Problematyka dostawców wysokiego ryzyka (high risk vendors - HVR) sięga źródłami do branży telekomunikacyjnej i kwestii dostarczania sprzętu koniecznego do świadczenia usług w technologii 5G. Pierwsze wzmianki o instytucji HVR pojawiły się przy okazji dokumentu 5G Toolbox, będącego podstawą do wspólnych działań państw członkowskich UE w obszarze bezpieczeństwa sieci piątej generacji (5G).

Sektor telekomunikacyjny w Polsce, który zmagał się w ostatnich latach z brakiem uchwalenia przepisów wdrażających Europejski Kodeks Łączności Elektroniczne (EKŁE) z 2019 r., może wreszcie przystąpić do pełnego stosowania przepisów tej unijnej dyrektywy, stanowiącej kompleksowy zbiór nowych lub uaktualnionych zasad regulujących działalność branży telekomunikacyjnej. Stało się tak za sprawą uchwalonej w sierpniu tego roku ustawy Prawo komunikacji elektronicznej (PKE). W listopadzie zastąpi ona w całości obowiązującą od 2004 r. ustawę Prawo telekomunikacyjne.

Zasady ochrony danych osobowych w ustawie – Prawo komunikacji elektronicznej - SZKOLENIE ONLINE >

Ostatecznie jednak aktem prawnym, w który ma zostać uregulowana kwestia HVR będzie ustawa zmieniająca przepisy o krajowy systemie cyberbezpieczeństwa. Ministerstwo Cyfryzacji, będące autorem aktualnego projektu, przygotowanego głównie z myślą o Dyrektywie NIS2, zdecydowało że ocena ryzyka dostawców sprzętu lub oprogramowania powinna być rozpatrywana nie tylko w kontekście sieci telekomunikacyjnych, ale również systemów teleinformatycznych i automatyki przemysłowej, stąd odniesienie także do innych branż i gałęzi gospodarki.

NIS2 i RODO: nowe wyzwania i obowiązki dla organizacji w kontekście cyberbezpieczeństwa - SZKOLENIE ONLINE >

Minister Cyfryzacji bierze pod lupę dostawców sprzętu i oprogramowania

Wspomniany projekt ustawy zmieniającej krajowy system cyberbezpieczeństwa (KSC), który został opublikowany w kwietniu 2024 r., w zasadniczej części utrzymuje podejście do oceny ryzyka dostawców sprzętu i oprogramowania, które proponowane było w projektach zmian KSC z 2021 
i 2023 r.

Według przepisów zmieniających KSC minister właściwy ds. informatyzacji (obecnie minister cyfryzacji) wyposażony ma zostać w kompetencje do prowadzenia postępowania w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, ilekroć wystąpiłaby przesłanka ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego. Odnosić się to ma nie tylko do produktów, usług i procesów ICT dla sieci 5G, ale w zasadzie wszystkich obszarów technologicznych, w jakich są wykorzystywane produkty i usługi, których pochodzenie może nieść ze sobą ryzyko dla bezpieczeństwa państwa.

Czytaj w LEX: Nowe środki w zakresie cyberbezpieczeństwa (dyrektywa NIS 2) >

Na skalę możliwego problemu będą z pewnością wpływały dwie inne kwestie. Pierwszą z nich jest wzrost liczby podmiotów, które objęte mają być w Polsce przepisami Dyrektywy NIS2 - w porównaniu do obecnie obowiązującego rozwiązania wypracowanego w KSC, tj. instytucji operatora usług kluczowych. Drugą okoliczność będzie stanowiła szeroka definicja dostawcy sprzętu lub oprogramowania, która została zaproponowana w projekcie ustawy o zmianie KSC. W granicach tego pojęcia mieścić się mają nie tylko producenci, ale również importerzy i dystrybutorzy sprzętu i oprogramowania.

Możliwe postępowanie nie będzie jednak odnosiło się do wszystkich produktów, usług i procesów ICT, lecz tych, które będą wykorzystywane przez podmioty kluczowe i podmioty ważne (z wyłączeniem jednak podsektora komunikacji elektronicznej) lub przedsiębiorców telekomunikacyjnych, których roczne przychody z tytułu wykonywania działalności telekomunikacyjnej w poprzednim roku obrotowym były wyższe od kwoty 10 milionów złotych.

Wydanie decyzji o uznaniu danego dostawcy za HRV, będzie oznaczało dla podmiotów kluczowych i ważnych, konieczność wycofania z użytkowania danego typu produktu ICT, rodzaju usługi ICT i procesu ICT w zakresie objętym decyzją, dostarczanych przez dostawcę wysokiego ryzyka, nie później niż w ciągu siedmiu lat od dnia ogłoszenia lub udostępnienia wydanej w tym przedmiocie decyzji administracyjnej.

Z kolei dla przedsiębiorców telekomunikacyjnych, prowadzących tę działalność w skali przychodów określonych w projekcie, czas na wycofanie produktów, usług i procesów ICT wskazanych w decyzji o uznaniu dostawcy za wysokiego ryzyka, wyniesie cztery lata od ogłoszenia decyzji.

