Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) przewiduje wprowadzenie procedury pozwalającej na uznanie dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. W wyniku przeprowadzenia tej procedury może zostać wydana decyzja wskazująca, że określone produkty, usługi lub procesy ICT pochodzące od dostawcy wysokiego ryzyka, będą musiały zostać wycofane. Czy na czarną listę trafią systemy IT i produkty z Chin?

Sieć 5G

Na początku wyjaśnijmy, że potrzeba wprowadzenia takiej procedury pojawiła się z rozwojem sieci piątej generacji (5G). Sieć 5G zapewnia znacznie większe możliwości przekazywania danych, przez co pozytywnie wpływa na rozwój gospodarki. Dane przekazywane są szybciej (większe ilości, w krótszym czasie), dzięki czemu wzrasta jakość świadczenia wielu usług niezbędnych do realizacji podstawowych funkcji społecznych i gospodarczych – takich jak energetyka, transport, bankowość i opieka zdrowotna oraz systemy sterowania produkcją. Sieć 5G wiąże się jednak z ryzykiem – zwłaszcza tym związanym z  jej bezpieczeństwem. Łatwo wyobrazić sobie, do czego może doprowadzić naruszenie bezpieczeństwa tej sieci. Wycieki danych, o których ostatnio było głośno nie  wydają się wcale takie straszne wobec możliwości zatrzymania pracy setek szpitali i sal operacyjnych, gdzie trwa walka o życie tysięcy ludzi. Między innymi z tych powodów (choć przynajmniej równie istotne wydaje się zapewnienie odpowiedniego poziomu obronności państwa), kwestia bezpieczeństwa sieci 5G została podjęta na poziomie unijnym.

W styczniu 2020 r. UE przyjęła tzw. Toolbox 5G – zalecenia dotyczące bezpieczeństwa sieci 5G. Określono ryzyka i środki, jakie powinny podjąć państwa członkowskie i operatorzy telekomunikacyjni, aby im przeciwdziałać. UE wskazuje, że jedno z ryzyk sieci 5G dotyczy dostawców, którzy znajdują się pod wpływem państw prowadzących agresywne działania w cyberprzestrzeni. Z kolei w swoim zaleceniu z grudnia 2022 r. Rada UE wezwała państwa członkowskie do wdrożenia zalecanych środków  w zakresie cyberbezpieczeństwa sieci 5G, a w szczególności do wprowadzenia ograniczeń dotyczących dostawców wysokiego ryzyka. 

Szersze ramy ochrony

Warto przy tym dla porządku dodać, że skoordynowane działania w zakresie cyberbezpieczeństwa sieci 5G na szczeblu UE oraz unijny zestaw narzędzi stanowią część szerszych europejskich ram ochrony sieci łączności elektronicznej i innych infrastruktur krytycznych oraz uzupełniają inne środki, takie jak Europejski kodeks łączności elektronicznej czy Dyrektywa NIS 2 (Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii – powinna zostać zaimplementowana do porządku krajowego do 17 października br.). Polska implementuje zalecenia ujęte w Toolboxie 5G oraz NIS 2 właśnie w ramach nowelizacji UKSC.

Nowelizacja UKSC wprowadza postępowanie, któremu może zostać poddany dostawca produktów, usług i procesów ICT – jednak nie tylko dla sieci 5G, ale również dla innych systemów ICT. Warunkiem będzie spełnienie przesłanki zapewnienia ochrony bezpieczeństwa państwa. Dostawcą może być producent, importer, dystrybutor – a więc postępowaniem będą mogły być objęte wszystkie istotne podmioty w łańcuchu dostaw. Postępowanie co prawda nie będzie dotyczyło wszystkich produktów, usług i procesów ICT pochodzących od konkretnego dostawcy sprzętu lub oprogramowania, lecz tylko tych, które są wykorzystywane przez podmioty zdefiniowane jako kluczowe i ważne.

Bez udziału zainteresowanego

Procedura ma być wszczynana z urzędu przez ministra cyfryzacji i co do zasady prowadzona zgodnie z przepisami postępowania administracyjnego, z pewnymi odrębnościami. Sporo wątpliwości budzi wyłączenie możliwości udziału organizacji społecznej w tym postępowaniu oraz udziału strony w postępowaniu dowodowym. Uzasadnienie tych wyłączeń sprowadza się do wyjątkowego charakteru postępowania, wrażliwego charakteru informacji ujawnianych w jego toku, a w konsekwencji – względów bezpieczeństwa narodowego. Bezpieczeństwo narodowe jest nadrzędnym celem wprowadzanych regulacji i odmieniane jest przez projektodawcę przez wszystkie przypadki.

