Chińscy producenci dostaną bana? Ministerstwo wyjaśnia
Przyjęty niedawno projekt znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa ponownie wywołał dyskusje na temat dostawców wysokiego ryzyka. Chińscy producenci, zwłaszcza Huawei, obawiają się, że zapis skierowany przeciwko nim. Ministerstwo wyjaśnia.
W zeszłym tygodniu Rada Ministrów przyjęła projekt nowej ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), co otwiera drogę do przyjęcia go przez Sejm. Opracowywane od kilku lat prawo ma się przyczynić do zwiększenia bezpieczeństwa technologicznego Polski. Wśród licznych kwestii, jakie reguluje nowa ustawa, znalazły się te, które dotyczą tzw. dostawców wysokiego ryzyka. Nowe przepisy pozwolą wskazać producentów sprzętu i oprogramowania, którzy mogą zagrażać bezpieczeństwu kluczowych systemów państwa.
Sprawa nie jest nowa, bo o tym rozwiązaniu mówi się od kilku dobrych lat, zwłaszcza od pierwszej prezydentury Donalda Trumpa i stworzenia przez jego administrację czarnej listy chińskich producentów, wykluczanych z rynku. Największym przegranym tej polityki jest Huawei, posądzany o nadmierne powiązania z rządem ChRL i chińskim wojskiem. Choć w Polsce nie obowiązują jeszcze podobne przepisy, Huawei i inni producenci z Chin obawiają się, że wprowadzenie pojęcia dostawców wysokiego ryzyka doprowadzi do podobnego zakazu udziału w rynku, co dotyczy przede wszystkim infrastruktury telekomunikacyjnej u operatorów. Huawei, w wysłanym niedawno liście do premiera Tuska, grozi nawet arbitrażem międzynarodowym, jeżeli przepisy wejdą w życie w obecnym kształcie.
Czy chińskim producentom grozi zakaz w Polsce?
Do tych i innych obaw odniosło się Ministerstwo Cyfryzacji, wyjaśniające, kto i w jakim trybie może być uznany za dostawcę wysokiego ryzyka.
Decyzję, w której zostanie wskazany dostawca wysokiego ryzyka, będzie mógł podjąć minister cyfryzacji. Skutkiem takiej decyzji będzie wyeliminowanie niebezpiecznego sprzętu lub usługi ICT z użycia w podmiotach kluczowych dla funkcjonowania państwa. W efekcie na przykład operatorzy telekomunikacyjni, ale nie tylko oni, nie będą mogli wprowadzać do swoich systemów konkretnych typów produktów, pochodzących od dostawcy wysokiego ryzyka. Jeśli takie posiadają – będą zmuszeni do ich wycofania w ciągu 7 lub 4 lat.
Ministerstwo przekonuje, że dzięki temu najważniejsze usługi – jak na przykład dostawy energii, wody czy ochrona zdrowia – będą lepiej zabezpieczone przed cyberatakami. Resort cyfryzacji zwraca też uwagę, że obecnie w Polsce nie ma przepisów, które pozwalają wycofać z użycia produkty zagrażające bezpieczeństwu państwa w kluczowych sektorach np. telekomunikacji. Atak na nie mógłby sparaliżować działanie infrastruktury krytycznej i doprowadzić do przejęcia ogromnej ilości danych.
Jak podkreśla MC, proponowane przepisy nie są wymierzone w dostawców z konkretnych państw. Decyzja wskazująca dostawcę wysokiego ryzyka będzie dotyczyła określonej firmy, a nie wszystkich dostawców z tego państwa. Postępowanie może dotyczyć dostawcy z dowolnego kraju, także z Unii Europejskiej, gdyby zaszła taka potrzeba.
Jaki będzie przebieg takiego postępowania? Postępowanie w sprawie uznania firmy za dostawcę wysokiego ryzyka może rozpocząć minister cyfryzacji – z własnej inicjatywy lub na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa.
W trakcie postępowania Kolegium przygotuje opinię, w której oceni zagrożenia dla bezpieczeństwa związane z dostawcą oraz jego sprzętem lub usługą. W skład zespołu, który przeanalizuje zagrożenia, będzie wchodził przedstawiciel Urzędu Ochrony Konkurencji i Konsumentów. Swoją opinię mogą przedstawić także organizacje społeczne.
Pod uwagę będą brane kwestie techniczne, w tym liczba i rodzaj wykrytych podatności;, wcześniejsze incydenty cyberbezpieczeństwa, ale też certyfikaty posiadane przez produkty czy usługi firmy.
Kolegium ds. Cyberbezpieczeństwa sprawdzi, czy dostawca może zagrażać bezpieczeństwu państwa – na przykład w sferze wywiadowczej lub walki z terroryzmem. Oceni też, czy jego działania mogą zaszkodzić realizacji zobowiązań wobec sojuszników Polski, takich jak NATO czy Unia Europejska. Sprawdzona zostanie również struktura własnościowa i powiązania firmy.
Projekt zakłada, że dysponując taką opinią, minister cyfryzacji rozpatrzy sprawę, biorąc pod uwagę obiektywne przesłanki, w tym techniczne, na przykład wykryte incydenty czy podatności sprzętu. Jeśli uzna, że dostawca stanowi zagrożenie, wskaże w decyzji produkty lub usługi ICT, które są niebezpieczne. Decyzja obejmie tylko konkretne typy sprzętu lub oprogramowania, a nie cały asortyment firmy. Jeśli w trakcie postępowania okaże się, że dostawca nie stanowi zagrożenia, minister zakończy sprawę bez wydawania takiej decyzji.
Przedsiębiorca będzie mógł przedstawić swoje stanowisko w czasie postępowania. Jeśli zostanie uznany za dostawcę wysokiego ryzyka, będzie mógł odwołać się od takiej decyzji do sądu administracyjnego.
Do 7 lat na wycofanie sprzętu
Jeśli minister cyfryzacji wyda decyzję wskazującą dostawcę wysokiego ryzyka, do nałożonych ograniczeń będą musiały się dostosować firmy i instytucje, działające w sektorach energetyki, bankowości czy dostarczania wody pitnej. Wyjątkiem jest telekomunikacja – w tym przypadku sprzęt będą musieli wycofać tylko tacy operatorzy, których roczne przychody w poprzednim roku przekraczały 10 milionów złotych.
Standardowy termin na wycofanie sprzęt lub oprogramowanie pochodzącego od dostawcy wysokiego ryzyka to 7 lat. Czas na wycofanie sprzętu zostanie skrócony do 4 lat w przypadku krytycznych funkcji sieci i usług komunikacji elektronicznej.
Jak zaznacza Ministerstwo Cyfryzacji, termin ten odpowiada przeciętnemu cyklowi życia urządzenia lub oprogramowania. W praktyce oznacza to, że produkty można będzie wymienić w naturalnym rytmie ich eksploatacji, bez zakłócenia codziennej pracy przedsiębiorstwa.
