Polska stoi przed ogromnym wyzwaniem wdrożenia nowych regulacji w zakresie cyberbezpieczeństwa, które według analistyków wykraczają poza standardy przyjęte w Unii Europejskiej. Projekt ustawy o zmianie krajowego systemu cyberbezpieczeństwa (KSC), w tej chwili w fazie konsultacji, budzi liczne kontrowersje wśród operatorów telekomunikacyjnych oraz innych interesariuszy sektora cyfrowego. Kluczowym problemem jest nadregulacja w stosunku do unijnej dyrektywy NIS2, wprowadzająca wymagania, które mogą mieć daleko idące konsekwencje dla polskiej gospodarki.
Najnowsza wprowadzona poprawka do projektu (postulowana przez Związek Cyfrowa Polska) może mieć bardzo negatywne skutki dla operatorów komórkowych.
Poprawka ZCP brzmi:
Załącznik nr 3 pkt 3 – proponujemy, by temu punktowi nadać brzmienie: “5G, 3GPP release 15 and onwards, Radio Base Station Baseband Unit and other features such as Radio Units and antennas” - zamiast istniejącego “5G Radio Base Station Baseband Unit and other features”. Pozwoli to uniknąć wątpliwości interpretacyjnych.
Według specjalistów ta zmiana powoduje rozszerzenie zakresu ustawy na wszystkie generacje sieci (2G, 3G, 4G itd.). Eksperci ostrzegają, iż poprawka Związku Cyfrowa Polska spowoduje znaczny wzrost kosztów dla operatorów.
Kolejnym problemem jest uznanie za krytyczne dla bezpieczeństwa sieci urządzeń, które mogą choćby nie posiadać zasilania (np. pasywne anteny). Również i ta zmiana została wprowadzona na wniosek Związku Cyfrowa Polska i budzi sprzeciw ekspertów.
Krytycy wskazują, iż proponowane przepisy są nadmiernie restrykcyjne w porównaniu z dyrektywą NIS2, która nie przewiduje wprowadzania dostawców wysokiego ryzyka ani rozszerzania zakresu działania Toolbox 5G na wszystkie generacje sieci radiowej.
Według Ministerstwa Cyfryzacji dyrektywa NIS 2 wskazuje minimalne wymagania dotyczące Cyberbezpieczeństwa na poziomie unijnym. Nie zakazuje przyjmowania przepisów mających na celu zapewnienie bezpieczeństwa państwa.
MC tłumaczy, iż dostawca wysokiego ryzyka to dostawca, który stwarza poważne zagrożenie dla bezpieczeństwa państwa, obronności, bezpieczeństwa i porządku publicznego lub zdrowia i życia ludzi. To są przesłanki do uznania za takiego dostawcy. Nie ma w tych przesłankach kryterium narodowościowych czy politycznych. Za dostawcę wysokiego ryzyka może być także uznany podmiot w całości mający kapitał polski – o ile stwarza poważne zagrożenie dla państwa.
Konfederacja Lewiatan neguje całą procedurę uznania dostawcy za dostawcę wysokiego ryzyka. Według Lewiatana jest ona niezgodna z Dyrektywą NIS2, bo taka procedura nie została przewidziana w tej dyrektywie. Dyrektywy NIS2 wspomina się jedynie o krytycznych usługach ICT, systemach ICT lub produktach ICT. Tymczasem decyzja o uznaniu dostawcy za dostawcę wysokiego ryzyka w odniesieniu do podmiotów krajowego systemu cyberbezpieczeństwa może dotyczyć niemal dowolnego sprzętu lub systemu – tak twierdzi Konfederacja Lewiatan. W odniesieniu do przedsiębiorców telekomunikacyjnych może objąć sprzęt i oprogramowanie określone „w wykazie kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług” w załączniku nr 3 do ustawy. Wykaz ten obejmuje jednak m.in. „5G Radio Base Station Baseband Unit oraz inne funkcje”, które zgodnie z 5G Toolbox nie są funkcjami krytycznymi („critical”). Teraz ten wykaz został dodatkowo rozszerzony po poprawce Związku Cyfrowa Polska.
Koszty związane z wdrożeniem proponowanych regulacji są również nieporównywalnie wyższe niż wynikało to z wcześniejszych estymacji. Operatorzy będą musieli ponieść znaczne nakłady na dostosowanie swoich sieci, aby spełniać nowe wymogi, co w rezultacie może wpłynąć na koszty usług świadczonych dla klientów końcowych. Pojawia się także pytanie, kto ostatecznie poniesie te koszty.