Polska zbanuje chińskich producentów? Branża się niepokoi, rząd uspokaja
Uznawanie chińskich producentów sprzętu telekomunikacyjnego za Dostawców Wysokiego Ryzyka spowodowałoby ogromne koszta dla polskich operatorów. Firmy niepokoją się takim scenariuszem, jednak Ministerstwo Cyfryzacji uspakaja.

Na początku października Ministerstwo Cyfryzacji zakończyło prace nad nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). W tym roku projekt powinien trafić do Sejmu, jednak wciąż budzi pewne wątpliwości.



Chińskie firmy jako dostawcy wysokiego ryzyka?
Kontrowersje budzi zwłaszcza kwestia definicji Dostawcy Wysokiego Ryzyka oraz scenariusz, w którym rząd zakaże stosowania urządzeń infrastruktury telekomunikacyjnej z Chin. Zmusiłoby to operatorów do wymiany sprzętu w sieciach 4G i 5G, a także stacjonarnych. To z kolei grozi wielomiliardowymi kosztami dla polskich telekomów. W tym kontekście najczęściej wymienia się firmę Huawei, która od lat jest dostawcą sprzętu telekomunikacyjnego do polskich sieci. Innym zagrożonym dostawcą może być firma ZTE.
Zaniepokojenie nowelizacją KSC wyraził także Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej (KIKE) zrzeszającej małych i średnich operatorów telekomunikacyjnych. Firmy te zapewniają dostęp do szerokopasmowego internetu dla 1/3 polskich odbiorców.
Zawarty w projekcie mechanizm wskazywania dostawców wysokiego ryzyka nie jest oparty na kryteriach technicznych, według których określone urządzenia można uznać za niespełniające standardów bezpieczeństwa. Wskazane zostało natomiast kryterium państwa pochodzenia dostawcy – mowa jest o państwach spoza terytorium Unii Europejskiej lub NATO, co praktyce oznacza dostawców chińskich
– ocenił Skupień w rozmowie z PAP.
Karol Skupień wyjaśnił, że operatorzy zrzeszeni w KIKE stosują sprzęt chińskiej produkcji, co więcej duża część sprzętu dostarczana przez firmy amerykańskie czy europejskie również jest produkowana w Chinach. Pomysł na uznanie sprzętu z Chin za zagrażający bezpieczeństwu uznał za „kompletny absurd”, świadczący o tym, że jego autorzy nie mają pojęcia o rynku. Szef KIKE przekonywał też, że sprzęt chińskich dostawców wyróżnia się wysoką jakością, a o jego wyborze nie decyduje tylko cena.
Ministerstwo Cyfryzacji odpiera zarzuty
W odpowiedzi na wypowiedź prezesa KIKE Ministerstwo Cyfryzacji wystosowało wyjaśnienie.
Podkreślamy, że decyzja o uznaniu dostawcy za Dostawcę Wysokiego Ryzyka w Krajowym Systemie Cyberbezpieczeństwa (KSC) nie ma absolutnie nic wspólnego z jego państwem pochodzenia
– przekonuje Ministerstwo Cyfryzacji.
Jak wyjaśnia MC w komunikacie, dostawcą wysokiego ryzyka jest dostawca sprzętu lub oprogramowania, który stwarza poważne zagrożenie dla bezpieczeństwa państwa, obronności, bezpieczeństwa i porządku publicznego lub zdrowia i życia ludzi. Chodzi o identyfikację dostawcy, który w najbardziej istotny sposób zagraża państwu i jego obywatelom.
Co jednak ważne, za dostawcę wysokiego ryzyka może być uznany podmiot działający w Unii Europejskiej, jak i poza UE, niezależnie od pochodzenia kapitału.
Co więcej, uznanie firmy za Dostawcę Wysokiego Ryzyka wymaga przeprowadzenia sformalizowanej, wieloetapowej procedury administracyjnej, podczas której dostawca będzie miał możliwość przedstawienia swoich argumentów. Na decyzję wpływ będzie miała opinia Kolegium do Spraw Cyberbezpieczeństwa.
Opinia Kolegium dotyczy kompleksowej oceny dostawcy sprzętu lub oprogramowania, wobec którego wszczęto postępowanie. Obejmuje ona aspekty techniczne i nietechniczne. W tym pierwszym przypadku chodzi o analizę podatności w dostarczanym sprzęcie i oprogramowaniu.
Kwestie nietechniczne dotyczą wpływu państwa pochodzenia na działalność dostawcy. Choć może to budzić uzasadniane obawy, projekt nie przewiduje automatycznego wycofania sprzętu lub oprogramowania. Wszelkie decyzje będą miały charakter zindywidualizowany – wyjaśnia resort cyfryzacji.
Rząd uspokaja też, że okres na dostosowanie się do nowych przepisów wynosi do 7 lat, co daje czas na odpowiednią adaptację i uniknięcie negatywnych skutków dla małych i średnich przedsiębiorstw telekomunikacyjnych.
Co więcej, obowiązek wycofania sprzętu lub oprogramowania nie dotyczy operatorów, których przychody nie przekraczają 10 mln złotych.
W sieci 5G pod uwagę brane są także aspekty nietechniczne
Wyjaśnienie Ministerstwa Cyfryzacji pozostawia jednak pewne niedopowiedzenie. Z jednej strony projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa wprowadza możliwość dobrowolnej certyfikacji sprzętu i oprogramowania pod kątem cyberbezpieczeństwa, co pozwoliłoby z góry zabezpieczyć się przed negatywnymi decyzjami.
Jest to zgodne z unijnym aktem o cyberbezpieczeństwie, z drugiej jednak strony unijne wytyczne dotyczące cyberbezpieczeństwa sieci 5G wskazują na konieczność analizy również aspektów nietechnicznych związanych z dostawcami sprzętu i oprogramowania. Oparcie się na certyfikacji nie jest więc wystarczające, za to państwo pochodzenia dostawcy może okazać się istotne.