Czytaj też: Nie warto ryzykować przelewu do zadłużonego kontrahenta >

Sprawdź w LEX: Czy przepisy Dyrektywy NIS2 będą mieć zastosowanie do sądów powszechnych w Polsce? >

Proponowane zmiany zgodne z Konstytucją?

Ministerstwo Cyfryzacji w uzasadnieniu projektowanych zmian dostrzegło, iż uznanie danego podmiotu za dostawcę wysokiego ryzyka może stać w sprzeczności z konstytucyjna zasadą wolności prowadzenia działalności gospodarczej, tj. swobody w podejmowaniu decyzji co do formy prowadzonej działalności, swobodnego podejmowania decyzji gospodarczych i w końcu decyzji o zakończeniu prowadzenia działalności.

Wolność gospodarcza, jak podkreśla się powszechnie, nie ma charakteru absolutnego i w istocie może doznać ograniczeń jeśli przemawia za tym ważny interes publiczny. Autorzy projektu zmian w obszarze cyberbezpieczeństwa właśnie tą przesłanką uzasadniają interwencyjny charakter udziału ministra właściwego ds. informatyzacji w rynku produktów ICT, usług ICT i procesów ICT.

Jednakże już przy okazji poprzedniego projektu zmian w obszarze krajowego systemu cyberbezpieczeństwa (projekt z lipca 2023 r.) pojawiały się sygnały o możliwej sprzeczności z Konstytucją RP przepisów regulujących uznanie danego podmiotu za dostawcę wysokiego ryzyka. Wątpliwości pojawiły się w szczególności w zakresie zgodności tej  procedury z zasadą proporcjonalności, wyrażoną w art. 31 ust. 3 Konstytucji RP. Ważny interes publiczny nie stanowi bowiem jedynego warunku, który powinien być spełniony, aby można było mówić o tym, że wolność gospodarcza doznała uzasadnionego ograniczenia. Innym warunkiem jest choćby zastosowanie środka ograniczającego wolność i prawa, który będzie najmniej dolegliwy. W tym samym duchu pozostaje konieczność ograniczenia praw w takim zakresie, który będzie niezbędny do realizacji zamierzonego celu. 

 

Dla jednych szansa, dla innych wzrost kosztów

Perspektywa zawężenia grupy podmiotów dostarczających sprzęt i oprogramowanie jawi się jako szansa dla dostawców z rynków lokalnych (europejskich). Możliwe konsekwencje wprowadzenia nowych regulacji mogą mieć jednak drugą stronę medalu. Pozbawienie odbiorców sprzętu tańszej alternatywy, mającej najczęściej źródło pochodzenia w szczególności w rynkach azjatyckich, spowoduje że niektóre branże, jak np. fotowoltaiczna, która w większości korzysta z komponentów pochodzących od azjatyckich dostawców, będą zmuszone do całkowitego zrewolucjonizowania swoich łańcuchów dostaw i kosztów działalności z tym związanych.

 

 

Widmo sprzętowego niedoboru i sądowych batalii

Wzrost kosztów po stronie odbiorców (podmiotów kluczowych i ważnych) nie stanowi jedynego ryzyka zapowiadanych zmian. Skupienie źródła dostaw jedynie wśród odkreślanej grupy podmiotów, bez wyraźnej alternatywy, może w konsekwencji spowodować niedobór określonego sprzętu na rynku i problemy z terminowym zaopatrzeniem odbiorców w usługi i produkty. 

Z kolei kontrowersyjne z prawnego punktu widzenia procedury uznania danego podmiotu za dostawcę wysokiego ryzyka, stwarzać będzie ryzyko kwestionowania wydanych w tym przedmiocie decyzji na drodze sądowo-administracyjnej. W pierwszej kolejności w celu uchylenia nadanego takim decyzjom rygoru natychmiastowej wykonalności. Projekt zmian w przepisach o KSC przewiduje, że natychmiastowa wykonalność decyzji w przedmiocie uznania dostawcy za HVR będzie wynikała z mocy prawa, a nie decyzji organu.

 

Dyrektywa NIS2 – zegar tyka niepokojąco

Biorąc pod uwagę obecny stan prac nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa i wyznaczony w Dyrektywie NIS2 termin, od którego państwa członkowskie stosować mają przepisy niezbędnych do wykonania tej dyrektywy, tj. 18 października 2024 r., nasuwają się niepokojące skojarzenie z procesem uchwalenia PKE. Zmagania związane z kompleksową zmianą przepisów w sektorze telekomunikacji i pełnym wdrożeniem Europejskiego Kodeksu Łączności Elektronicznej zakończyły się… niemal cztery lata po wyznaczonym na to przez UE terminie. 
Do zmian podnoszących poziomu odporności na cyberzagrożenia podejść należy w sposób bardziej zdecydowany i z większą świadomością tego, z czym brak uchwalenia takich przepisów może się w przyszłości wiązać.

Jarosław Straś, radca prawny i associate w KWKR