Opinia Polsko-Chińskiej Głównej Izby Gospodarczej w sprawie projektu ustawy zmieniającej Ustawę o krajowym systemie cyberbezpieczeństwa

Warszawa, 02 października 2020

Polsko-Chińska Główna Izba Gospodarcza

Ul. Królewska 18

00-103 Warszawa

Sz. P. Marek Zagórski

      Minister Cyfryzacji

ul. Królewska 27

00-060 Warszawa

Szanowny Panie Ministrze,

W odpowiedzi na zaproszenie Ministerstwa Cyfryzacji do konsultacji w sprawie projektu ustawy zmieniającej Ustawę o krajowym systemie cyberbezpieczeństwa oraz Ustawę Prawo zamówień publicznych (propozycja z 8 września 2020 r.), Polsko-Chińska Główna Izba Gospodarcza, po przeprowadzonych konsultacjach z podmiotami członkowskimi pragnie zgłosić kluczowe uwagi do projektu.

Ustawa w oczywisty sposób narusza zasady niedyskryminacji i uczciwej konkurencji pomiędzy przedsiębiorcami oraz  międzynarodowe umowy handlowe zawarte przez Polskę z innymi państwami. Projekt ustawy może doprowadzić do sytuacji , w którejrynek będzie podlegał wpływom politycznym, co nie sprzyja wolnej konkurencji. Będzie to miało istotny negatywny wpływ na otoczenie biznesowe i całą branżę ICT w Polsce.

Przedstawiamy następujące szczegółowe uwagi:

1. Projekt narusza również zasadę niedyskryminacji opracowaną przez UE i zasadę uczciwej konkurencji zgodnie z wytycznymi Światowej Organizacji Handlu (WTO). Jeśli Projekt zostanie przyjęty, wpłynie to na inwestycje UE w Polsce i rozwój polskiej branży ICT. Co więcej, projekt negatywnie wpłynie na wolny handel z członkami WTO i zaufanie inwestorów zagranicznych do Polski.

2. Naruszenie zasad uczciwej konkurencji: Jeśli nowe przepisy zostaną przyjęte, Kolegium uzyska de facto prawo wyboru dostawców, a rynek komercyjny będzie podlegał politycznej ingerencji, która nie sprzyja konkurencji rynkowej. Obecnie jest tylko trzech głównych dostawców sprzętu 5G. Ograniczenie do tylko jednego z nich spowoduje stłumienie konkurencji na rynku ICT i negatywnie wpłynie na rozwój branży.

3. Wbrew podstawowej zasadzie wolnego handlu w gospodarce rynkowej, dyskryminacja  niszczy ekosystem branży ICT i zwiększa koszty dostaw i obsługi

Swoisty protekcjonizm w stosunku do podmiotów z UE i NATO zagroziłby konkurencyjności polskiej gospodarki cyfrowej. W perspektywie krótkoterminowej, stosowanie protekcjonizmu w celu ograniczenia sprzedaży produktów z innych krajów wydaje się pomagać niekonkurencyjnym branżom i przedsiębiorstwom. W przypadku polskiej branży ICT pozbawi to branżę ICT i przedsiębiorstwa motywacji do większych inwestycji i ulepszania technologii, prowadząc do spadku konkurencyjności produktów. Z drugiej strony branża i przedsiębiorstwa w innych krajach podejmą więcej kroków w celu poprawy konkurencyjności. W rezultacie międzynarodowa konkurencyjność polskiej branży ICT i przedsiębiorstw będzie ulegać dalszemu osłabieniu.

Jako podmiot odpowiedzialny  społeczie, mamy za zadanie aktywnie rozpowszechniać racjonalne rozwiązania. Mając na uwadze utrzymanie dobrych  relacjuśrodowiska biznesowego z Rządem Polski  i apelujemy o rozważenie i podjęcie następujących działań

1. Ministerstwo Cyfryzacji powinno zorganizować otwartą debatę i zaprosić odpowiednie ministerstwa, izby gospodarcze, operatorów i inne zainteresowane strony do pochylenia się i pełnego omówienia kwestii poruszonych w projekcie.
2. Rząd powinien w pełni ocenić wpływ projektu, w tym koszty i straty, na konkurencję handlową, legalność, społeczno-gospodarcze i międzynarodowe stosunki handlowe oraz klimat inwestycyjny w Polsce.
3. Zasadniczo, zablokowanie niektórych dostawców nie może rozwiązać problemów związanych
   z bezpieczeństwem cybernetycznym. Wnosimy o przyjęcie spójnej strategii w ramach UE, w celu zarządzania za pomocą jasnych specyfikacji technicznych i zharmonizowanych norm, zamiast wykluczania dostawców z określonych krajów. Postulujemy odwołanie się do modelu niemieckiego i równe traktowanie wszystkich dostawców, nie tylko z powodów nietechnicznych.

