Planowane przez Polskę kryteria oceny ryzyka dostawców sprzętu telekomunikacyjnego mają charakter polityczny i mogą mieć na celu wykluczenie Huawei [HWT.UL] z rozwoju krajowej sieci 5G – poinformowała w środę chińska firma. Tymczasem Stany Zjednoczone twierdzą, że sprzęt Huawei może być używany przez Pekin do szpiegowania i naciskają na swoich sojuszników, aby zakazali działalności firmy w swoich krajach.
We wtorek rząd poddał konsultacjom społecznym projekt nowelizacji ustawy o cyberbezpieczeństwie. Zainteresowane strony mogą zgłaszać swoje uwagi w ciągu 14 dni. Projekt nowelizacji przewiduje, że dostawcy zostaną podzieleni na cztery grupy w zależności od potencjalnego zagrożenia dla bezpieczeństwa cybernetycznego Polski w oparciu o kryteria, takie jak to, czy na dostawcę może wpływać kraj spoza Unii Europejskiej lub NATO, czy też kraj pochodzenia firmy przestrzega m.in. praw człowieka. – Zaproponowane kryteria… są polityczne, nie są mierzalne, nie są przejrzyste, nie są obiektywne – żalił się Reuterowi Ryszard Hordyński, dyrektor ds. strategii i komunikacji w Huawei Polska.
Wesprzyj nas już teraz!
Zgodnie z projektem nowelizacji, operatorzy telekomunikacyjni nie mieliby prawa kupować nowego sprzętu od dostawców postrzeganych jako „wysokiego ryzyka” i musieliby wymienić istniejący sprzęt od tego dostawcy w ciągu pięciu lat. W przypadku dostawców „umiarkowanego ryzyka” kupowanie nowego sprzętu byłoby zabronione.
Analityk Trigon DM Dominik Niszcz wskazuje, że Huawei prawdopodobnie zostanie sklasyfikowana jako dostawca „umiarkowanego ryzyka”, co oznacza, że operatorzy nie będą mogli kupować nowego sprzętu, ale nie będą musieli wymieniać urządzeń sieci 4G. Play, którego sieć opiera się w dużej mierze na sprzęcie Huawei i Cyfrowy Polsat poinformowały, że muszą przeanalizować projekt przed skomentowaniem go. Orange Polska skrytykował proponowane terminy likwidacji infrastruktury, stwierdzając, że są one znacznie krótsze niż w innych krajach.
Projekt ustawy de facto pozwoli na eliminację z rynku części dostawców nowych technologii, sprzętu i oprogramowania, którzy – zgodnie z kryteriami rządowymi – nie będą dawać gwarancji bezpieczeństwa. Ich produkty – podobnie jak w USA – nie będą mogły używać banki, telekomy i urzędy. W razie niestosowania się do ustawy, formom i urzędom grożą wysokie grzywny. Wątpliwości budzą zastosowane kryteria, które są ogólne i procedura odwoławcza.
W 2017 roku Amerykanie zakazali wszystkim swoim rządowym instytucjom korzystania z oprogramowania antywirusowego Kaspersky, bo miał on pomagać rosyjskim służbom. W Polsce nie było podstaw prawnych do podjęcia takich decyzji. Wraz z przyjęciem nowej ustawy, wszystko ma się zmienić.
Zgodnie z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, przygotowanej przez Ministerstwo Cyfryzacji, dostawcy uznani przez Kolegium do spraw bezpieczeństwa za ryzykownych, znikną z rynku.
W sumie, ponad 2 tys. podmiotów krajowego systemu cyberbezpieczeństwa, w tym firmy energetyczne, transportowe, telekomunikacyjne i banki, nie będą mogły korzystać z produktów takiego dostawcy, a posiadane będą musiały wymienić na inne. Do wymiany mogą być komputery, telefony, słuchawki, systemy informatyczne: operacyjne, obiegu dokumentów, analityczne, itd.
Za korzystanie z zakazanego sprzętu grozi kara w wysokości do 3 proc. obrotów. Istnieje ryzyko, że obecna regulacja uderzy nie tylko w Huawei, ale także innych dostawców nowych technologii, np. właścicieli mediów społecznościowych i firmy z nimi współpracujące.
Duże uprawnienia zyskuje Kolegium do spraw bezpieczeństwa, które będzie sporządzać ocenę ryzyka dostawcy sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa. Kolegium ma przeanalizować zagrożenia bezpieczeństwa narodowego o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym, prawdopodobieństwo, czy dostawca znajduje się pod wpływem państwa spoza UE lub NATO, w tym uwzględnić stopień i rodzaj powiązań pomiędzy dostawcą a państwem, prawodawstwo w zakresie ochrony praw obywatelskich i praw człowieka, ochrony danych osobowych, strukturę własnościową.
Kolegium określi ryzyko na poziomie wysokim, umiarkowanym, niskim lub wskaże jego brak. Wysokie ryzyko oznacza, iż korzystający z produktów lub usług ryzykownego dostawcy będą musieli wymienić je na nowe w ciągu pięciu lat i nie będą mogli zamawiać nowych od dnia ogłoszenia oceny w Monitorze Polskim. Dostawca będzie automatycznie wykluczony z rynku zamówień publicznych. Podwykonawcy banków, firm telekomunikacyjnych, energetycznych będą musieli zmienić oprogramowanie czy inne narzędzia.
W przypadku korzystania ze sprzętu o umiarkowanym ryzyku, podmiotom grozi kara w wysokości 1 proc. obrotów. Niższe kary – wynoszące do 100 tys. zł – przewidziano jedynie dla podmiotów publicznych. Rząd nie planuje rekompensat za wymianę sprzętu na nowy. Ryzykowny dostawca będzie mógł odwołać się od oceny w ciągu 14 dni od jej publikacji. Kolegium na jej rozpatrzenie będzie miało dwa miesiące. W tym czasie korzystający z usług ryzykownego dostawcy będą musieli wstrzymać nowe zamówienia.
Źródło: reuters.com, prawo.pl
AS