Po przeprowadzeniu postępowania minister cyfryzacji wyda decyzję uznającą dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli z przeprowadzonego postępowania wynika, że dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi. Od decyzji nie będzie można się odwołać i ma być natychmiast wykonalna. Prawa strony postępowania będą zagwarantowane jedynie poprzez możliwość złożenia skargi do sądu administracyjnego.

Żeby złagodzić rygorystyczny charakter postępowania, pojawia się możliwość przystąpienia do postępowania na prawach strony kilkunastu największych przedsiębiorców komunikacji elektronicznej. Ponadto – w toku postępowania ma zostać wydana opinia, która uwzględni m. in. certyfikaty wydane dla produktów usług lub procesów ICT danego dostawcy, wydane lub uznawane w państwach członkowskich UE (w tym certyfikaty wydane w ramach europejskich programów certyfikacji cyberbezpieczeństwa) lub NATO. Opinia ma również ocenić prawdopodobieństwo z jakim dostawca objęty postępowaniem znajduje się pod kontrolą państwa spoza terytorium UE lub NATO, z uwzględnieniem m.in. zdolności ingerencji tego państwa trzeciego w swobodę działalności gospodarczej dostawcy.  Biorąc pod uwagę niejasne powiązania polityczne chińskich dostawców ICT oraz przepisy nakazujące chińskim obywatelom i przedsiębiorcom pomoc ministrowi bezpieczeństwa w działaniach wywiadowczych – wydaje się, że opinia w tym zakresie, w odniesieniu do dostawców z Chin, nie będzie pozytywna (ku uciesze dostawców z innych krajów, np. z USA, którzy takiej procedurze nie będą poddawani).

Konsekwencją uznania danego dostawcy za dostawcę wysokiego ryzyka, będzie zakaz wprowadzania do użytkowania produktów, usług i procesów objętych decyzją. Podkreślić trzeba, że nie ma w projekcie nowelizacji UKSC mechanizmu nakazującego natychmiastowe wycofanie sprzętu lub oprogramowania objętego decyzją. Dotychczas stosowane produkty, usługi i procesy będą mogły pozostać w użyciu przez nawet 7 lat. Do czasu wycofania możliwe będzie użytkowanie dotychczas posiadanych produktów, usług i procesów objętych decyzją, w zakresie naprawy, modernizacji, wymiany elementu lub aktualizacji, jeżeli jest to niezbędne dla zapewnienia odpowiedniej jakości i ciągłości świadczonych usług, w szczególności dokonywania niezbędnych napraw awarii lub uszkodzeń. 

Za niewykonanie obowiązków polegających na wycofaniu, niewprowadzaniu do użytkowania produktów, usług, procesów ICT objętych decyzją przewidziane są sankcje. Na zobowiązany podmiot może zostać nałożona kara pieniężna w wysokości co najmniej 20.000 zł  – nie może ona jednak przekroczyć 10 mln euro lub 2% przychodów. Ponadto podmiot naruszający przepisy może być zobowiązany, w drodze decyzji administracyjnej, do podania do publicznej wiadomości informacji o naruszaniu przepisów ustawy. Niewątpliwie może to negatywnie wpłynąć na kwestie wizerunkowe. Konsekwencje mogą także ponieść osoby zarządzające zobowiązanym podmiotem – na takie osoby może być nałożona kara pieniężna, może także zostać wydany wobec nich sądowy tymczasowy zakaz zajmowania stanowiska.

Z punktu widzenia wielu przedsiębiorców korzystających z rozwiązań dostarczanych przez chińskich dostawców, projektowane regulacje stanowią ograniczenie swobody prowadzenia działalności gospodarczej. Zwłaszcza, że przepisami UKSC, po nowelizacji, objęte zostaną nowe branże. Z kolei organy państwowe wskazują na rosnącą skalę cyberzagrożeń w kontekście geopolitycznej sytuacji Polski oraz obowiązek zapewnienia bezpieczeństwa kraju. Ustawodawca krajowy musi pogodzić takie wartości jak bezpieczeństwo państwa i jego obywateli oraz konstytucyjne prawa i wolności – w krótkim czasie, bo dyrektywa NIS 2 powinna zostać zaimplementowana już za dwa miesiące (choć już teraz można się spodziewać opóźnień).

Artykuł został opublikowany w Dzienniku Gazeta Prawna 3 września 2024 roku.