Branża telekomunikacyjna jest zaniepokojona kształtem nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, nad którą pracuje rząd. Chodzi o zapisy dotyczące uznawania firm technologicznych za dostawców wysokiego ryzyka. Kryteria są tak sformułowane, że mogą wykluczać dostawców z Azji. Operatorzy telekomunikacyjni, którzy korzystają z ich sprzętu lub usług, mogą być zmuszeni do wycofania przynajmniej części z nich w ciągu kilku lat, co pociągnie za sobą wielomiliardowe straty. Straty poniosą nie tylko duże, ale i mniejsze podmioty – wskazuje Krajowa Izba Komunikacji Ethernetowej (KIKE), zrzeszająca małych i średnich operatorów telekomunikacyjnych.
Nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC) rząd pracuje już od ponad roku. W połowie października KPRM opublikował trzecią wersję projektu, który został już skierowany do Komitetu Rady Ministrów do spraw Bezpieczeństwa Narodowego i Spraw Obronnych.
– Nowa odsłona projektu nie uwzględniła praktycznie żadnych propozycji zmian, jakie sformułowała KIKE przy poprzednich konsultacjach. Dlatego trudno powiedzieć, że zostały w niej uwzględnione oczekiwania małych i średnich operatorów. Nadal identyfikowane są poważne ryzyka dotyczące wycofania z rynku sprzętu chińskich producentów, z których korzysta większość członków KIKE – mówi agencji Newseria Biznes Łukasz Bazański, ekspert Grupy Roboczej ds. Kontaktów z Administracją Publiczną w Krajowej Izbie Komunikacji Ethernetowej, radca prawny z Kancelarii itB Legal.
Według rządowych propozycji przepisów opublikowanych w połowie października nowy organ – kolegium ds. cyberbezpieczeństwa – będzie mógł nadać firmie technologicznej status dostawcy wysokiego ryzyka. Taka decyzja zapadnie po analizie szeregu kryteriów, wśród których znalazły się także kryteria narodowościowe. Oceniane będzie m.in. prawdopodobieństwo, z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub NATO. Eksperci podkreślają, że może to uderzyć w chińskie korporacje, m.in. firmę Huawei, która jest jednym z trzech głównych dostawców infrastruktury dla 5G.
Firmy, które na tej podstawie zostaną uznane za dostawców wysokiego ryzyka, będą de facto wykluczone z polskiego rynku, z ograniczoną możliwością odwołania. Ponadto operatorzy telekomunikacyjni, którzy korzystają z ich sprzętu lub usług, będą zmuszeni wycofać je w ciągu pięciu–siedmiu lat.
– Podkreślenia wymaga fakt, że obowiązkowi wycofania będą podlegały produkty, usługi i procesy ICT wskazane w decyzji ministra właściwego do spraw informatyzacji, a więc nie wszystkie produkty, usługi i procesy ICT oferowane przez dostawcę wysokiego ryzyka – wyjaśniono w uzasadnieniu nowelizacji ustawy.
W raporcie „Prawne i ekonomiczne skutki ograniczenia konkurencji wśród dostawców sprzętu sieciowego 5G w Polsce” analitycy Audytela i Dentons oszacowali, że wykluczenie z polskiego rynku chińskich dostawców sprzętu sieciowego wygeneruje straty po stronie operatorów telekomunikacyjnych. Sięgną one od 13,4 do 14,9 mld zł. Drugim skutkiem może być ograniczenie konkurencji, a co za tym idzie, także wzrost cen sprzętu dostarczanego przez pozostałych graczy na rynku. To zaś oznaczałoby, że operatorzy poniosą większe koszty w związku z dalszym rozwojem sieci. Analitycy szacują ten koszt na 3,5 mld zł.
Straty poniosą jednak nie tylko duże podmioty działające na rynku, na co wskazuje raport Krajowej Izby Komunikacji Ethernetowej, zrzeszającej małych i średnich operatorów telekomunikacyjnych. KIKE przy okazji publikacji pierwszej wersji ustawy przeprowadziła badanie sprawdzające, jaki sprzęt przeważa w działalności tych podmiotów oraz jaki jest szacowany koszt ewentualnej wymiany urządzeń od producentów, którzy pochodzą spoza Unii i USA (jeden z istotniejszych producentów sprzętu elektronicznego spośród krajów członkowskich NATO).
– Z opublikowanego przez KIKE raportu, który pokazuje skalę wykorzystania elementów sieciowych z państw zza Wielkiego Muru, wynika, że ziszczenie się czarnych scenariuszy może finalnie doprowadzić do konieczności wymiany sprzętu przez małych i średnich operatorów telekomunikacyjnych. To z kolei będzie wiązać się z nieprzewidzianymi, wysokimi wydatkami – mówi Łukasz Bazański.
W badaniu wzięło udział 57 przedsiębiorców z segmentu małych i średnich firm telekomunikacyjnych. Raport pokazuje, że 100 proc. z nich korzysta ze sprzętu producenta, który ma swoją siedzibę poza Unią Europejską lub USA. Co istotne, taki sprzęt średnio stanowi 80,79 proc. ogólnie wykorzystywanego sprzętu w działalności operatorów. Prawie połowa z nich (47 proc.) korzysta z urządzeń chińskiego Huaweia, ale wśród popularnych dostawców są też koreański Dasan, pochodzące z Chin TP-Link i ZTE oraz tajwańskie D-Link i ZyXEL. Oszacowany przez małych i średnich operatorów koszt wymiany takiego sprzętu wyniósłby co najmniej 161,8 mln zł, a średnio 2,99 mln zł dla pojedynczej spółki.
– Nie ma żadnych uzasadnionych powodów, aby sądzić, że sprzęt chińskich dostawców jest bardziej lub mniej narażony na ataki czy też mógłby takie ataki generować. To może dotknąć każdego producenta towaru lub usługi. Dlatego ważne jest wprowadzanie odpowiednich wymagań i zabezpieczeń na poziomie sprzętu – niezależnie od tego, kto go wyprodukował. Bez stygmatyzowania konkretnych producentów i dostawców tylko dlatego, że geograficznie pochodzą z Azji – podkreśla ekspert GARP KIKE.
KIKE zgłosiła cały szereg zastrzeżeń już do poprzedniej wersji noweli ustawy o KSC, wskazując m.in., że nie uwzględnia ona ekonomiczno-gospodarczych skutków, jakie będą się wiązać z wprowadzeniem nowych przepisów. Według izby ich konsekwencje dla małych i średnich operatorów będą wręcz dramatyczne. Uwagi KIKE nie zostały jednak uwzględnione w pracach nad kolejnymi wersjami noweli. Podobnie jak zastrzeżenia innych organizacji branżowych, ekspertów, prawników i podmiotów z rynku telko, którzy w sumie zgłosili do projektowanej regulacji ponad 750 uwag. Nowa wersja, opublikowana w połowie października, uwzględnia je w niewielkim stopniu.
– Kolejna odsłona projektu niczego nie zmienia. Ryzyka dla małych i średnich operatorów istnieją nadal – mówi Łukasz Bazański, wskazując, że projekt noweli ustawy o KSC powinien trafić do ponownych konsultacji publicznych.