Ministerstwo Cyfryzacji opublikowało informacje dotyczące dostawców wysokiego ryzyka, o których mówi projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa. Twierdzi, że ostrzega przed dezinformacją na ten temat.

Jak zapewnia, celem regulacji DWR jest eliminacja niebezpiecznego sprzętu i usług z kluczowych dla funkcjonowania państwa systemów informatycznych. Sprzęt, usługi i procesy dostawcy uznanego za DWR musiałyby zostać usunięte z podmiotów istotnych dla funkcjonowania państwa w ciągu 4 – 7 lat.

Resort argumentuje, że obecnie nie ma narzędzi prawnych nakazujących wycofywanie z eksploatacji produktów ICT, usług ICT i procesów ICT zagrażających bezpieczeństwu kluczowych podmiotów w Polsce. Wskazuje też na konieczność wdrożenia unijnego zestawu środków dla cyberbezpieczeństwa sieci 5G (Toolbox 5G).

Ministerstwo: to nie będzie polityczna decyzja

Ministerstwo twierdzi m.in., że dezinformacją jest rozpowszechnianie przekonania, iż uznanie konkretnej firmy za dostawcę wysokiego ryzyka to arbitralna decyzja polityczna, a przesłanki techniczne nie mają znaczenia.

Jak zapewnia, decyzja taka będzie mogła zapaść dopiero po wieloetapowym postępowaniu z udziałem różnych organów (Kolegium ds. Cyberbezpieczeństwa, fakultatywnie, organizacje społeczne i UOKiK), z uwzględnieniem przesłanek politycznych i prawnych (ryzyko zagrożeń w wymiarze ekonomicznym, wywiadowczym czy terrorystycznym), jak i technicznych (jak liczba i rodzaj wykrytych podatności i incydentów, nadzór dostawcy nad wytwarzaniem i dostarczaniem produktów, certyfikaty). Decyzję o uznaniu dostawcy za DWR będzie można zaskarżyć do sądu administracyjnego.

Resort przekonuje również, że projektowane przepisy nie są wymierzone w firmy z konkretnego państwa. Wynika z tego, że dezinformacją według ministerstwa jest twierdzenie, że regulacje DWR są wymierzone w chińskich dostawców, a przede wszystkim w Huawei.

Ministerstwo Cyfryzacji opublikowało schematy, jak wygląda proces uznawania dostawcy za wysokiego ryzyka. Są dostępne na tej stronie.

Krytyka i poparcie

Projekt przepisów o dostawcy wysokiego ryzyka budzi kontrowersje od dobrych kilku lat, bo tyle już trwają prace nad nowelizacją ustawy o KSC i jej kolejnymi wersjami.

Ostatnio Centrum im. Adama Smitha oceniło, że „pod szyldem „cyberbezpieczeństwa” Minister Cyfryzacji wprowadza kategorię dostawcy wysokiego ryzyka, a tak naprawdę wprowadza przepisy wysokiego ryzyka korupcji”. Konsekwencją może być w ocenie centrum chaos, ograniczenie konkurencji w ICT i rozwoju cyfrowej gospodarki w kraju.

Wskazuje się też na wysokie koszty wymiany rozwiązań DWR, które dla operatorów telekomunikacyjnych mają sięgać 3,6 mld zł do 7 mld zł. Pojedynczą firmę taki obowiązek może kosztować ok. 1 mln zł – wynika z analizy Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl.

„Nie możemy oszczędzać na bezpieczeństwie Polski, obywateli i krajowych przedsiębiorstw” – uzasadnia z kolei prezes Cyfrowej Polski, Michał Kanownik. Organizacja zrzeszająca największe firmy z branży zasadniczo popiera propozycje ministerstwa w sprawie DWR, a nawet domaga się szybszych terminów usunięcia ryzykownego vendora z kluczowej infrastruktury, niż 4 – 7 lat.

Minister cyfryzacji zadeklarował w listopadzie br., że środki na obowiązkową wymianę sprzętu i oprogramowania DWR przedsiębiorcy będą mogli uzyskać z puli 2,8 mld zł pożyczek na wsparcie transformacji firm dzięki chmurze.