Zmiany wprowadzone w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 2018 r. (dalej: UKSC) z 20 stycznia 2021 r., zmieniają zapisy projektu z września 2020 r. o kryteriach wykluczających dostawców sprzętu i oprogramowania, jednakże nie zwiększają poziomu cyberbezpieczeństwa. Wpływ na tę kwestię może mieć jedynie rzetelna weryfikacja urządzeń, z wykorzystaniem uznanych międzynarodowych systemów certyfikacji. Z tego względu w odniesieniu do nietechnicznych kryteriów oceny dostawcy już na gruncie projektu z 2020 r. zgłoszono liczne uwagi. Nie zostały one jednak uwzględnione.

Projekt ze stycznia 2021 r. pozostawia kryteria nietechniczne oceny dostawcy jak np. analizę prawdopodobieństwa, że dostawca „znajduje się pod kontrolą państwa” spoza Unii Europejskiej lub NATO. Projekt nowelizacji ustawy o cyberbezpieczeństwie wciąż zatem nie uwzględnia kilkudziesięciu uwag z rynku, zgłoszonych w toku konsultacji społecznych. Nietechniczne kryteria wskazują, że niektórzy dostawcy wciąż mogą zostać uznani za dostawców wysokiego ryzyka i tym samym wykluczeni z wdrażania sieci 5G w Polsce. Analiza prawdopodobieństwa, że dostawca „znajduje się pod kontrolą państwa” spoza Unii Europejskiej lub NATO, powinna bowiem uwzględniać stopnień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem, prawodawstwo oraz stosowanie prawa w zakresie ochrony danych osobowych, zwłaszcza tam, gdzie nie ma porozumień w zakresie danych między UE i danym państwem, strukturę własnościową dostawcy sprzętu lub oprogramowania, zdolności ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania (art. 66a ust. 6 pkt 2 a‒d).
W uzasadnieniu odmowy zmiany projektowanych zapisów powołano się na ocenę dostawcy zaproponowaną w tzw. Toolbox 5G. Toolbox jest jednak dokumentem technicznym i organizacyjnym, zawierającym rekomendacje w zakresie budowy i zakupu sprzętu przeznaczonego do infrastruktury 5G, w szczególności przedstawia, w jaki sposób minimalizować zidentyfikowane wcześniej ryzyka. Wprowadzenie do projektu nowelizacji UKSC kryterium dostawcy wysokiego ryzyka i powiązanie go z koniecznością dokonania analizy stopnia i rodzaju powiązań pomiędzy dostawcą sprzętu lub oprogramowania a państwem jego pochodzenia może skutkować uznaniem, że inne usługi i produkty pochodzące z państwa pochodzenia dostawcy także stanowią produkty i usługi wysokiego ryzyka.
Wprowadzenie kryteriów nietechnicznych do oceny dostawcy budzi wątpliwość w zakresie zgodności z regulacjami międzynarodowymi, na co wskazywałam już w grudniu 2020 r. (DGP, „Czy Polsce grozi kolejne przesunięcie aukcji 5G”). Wykluczenie dostawcy w oparciu o kryteria nietechniczne może skutkować ograniczeniem swobody przedsiębiorczości i w konsekwencji naruszeniem polskiej konstytucji i prawa unijnego, w tym art. 34 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) czy art. 40 i art. 52 europejskiego kodeksu łączności elektronicznej (https://whatnext.pl/aukcja-5g-bez-huawei-w-polsce-przepisy-miedzynarodowe/).
Artykuł 34 TFUE zawiera w sobie zasadę swobodnego przepływu towarów i zakazuje państwom członkowskim UE nakładania ograniczeń ilościowych lub równoważnych środków na towary będące przedmiotem wymiany handlowej na rynku wewnętrznym. Artykuł 36 TFUE zawiera odstępstwa od zakazu wynikającego z art. 34 TFUE. Jedno z nich dotyczy bezpośredniego zagrożenia bezpieczeństwa wewnętrznego, które w mojej ocenie będzie bardzo trudno udowodnić, przyjmując za podstawę wykluczenia okoliczności wskazane w art. 66a ust. 6 pkt 2 a‒d projektowanej UKSC. Wskazać także należy, że Polska jest stroną Układu Ogólnego w sprawie Taryf Celnych i Handlu (General Agreement on Tariffs and Trade, GATT), którego podstawową zasadą jest obowiązek niedyskryminacji i równego traktowania w stosunkach handlowych, bez przejawów dyskryminacji czy pozbawienia ich przywilejów udzielonych także innym partneromzagranicznym.
