Ustawa o krajowym systemie cyberbezpieczeństwa, Konfederacja Lewiatan: obowiązek udzielania dostępu ingerencją w swobodę działalności
„Brak konsultacji i uzgodnień nowej wersji projektu ustawy jest tym bardziej szkodliwy, że nowe, niekonsultowane przepisy dotyczą tak istotnych kwestii, jak krajowy system certyfikacji bezpieczeństwa czy przepisy powołujące całkowicie nowy podmiot, którym ma być operator sieci komunikacji strategicznej, na rzecz którego zmieniane są – również bez konsultacji – przepisy ustawy Prawo telekomunikacyjne, poprzez wprowadzenie nietransparentnej i uznaniowej 'procedury’ przydziału częstotliwości. Decyzję projektodawcy o dalszym procedowaniu Projektu bez konsultacji publicznych, należy ocenić krytycznie” – powiedziała ISBtech Musielak.
Zupełnie nowy obowiązek ustawowy
Dodała, że projekt wprowadza zupełnie nowy obowiązek ustawowy ciążący na wszystkich „operatorach telekomunikacyjnych” związany z udzielaniem dostępu na rzecz operatora sieci komunikacji strategicznej do elementów sieci telekomunikacyjnej na potrzeby komunikacji strategicznej realizowanej przez ten podmiot.
Tak dalece idący obowiązek udzielania dostępu do zasobów innego podmiotu niewątpliwie stanowi istotną ingerencję w swobodę prowadzenia działalności gospodarczej.
„Projekt przewiduje dodanie do ustawy Prawo telekomunikacyjne, nieznanego wcześniej w porządku prawnym, zupełnie nowego 'specjalnego’ trybu przydziału częstotliwości poprzez ich 'zapewnienie’ przez prezesa UKE w celu oferowania przez wskazanego przez organ administracji rządowej (prezesa Rady Ministrów) w specjalnym trybie przedsiębiorcę telekomunikacyjnego na zasadach niedyskryminacyjnych usług na warunkach hurtowych w celu ich dalszej sprzedaży przez innego przedsiębiorcę telekomunikacyjnego. Ponadto wskazujemy, iż proponowany w Projekcie przepis posługuje się bardzo ogólnym i pojemnym określeniem 'odpowiednich częstotliwości’, co oznacza, że brak jest doprecyzowania jaki zakres częstotliwości projektodawca uważa za 'odpowiedni'” – zaznaczyła ekspert Lewiatana.
Zaznaczyła, że przewidziane w projekcie środki oraz związany z nim mechanizm oceny dostawców sprzętu i oprogramowania (tzw. „ryzykownych”) nie jest w pełni zgodny z wymaganiami określonymi w dokumencie Cybersecurity of 5G networks. Mechanizm oceny powinien więc dotyczyć „key assets” – kluczowych aktywów (zdefiniowanych w Toolbox), a nie dostawców, którzy dostarczają wspomniane „key assets”. Kryterium powinno mieć zatem charakter przedmiotowy i odnosić się do konkretnie zdefiniowanych rodzajów zasobów.
„Kryteria oceny dostawcy przez Kolegium ds. Cyberbezpieczeństwa są całkowicie niemierzalne, nie poddające się obiektywnemu zbadaniu. Takimi kryteriami jest np. stopień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i danym państwem, czy zdolność ingerencji państwa, w którym ma siedzibę dostawca, w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania.
„Ponadto – wbrew komentarzom projektodawców do uwag z konsultacji publicznych – kryteria oceny o charakterze technicznym są niezwykle ograniczone i takiego rodzaju, że nie będą w praktyce odgrywać decydującej roli. Stwarza to ciągle niebezpieczeństwo uznaniowości oceny, zwłaszcza przy równoczesnym utajnieniu prac i dostępu do ich wyników oraz ograniczeniu możliwości wnoszenia środków zaskarżenia” – podsumowała Musielak.