.

Źródło: Newseria Biznes

Artykuł Wykluczenie Huawei naraża Polskę na odwet Chin pochodzi z serwisu CRN.

Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa po wielomiesięcznym okresie uśpienia znowu znalazł się na rządowej agendzie. Został przekazany do Komitetu Rady Ministrów ds. bezpieczeństwa narodowego i spraw obronnych.

Jest to dokument niezbędny do przyspieszenia budowy sieci 5G. Zdecyduje też o możliwości zbanowania z krajowej infrastruktury Huawei. Znowu będą konsultacje do projektu, które tym razem mają być ekspresowe i zakończyć się do końca tego tygodnia.

Dostawca „wysokiego ryzyka” zostanie usunięty z krajowej infrastruktury

Otóż projekt dopuszcza odcięcie od kontraktów i usunięcie z infrastruktury telekomunikacyjnej dostawców „wysokiego ryzyka”. Infrastruktura krytyczna zostanie wyczyszczona ze sprzętu i oprogramowania takiego vendora w ciągu 5 lat.

Oceną, kto stanowi zagrożenie, zajmie się rządowe kolegium ds. cyberbezpieczeństwa. Wśród kryteriów są prawa człowieka w kraju, z którego pochodzi dostawca, jak i ocena wpływu na firmę państwa spoza UE albo NATO.

Zapisy te nie zostały w zasadzie zmienione w porównaniu z poprzednim projektem, a uznano je za wymierzone w Huawei. Koncern zwracał uwagę, że nie odwołują się do technicznych kryteriów cyberbezpieczeństwa, co jego zdaniem byłoby zdecydowanie bardziej zasadne niż kryteria polityczne. Pojawiły się też wątpliwości wobec tych przepisów związane z regulacjami unijnymi.

Państwowy biznes 5G. Nowe spółki

Projekt wisi nad branżą od roku, a pozostawianie tej sprawy w zawieszeniu hamuje rozwój infrastruktury 5G w Polsce. Przedstawiona nowelizacja zakłada powołanie OSSB – państwowego Operatora Strategicznej Sieci Bezpieczeństwa, który będzie obsługiwał podmioty z obszaru obronności i bezpieczeństwa państwa, w tym m.in. komunikację administracji centralnej (przypuszczalnie będzie to należący do skarbu państwa Exatel).

Ustawa ma umożliwić także przyspieszenie prac nad budową infrastruktury sieci piątej generacji poprzez utworzenie spółki Polskie 5G (przez OSSB i państwowy Polski Fundusz Rozwoju), którą zbudują m.in. Exatel oraz czterej najwięksi prywatni operatorzy. O jej powołaniu mówiło się zresztą od jakichś 2 lat. Koordynacja działań ma obniżyć koszty, zwiększyć bezpieczeństwo oraz zasięg sieci.

Będzie więcej pieniędzy na płace specjalistów
W najnowszej wersji projektu ustawy znalazł się zapis o utworzeniu funduszu cyberbezpieczeństwa, który ma pomóc w zwiększeniu wynagrodzeń specjalistów ds. IT security w jednostkach publicznych, aby zatrzymać ich ucieczkę do sektora prywatnego. Fundusz będzie przypuszczalnie dysponować kwotą 0,5 mld zł.

Artykuł Coś się ruszy w sprawie 5G i możliwości zbanowania Huawei w Polsce pochodzi z serwisu CRN.