Stosowanie przez ustawodawcę kryteriów nietechnicznych odnoszących się do pochodzenia dostawcy może stanowić dyskryminację takiego dostawcy, gdyż kwestie nietechniczne są trudne do zweryfikowania. Dopóki konkretnemu dostawcy nie zostanie udowodnione, że stwarza bezpośrednie zagrożenie dla bezpieczeństwa wewnętrznego, to wykluczanie go z rynku, zarówno z punktu widzenia prawa unijnego, jak i międzynarodowego, będzie budzić poważne wątpliwości.
Takie kryterium nie pozwala dokładnie ocenić zdolności dostawcy do zapewnienia sprzętu i oprogramowania wysokiej jakości. Decyzja wydana w oparciu o tak skonstruowane warunki będzie decyzją uznaniową, a nie merytoryczną. Skutki zakazu wprowadzenia przez dostawcę nowego sprzętu lub oprogramowania na rynek lub usunięcia tego, który jest już obecny na rynku, może mieć negatywny wpływ na wizerunek Polski oraz decyzje inwestorów w związku z nietechnicznymi kryteriami, w oparciu o które może nastąpić wykluczenie dostawcy.
Innym negatywnym skutkiem tak ukształtowanych kryteriów może być ograniczenie liczby podmiotów oferujących sprzęt lub oprogramowanie spełniające należyte wymogi w zakresie cyberbezpieczeństwa, a co za tym idzie zmniejszenie konkurencji na rynku i w związku z tym wyższe ceny dla konsumentów.
Kryteria oceny dostawcy powinny być jasno i precyzyjnie sformułowane poprzez odwołanie się do międzynarodowych systemów certyfikacji tak, aby dostawca wiedział, jakie warunki techniczne powinien spełnić, by móc funkcjonować na rynku. Punkt ciężkości w procesie oceny dostawcy powinien zostać przeniesiony na kwestie weryfikacji technicznej, która ma pozwolić na sprawdzenie, czy sprzęt telekomunikacyjny spełnia wymagania w zakresie bezpieczeństwa, a nie skupiać się na kwestii pochodzenia dostawcy.
Na poziomie UE przyjęto dotychczas dość ogólne wytyczne kierunkowe, które skutkują w praktyce tym, że kraje UE przyjmują zupełnie odmienne podejście do kwestii bezpieczeństwa sieci 5G oraz dostawców.
Niemcy stworzyły katalog wymagań w zakresie bezpieczeństwa, w tym w szczególności przygotowana została lista wymagań, które muszą być spełnione dla zapewnienia bezpieczeństwa, jak chociażby zidentyfikowanie składników infrastruktury telekomunikacyjnej dla 5G, które mają charakter krytyczny. Niemcy przewidują także certyfikację składników infrastruktury. W odniesieniu do dostawców, niemieckie podejście nie odwołuje się tylko do Toolbox 5G, lecz zakłada współpracę operatora i dostawcy, polegającą m.in. na deklaracji wiarygodności składanej przez dostawców źródła wyposażenia telekomunikacyjnego.
Wprowadzenie kryteriów nietechnicznych do oceny dostawcy budzi wątpliwość w zakresie zgodności z regulacjami międzynarodowymi, na co wskazywałam już w grudniu 2020 r.
Na rynku słychać głosy krytyki w odniesieniu do konsultacji, które miały miejsce po publikacji projektu z września 2020 r. Zwraca się uwagę m.in. na ich bardzo krótki ‒ 14-dniowy termin. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa będzie miała głęboki wpływ na branżę ICT oraz przyszły rozwój cyfrowy Polski, dlatego też publiczna dyskusja pozwoliłaby wysłuchać opinii wszystkich interesariuszy, w tym zwłaszcza operatorów, jako właścicieli sieci, którzy zapewniają cyberbezpieczeństwo, pomimo iż projekt odnosi się do kwestii wykluczenia dostawców. Wdrożenie przepisów w obecnym kształcie z pewnością może opóźnić budowę infrastruktury 5G i przynieść olbrzymie straty dlaPolski.
W znakomitej jednak części kształt proponowanych przepisów został ustalony bez udziału adresatów nowych przepisów. Do projektu nowelizacji UKSC z września 2020 r. zgłoszono kilkaset uwag, które nie zostały uwzględnione w projekcie ze stycznia 2021 r. W praktyce procesu decyzyjnego konsultowanie projektów ustaw przez społecznych partnerów traktowane jest jako jeden z etapów postepowania – nieszczególnie istotny z merytorycznego punktu widzenia, za to warunkujący poprawność legislacyjną aktu normatywnego. W przypadku kwestii cyberbezpieczeństwa, ale także w przypadku innych projektów ustaw, dialog z adresatami regulacji powinien kształtować decyzje, a nie służyć wyłącznie przekazywaniu informacji.
Autorka jest associate partnerem, liderem Zespołu Prawa Własności Intelektualnej, Technologii i Danych Osobowych w EY Law