Krajowy system cyberbezpieczeństwa - nowelizacja ustawy uderzy w Huawei?

Ministerstwo Cyfryzacji opublikowało projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Do najważniejszych zmian należy propozycja włączenia w ten system operatorów telekomunikacyjnych oraz wprowadzenie oceny ryzyka dostawców IT dla bezpieczeństwa państwa.

Zgodnie z planowaną nowelizacją ustawy o KSC firmy teleinformatyczne będą analizowane pod kątem potencjalnych zagrożeń dla bezpieczeństwa narodowego „o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich.”

Ocenie zostanie poddane prawdopodobieństwo, czy dany dostawca znajduje się pod wpływem państwa spoza Unii Europejskiej lub NATO, stopień i rodzaj takich powiązań, struktura własnościowa firmy, prawodawstwo państwa w zakresie ochrony praw obywatelskich, praw człowieka i ochrony danych osobowych oraz zdolność ingerencji tego państwa w swobodę działalności rynkowej dostawcy.

Zobacz również:

Ocenę taką będzie przeprowadzać Kolegium ds. Cyberbezpieczeństwa na wniosek któregoś z członków. Kolegium to ciało opiniodawczo-doradcze przy Radzie Ministrów w zakresie planowania, nadzorowania i koordynowania działalności zespołów CSIRT (Computer Security Incident Response Team) i sektorowych zespołów cyberbezpieczeństwa, któremu przewodzi premier rządu.

Jakie ryzyko stanowi Huawei

Autorzy nowelizacji ustawy o KSC przewidzieli kilka stopni ryzyka: wysokie, umiarkowane, niskie oraz brak ryzyka.

Przyznanie danemu dostawcy statusu „wysokie ryzyko” oznacza, że podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa nie będą mogły korzystać z jego produktów i usług a w wypadku rozwiązań już użytkowanych – będą musiały wycofać je najpóźniej 5 lat po ogłoszeniu oceny.

W wypadku dostawców ze statusem ryzyka umiarkowanego lub niskiego krajowe podmioty będą objęte jedynie zakazem wprowadzania do użytkowania nowych produktów danej firmy. Co ważne, dostawca z takim statusem będzie mógł przedstawić Kolegium „plan naprawczy”, jak wyeliminować zagrożenia stwarzane przez jego produkty. Na tej podstawie Kolegium będzie mogło zmienić wcześniejszą decyzję.

Wprowadzenie oceny ryzyka dostawców IT otwiera drogę do wyrzucenia ich z polskiego rynku. Rzecz jasna, w kontekście wykluczenia kogokolwiek pierwsze na myśl nasuwa się Huawei. Amerykańska administracja od lat zarzuca koncernowi związki z chińskim rządem i namawia sojuszników do rezygnacji z kupowania jego rozwiązań.

Huawei to jeden z czołowych dostawców rozwiązań do budowy sieci piątej generacji. Dlatego ewentualne wykluczenie Huawei z rynku nie pozostałoby bez wpływu na działające w Polsce telekomy, których infrastruktura w większym lub mniejszym stopniu bazuje na dostarczanych przez Chińczyków komponentach. W Play to 90%, a w Orange i T-Mobile - ok. 70% (Polkomtel współpracuje w tym zakresie z Ericssonem).

Operatorzy objęci systemem

Skoro mowa o operatorach - nowelizacja ustawy o KSC przewiduje, że sektor telekomunikacyjny uzupełni grono gałęzi gospodarki, których cyberbezpieczeństwo ma szczególne znaczenie dla państwa. Do tej pory były to energia, zdrowie, transport, banki i finanse, infrastruktura cyfrowa oraz zaopatrzenie w wodę.

W związku z tym ma zostać powołany dodatkowy zespół CSIRT Telco, mający monitorować zagrożenia w tym sektorze oraz reagować na incydenty, w tym zdarzenia z nowej kategorii - incydentów telekomunikacyjnych.

Na razie projekt nowelizacji ustawy o KSC trafił do konsultacji do organizacji branżowych i partnerów społecznych, jak również do zaopiniowania przez stowarzyszenia zrzeszające jednostki samorządu terytorialnego.

Perspektywy cyfrowego bezpieczeństwa Polski

Ustawa o krajowym systemie cyberbezpieczeństwa obowiązuje od 2018 r. Z kolei pod koniec 2019 r. zatwierdzona została Strategia Cyberbezpieczeństwa RP. Oto jak wygląda realizacja zaprezentowanych w nich założeń.


TOP 200