Z punktu widzenia racjonalności ekonomicznej, rząd musi promować dwustronny wolny handel i zmniejszać bariery w swobodnym przepływie towarów i usług. Rząd powinien ogłosić przepisy ustawowe i wykonawcze oraz środki, które sformułował i wdrożył, a także ich zmiany, jak również powinien informować o nich Światową Organizację Handlu.

Pragniemy także zaproponować kluczowe z naszej perspektywy zmian do projektu KSC:

1. Art. 2 pkt 29: art. 66b ust. 1 pkt 2: „Konsekwencje oceny”  

Przepisy projektu: brak przepisów dotyczących mechanizmu rekompensat

Propozycja zmiany: należy dodać ust. 3 oraz 4 w art. 66b po ust. 2.:

„3. Operatorzy telekomunikacyjni otrzymują odszkodowanie za koszty związane z wymianą sprzętu lub oprogramowania;

4. Rekompensata jest obliczana na podstawie wydatków poniesionych na zakup infrastruktury lub oprogramowania, z uwzględnieniem amortyzacji i kosztów usunięcia. Rekompensata jest wypłacana w ciągu 30 dni przez Prezesa UKE na podstawie dokumentów uzupełniających.”

Uzasadnienie: Wprowadzenie przepisów art. 66b Projektu spowoduje oczywiste dla operatorów telekomunikacyjnych koszty, niezawinione przez nich, spowodowane nowymi regulacjami, które to koszty powinny być operatorom zrekompensowane przez Skarb Państwa reprezentowany przez Prezesa UKE. Zaproponowane regulacje w praktyce oznaczają de facto „wywłaszczenie” operatorów z posiadanego sprzętu, w tym znaczeniu,
że muszą się pozbyć sprzętu wcześniej zakupionego, pomimo, że gdyby niewprowadzone nowe regulacje mogliby korzystać z tego sprzętu dłużej. W konsekwencji będą musieli ponieść wydatki związane z koniecznością zakupu nowego sprzętu, a ponadto wydatki związane z usuwaniem z sieci istniejącego sprzętu.

2. Art. 2 pkt. 29: art. 66c pkt. 1 “Plan naprawczy”

Przepis projektu: W szczególnie uzasadnionych przypadkach Pełnomocnik może zażądać od podmiotu krajowego systemu cyberbezpieczeństwa, którego dotyczy ocena, sporządzenia i dostarczenia w terminie 3 miesięcy planu
i harmonogramu odstąpienia od dostawcy usługi, sprzętu lub oprogramowania, którego dotyczy ocena określająca wysokie ryzyko.

Propozycja zmiany: cyfrę i słowo „3 miesięcy” zastępuje się cyfrą i słowem „1 roku”, skreślić „dostawca” tak, aby plan dotyczył konkretnego sprzętu i oprogramowania zamiast dostawcy. „W szczególnie uzasadnionych przypadkach Pełnomocnik może zażądać od podmiotu krajowego systemu cyberbezpieczeństwa, którego dotyczy ocena, do sporządzenia i dostarczenia w terminie 1 roku planu i harmonogramu odstąpienia od usługi, sprzętu lub oprogramowania, którego dotyczy ocena określająca wysokie ryzyko.”

Uzasadnienie: Okres 3 miesięcy na sporządzenie i przedstawienie planu oraz harmonogramu odstąpienia
od sprzętu i oprogramowania usługodawcy jest praktycznie niemożliwy do zrealizowania. Jednocześnie, jak zostało wskazanie powyżej, wszelkie środki związane z oceną powinny być stosowane do oprogramowania i do sprzętu,
a nie w stosunku do dostawcy.

3.  Operatorzy telekomunikacyjni powinni otrzymać rekompensatę za koszty poniesione w związku z wymianą sprzętu lub oprogramowania, a rekompensatę powinno obliczać się na podstawie wydatków poniesionych na zakup infrastruktury lub oprogramowania, z uwzględnieniem amortyzacji i kosztów usunięcia.

Uzasadnienie:

Wprowadzenie przepisów art. 66b Projektu spowoduje oczywiste dla operatorów telekomunikacyjnych koszty, niezawinione przez nich, spowodowane nowymi regulacjami, które to koszty powinny być operatorom zrekompensowane przez Skarb Państwa reprezentowany przez Prezesa UKE.

4. Wprowadzenie  wspólnego unijnego mechanizmu certyfikacji krytycznego sprzętu i oprogramowania wykorzystywanego do weryfikacji bezpieczeństwa.

