Stały Komitet Rady Ministrów przyjął w czwartek projekt ustawy zmieniającej ustawę o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 r. Prace nad zmianą ustawy trwają od 3 lat. Środowisko IT od dawna czekało na ten akt.

Celem przygotowanej przez na powrót powołane do istnienia Ministerstwo Cyfryzacji ustawy o krajowym systemie cyberbezpieczeństwa było opracowanie uregulowań prawnych umożliwiających implementacje dyrektywy NIS oraz utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym, który zakłada m.in. niezakłócone świadczenie usług kluczowych i cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług.

Zobacz również:

• Radosław Maćkiewicz nowym dyrektorem Centralnego Ośrodka Informatyki
• Polska poprawia gotowość do wprowadzenia 5G

Przyjęta nowelizacja obejmuje m.in zmiany dotyczące obowiązków przedsiębiorców komunikacji elektronicznej; powstanie CSIRT-ów Telco, CSIRT INT oraz CSIRT-ów sektorowych; powstanie SOC-ów i ISAC; oceny bezpieczeństwa; przepisy dotyczące krajowego system certyfikacji cyberbezpieczeństwa; kwestie dotyczące ostrzeżeń i poleceń zabezpieczających; uznanie dostawcy za dostawcę wysokiego ryzyka (HRV); zapisy dotyczące operatora strategicznej sieci bezpieczeństwa (OSSB) oraz rozdysponowanie częstotliwości w paśmie 700 MHz; zmianę zakresu odpowiedzialności podmiotów publicznych za niewyznaczenie osób do kontaktu w ramach KSC.

Spory na linii biznes-rząd dotyczyły m.in. Operatora Strategicznej Sieci Bezpieczeństwa, zapisów dotyczących kryteriów oceny dostawcy wysokiego ryzyka, powołania operatora hurtowej sieci w paśmie 700 MHz (zwanego operatorem hurtowym sieci 5G) z udziałem państwa czy powołania operatora strategicznej sieci bezpieczeństwa (OSSB).

OSSB miałby być wskazywany przez premiera, i świadczyć usługi teleinformatyczne dla państwowych podmiotów w zakresie bezpieczeństwa m.in. korzystając z częstotliwości z zakresu 700 MHz. Powołany ma być „w celu zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, w zakresie telekomunikacji”, a finansowany z dotacji przyznawanej przez ministra aktywów państwowych.

Janusz Cieszyński, minister cyfryzacji, mówił, że OSSB miałby zostać państwowy operator telekomunikacyjny Exatel.

Do czasu aż OSSB zyska pełną gotowość do świadczenia takich usług, podmioty uważane za krytyczne dla funkcjonowania państwa i porządku publicznego mogą zawierać umowy z innymi operatorami.

17 stycznia br. Departament Cyfryzacji KPRM upublicznił kolejną wersję projektu nowelizacji ustawy o KSC, który zakłada przebudowę modelu współpracy w ramach krajowego systemu cyberbezpieczeństwa oraz dodanie do niego przedsiębiorców komunikacji elektronicznej. W tej wersji nie ma mowy o hurtowej sieci 5G, są za to zapisy o powołaniu OSSB oraz dostawcach wysokiego ryzyka. Mianowicie zapisano, że minister właściwy do ds. informatyzacji (czyli aktualnie Minister Cyfryzacji) może wszcząć postępowanie w celu ustalenia, czy dany podmiot jest dostawcą wysokiego ryzyka. Jeśli zdecyduje, że tak, wskazane rozwiązania takiej firmy będą musiały zostać wycofane z infrastruktury w kraju, w tym infrastruktury operatorów telekomunikacyjnych. Dotyczy to zarówno dostawcy sprzętu, jak oprogramowania lub procesów teleinformatycznych. Nie sprecyzowano jednak terminu wykonalności dla firm takiej decyzji ministra. Minister przy wydawaniu wspomnianej decyzji o dostawcy wysokiego ryzyka kierować ma się opinią Kolegium ds. cyberbezpieczeństwa (składającego się z członków rządu i służb specjalnych). Wśród kryteriów oceny są np. kraj pochodzenia dostawcy i system prawny w państwie, z którego się wywodzi.

Kolegium oceni, czy występowało lub występuje zagrożenie „bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania, z uwzględnieniem informacji o zagrożeniach uzyskanych od państw członkowskich lub organów Unii Europejskiej i Organizacji Traktatu Północnoatlantyckiego”. Kolegium ma też obowiązek zbadać prawdopodobieństwo, z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, z uwzględnieniem m.in. tego, czy dany kraj może ingerować w swobodę działalności gospodarczej dostawcy.

Przypomnijmy, że największy udział w polskim rynku ma obecnie chiński Huawei, oskarżany nie tylko w naszym kraju, o zbyt bliskie i niepokojące związki z rządem w Pekinie. Stwarza to, oczywiście, zaniepokojenie wobec kwestii cyberbezpieczeństwa.

Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa jest niezwykle ważna także w kontekście sieci 5g. Organizatorem aukcji częstotliwości 3,6 GHz (pasmo C), zwanej aukcją 5G, jest Urząd Komunikacji Elektronicznej. Procedura aukcji została zlikwidowana w 2020 r., a UKE dotąd tłumaczył, że czeka ze wznowieniem aukcji do czasy przyjęcia przez rząd nowelizacji. Zaskoczeniem było nagłe (i niewytłumaczone) ogłoszenie konsultacji drugiej aukcji 5G w grudniu ub. r. 6 kwietnia b.r. UKE rozpoczął drugie konsultacje dotyczące aukcji na cztery rezerwacje częstotliwości w paśmie 3480-3800 MHz ©, które potrwają do 12 maja 2023. Cena wywoławcza każdego pasma to 450 mln zł. Wpływy do budżetu z tytułu rozdysponowania częstotliwości z pasma C (na potrzeby sieci 5G) szacowane są na 1,9 mld zł w 2023 r.

Brak aukcji 5G blokuje realizację tzw. kamieni milowych, potrzebnych by Polska mogła skorzystać z funduszy Krajowego Planu Odbudowy.

Po zaakceptowaniu projektu przez komitet stały, projekt zostanie zweryfikowany przez komisję prawniczą, a ostateczną decyzję o przyjęciu projektu i skierowaniu go do Sejmu podejmie Rada Ministrów.

Źródła: RCL, PAP Biznes