Do widzenia, Huawei? Projekt ustawy o krajowym systemie cyberbezpieczeństwa trafił do konsultacji
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa właśnie trafił do konsultacji. Jego przyjęcie będzie miało istotne znaczenie dla dalszego rozwoju sieci 5G w Polsce, a także zasad wyboru dostawców technologii i oprogramowania. W dokumencie znalazły się wyraźne zapisy, pozwalające na wykluczenie z gry firmy Huawei.
Ministerstwo Cyfryzacji poinformowało o przekazaniu do konsultacji nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Charakter zmianom nadały między innymi ostatnie ustalenia na poziomie europejskim, a więc Europejski Kodeks Łączności Elektronicznej oraz zalecenia Komisji Europejskiej, dotyczące bezpieczeństwa 5G. Nowy projekt wdraża zalecenia i standardy opublikowane w tak zwanym 5G Toolbox, czyli zestawie narzędzi przygotowanych przez Komisję Europejską i Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).
Zobacz: Bezpieczne sieci 5G: Komisja Europejska zatwierdza unijny zestaw narzędzi. Huawei się cieszy
Jakie się szykują zmiany?
W swoim komunikacie Ministerstwo Cyfryzacji wymienia kilka proponowanych zmian, z czego jednak część dotyczy ogólnych kwestii organizacyjnych i kompetencyjnych. Więcej szczegółów ujawnia już sam tekst złożonego projektu.
Nowelizacja zakłada, że Kolegium ds. Cyberbezpieczeństwa, czyli ciało doradcze działające od 2018 roku przy Radzie Ministrów, otrzyma kompetencje do oceny ryzyka dostawców sprzętu lub oprogramowania istotnego dla krajowego cyberbezpieczeństwa i szerzej - bezpieczeństwa narodowego.
Kolegium w swej ocenie w szczególności weźmie pod uwagę takie czynniki, jak:
- analizę zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, które stanowi dostawca sprzętu i oprogramowania;
- prawdopodobieństwo, czy dostawca sprzętu lub oprogramowania znajduje się pod wpływem państwa spoza UE lub NATO,
- jaki jest stopień i rodzaj powiązań pomiędzy dostawcą i tym państwem, jakie jest prawodawstwo tego państwa w zakresie ochrony praw obywatelskich i praw człowieka,
- jakie w tym państwie istnieje prawodawstwo w zakresie ochrony danych osobowych,
- strukturę własnościową dostawcy sprzętu lub oprogramowania,
- zdolność ingerencji państwa spoza UE lub NATO w swobodę działalności gospodarczej dostawcy.
Trzy stopnie ryzyka
Sporządzona przez Kolegium ocena ryzyka dostawcy określi trzy stopnie ryzyka. Najwyższy przewidziany jest dla firm, które stanowią poważne zagrożenie dla cyberbezpieczeństwa państwa i jednocześnie zmniejszenie poziomu tego ryzyka przez wdrożenie środków technicznych lub organizacyjnych nie jest możliwe.
Dostawca uznany za zagrożenie zostanie odcięty od kontraktów na sprzęt, oprogramowanie i usługi. Co więcej, operatorzy będą mieli 5 lat na usunięcie produktów, które już zostały dostarczone przez tę firmę.
Przedstawiając swój projekt, MC liczy na udział w konsultacjach stowarzyszeń branżowych, fundacji, instytutów naukowych, środowisk akademickich, przedsiębiorstw świadczących usługi z zakresu cyberbezpieczeństwa oraz branżowych specjalistów.
Projekt nowelizowanej ustawy jest dostępny na stronie Rządowego Centrum Legislacji:
- https://legislacja.gov.pl/projekt/12337950