Uzasadnienie:

1) Ustalenie obiektywnych i jasnych kryteriów, upewnienie się, że wyniki zastosowanych kryteriów oceny
są prawidłowe.

2) Skuteczniejszym będzie zmotywowanie dostawców do samokontroli i złożenia oświadczenia o wiarygodności.

3) Nietechnologiczne kryteria są bardzo często nieokreślone i wykorzystują niejasne pojęcia, które są bardzo trudne do zweryfikowania i oceny.

Poniżej przedstawiamy tabelę kompleksowo odnoszącą się do zmian zaproponowanych w projekcie nowelizacji KSC

5. Art. 66a ust. 1

Uzasadnienie:

1) Zestaw narzędzi UE dla działań ograniczających ryzyka dla skupienia analizy ryzyka na kluczowych aktywach zamiast wszystkich aktywach.

2) Podejście UE wymaga wzięcia pod uwagę planu ograniczenia ryzyka celem kontroli realnego zidentyfikowanego ryzyka a nie zakładanego ryzyka.

3) ust. 13 regulacji z dnia 6 kwietnia 2020 w zakresie minimalnych zasad technicznych i organizacyjnych oraz metod zakłada że spółki telekomunikacyjne przeprowadzą okresową analizę ryzyka w zakresie naruszenia bezpieczeństwa sieci i podatności wykrycia, to wymaga pokrycia większości scenariuszy oceny ryzyka. 

Propozycja zmiany: Ocenę ryzyka przeprowadza się wyłącznie:

1) W odniesieniu do krytycznego sprzętu lub oprogramowania, które stwarzają wysokie ryzyko dla bezpieczeństwa lub integralności kluczowych usług na poziomie krajowym o znaczącym wpływie.

2) Wystąpiły poważne naruszenia bezpieczeństwa lub wysokie podatności, których nie można złagodzić.

6. Art. 66a -66c

Uzasadnienie:

1) Łączenie zagrożeń gospodarczych, kontrwywiadowczych i terrorystycznych z dostawcą sprzętu i oprogramowania jest nieracjonalne i nielogiczne.

2) Ważniejszym pytaniem powinno być, jak nie korzystać z tego sprzętu tak, aby stanowił on takie zagrożenie, a nie kto go sprzedaje.

3) Zestaw narzędzi UE (Toolbox) przewiduje możliwość podjęcia środków ograniczających w odniesieniu do kluczowych aktywów. Polskie propozycje w projekcie wykraczają poza wymagania zestawu narzędzi UE..

Propozycja zmiany:

Zmienić słowo "dostawca sprzętu i oprogramowania" na "krytyczny sprzęt lub oprogramowanie" w artykule. 66a -66c.

7. Art. 66a ust. 4 pkt 2)-5)

Uzasadnienie:

1) Ustalenie obiektywnych i jasnych kryteriów, gwarantujących poprawność wyników zastosowanych kryteriów oceny.

2) Bardziej skuteczne będzie motywowanie dostawców do samodzielnego sprawdzania i składania oświadczeń o wiarygodności.

3) Kryteria nietechnologiczne są bardzo często nieokreślone i wykorzystują niejasne pojęcia, które są bardzo trudne do zweryfikowania i oceny.

Propozycja zmiany:

1) Ustanowienie wspólnego unijnego mechanizmu certyfikacji dla krytycznego sprzętu i oprogramowania.

2) wymaga się od dostawców posiadania oświadczenia o wiarygodności.

3) Ustawienie wymagań technicznych lub organizacyjnych dla dostawców sieci telekomunikacyjnej i systemu ICT.

4) Wprowadzenie odniesienia do modelu niemieckiego

8. Art. 66a ust.8

Uzasadnienie:

1) Prawo odwołania od decyzji kolegium dotyczy tylko oceny określającej wysokie ryzyko, ocena określająca średnie i niskie ryzyko nie zapewnia prawa do odwołania.

2) Odwołanie nie zawiesza wykonalności decyzji

3) Obecne postanowienie upoważnia Kolegium do działania we własnej sprawie, tym samym pozbawia strony zainteresowanej obiektywnej i niezależnej ochrony podstawowych praw stron w postępowaniu.

Propozycja zmiany:

1) Ocena określająca średnie i niskie ryzyko powinna również upoważniać do wniesienia odwołania.

2) Wniesienie odwołania powinno zawieszać wykonalność decyzji.

3) Wynik oceny ryzyka może być przedmiotem odwołania do sądu zgodnie z postanowieniami Kodeksu Postępowania Administracyjnego.

4)  Wykonalność decyzji powinna zostać zawieszona do czasu prawomocnej decyzji sądu.

Z wyrazami szacunku,

Guo Peidong

Dyrektor Generalny Sekretariatu