– Projekt ustawy o krajowym systemie cyberbezpieczeństwa jest kompletnie oderwany od realiów cyberzagrożeń, a zarazem bardzo groźny dla polskich przedsiębiorców, którzy wykorzystują urządzenia producentów pochodzących z Azji. Jeśli jakiekolwiek państwo UE wprowadziło rozwiązania dotyczące dostawcy wysokiego ryzyka w sieciach telekomunikacyjnych, dotykają one wyłącznie sieci 5G – zauważa Karol Skupień, Prezes Zarządu Krajowej Izby Komunikacji Ethernetowej (KIKE).
W przygotowywanej przez Ministerstwo Cyfryzacji nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa znalazł się zapis wart miliardy złotych. Kolegium ds. Cyberbezpieczeństwa ma otrzymać kompetencje do uznania dostawcy sprzętu używanego przez operatorów wszystkich sieci telekomunikacyjnych (w tym stacjonarnych) i wszystkich technologii za stwarzającego ryzyko w zakresie cyberbezpieczeństwa, szczególnie jeśli jest to dostawca spoza UE lub NATO. Konsekwencją tej skrajnej nadregulacji, której nie przyjął żaden z krajów Unii Europejskiej, może być dla dostawcy nakaz wycofania z rynku sprzętu danego producenta, a dla użytkownika – wymiany sprzętu na własny koszt.
Z badania dotyczącego wykorzystania w sektorze telekomunikacyjnym sprzętu dostawców pochodzących spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego, przeprowadzonego w październiku 2024 roku przez KIKE, w związku z prowadzonymi pracami legislacyjnymi nad projektem ustawy o krajowym systemie cyberbezpieczeństwa wynika, że 100 proc. ankietowanych wskazało, że przy budowie sieci telekomunikacyjnych, mali i średni polscy operatorzy telekomunikacyjni, w przeważającej liczbie wykorzystują urządzenia producentów pochodzących z Azji. Szacunkowa wartość infrastruktury telekomunikacyjnej wykorzystującej sprzęt i/lub oprogramowanie dostawców spoza UE i NATO to średnio 3,3 mln zł na operatora, natomiast łączny szacowany koszt ewentualnej wymiany takich urządzeń, zadeklarowany przez ankietowanych, wynosi 209 mln zł, przy czym wielu zastrzegło, przekazując indywidualne uwagi, iż jest to koszt jaki co najmniej byliby zmuszeni ponieść, oszacowany na dzień wypełnienia ankiety. Finalnie może być znacznie wyższy.
– Raport, który wykonaliśmy jako izba pokazuje, że tylko w segmencie polskich operatorów lokalnych świadczących usługi stacjonarne dla około jednej trzeciej polskich abonentów, koszt usunięcia sprzętu chińskiego z ich sieci byłby na poziomie 6 miliardów złotych. To oznacza, że dla wszystkich polskich sieci to będzie już koszt prawie 20 miliardów zł, a jeszcze nie uwzględniliśmy sieci bezprzewodowych – mówi Karol Skupień.
Według eksperta, który od 25 lat aktywnie działa w branży telekomunikacyjnej, sprzęt telekomunikacyjny jest bardzo specjalistyczny i wyłącznie inżynierowie w firmach telekomunikacyjnych potrafią rozpoznać niuanse, również te związane z jego bezpieczeństwem. Przyznanie politykom uprawnień do decydowania o tym jaki sprzęt usunąć z polskich sieci jest, jak wykazano w raporcie KIKE, bardzo kosztowne. Ponadto konsekwencją ich decyzji – jak ocenia ekspert – nie technicznych a stricte politycznych, może być konieczność usunięcia sprzętu dobrej klasy i zakupu droższego czy nawet gorszej jakości. Do uznania dostawcy za dostawcę wysokiego ryzyka nie będzie konieczne wykrycie poważnej podatności, ani zaistnienie poważnego incydentu z winy sprzętu lub oprogramowania, a zarazem nie będą analizowane ekonomiczne skutki takiej decyzji. Decyzji, która będzie podlegać natychmiastowemu wykonaniu i nie będzie od niej przysługiwać odwołanie.
– W żadnym państwie UE nie ma tak groźnych przepisów dotyczących tzw. dostawcy wysokiego ryzyka. Początkowo przepisy dotyczyły sprzętu z sieci 5G, ale obecnie w projekcie rozszerza się działanie tej ustawy na systemy 2G, 3G i 4G, od wielu lat bardzo szeroko stosowane w Polsce, nie uznawane za niebezpieczne. Gdyby doszło do usunięcia sprzętu chińskiego ze wszystkich polskich sieci stacjonarnych, bezprzewodowych, samorządowych itd. to kosztowałoby to kilkadziesiąt miliardów złotych. Ale tego nikt w ministerstwie cyfryzacji nie oszacował i nikt nie ma zamiaru pytać polskich przedsiębiorców jak inaczej można poradzić sobie z ewentualną naprawą błędów bezpieczeństwa w sieci – podsumowuje Karol Skupień.