Czy Polacy będą zmuszeni wymienić routery WiFi? Sprawdzamy projekt ustawy

Czas czytania: około min.

Czy Polacy będą zmuszeni wymienić routery WiFi? Sprawdzamy projekt ustawy

29.01.2021 godz. 19:28

Wyjaśniamy wątpliwości związane z projektem ustawy.

Artykuł portalu Super Biznes wywołał poruszenie wśród użytkowników mediów społecznościowych. W tytule publikacji czytamy, że „Polacy będą zmuszeni wymieniać routery wifi! To efekt ustawy o cyberbezpieczeństwie”. Czy rzeczywiście projekt ustawy zakłada, że użytkownicy indywidualni będą zmuszeni wymienić sprzęt i poniosą dodatkowe koszty? Wyjaśniamy te kwestie w naszej analizie.

 

Źródło: www.facebook.com

Artykuł Super Biznesu

29 stycznia na portalu Super Biznes ukazał się tekst dotyczący projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa zatytułowany „Polacy będą zmuszeni wymieniać routery wifi! To efekt ustawy o cyberbezpieczeństwie”.

Ten dosyć szokujący tytuł nie współgrał jednak z treścią materiału. W rzeczywistości tekst dotyczył komentarza udzielonego przez Piotra Mieczkowskiego, dyrektora zarządzającego fundacją Digital Poland. Analizując nowelizację ustawy, stwierdził on, że „może się okazać, że należy usunąć wybrane domowe urządzenia konsumenckie, które przekazał klientowi operator, co naraża konsumentów na straty pieniężne”.

Analizowane przepisy dotyczą jednak projektu nowelizacji ustawy, nie zaś obowiązującego prawa, więc nawet jeśli interpretacja przepisów byłaby zgodna z rzeczywistością, manipulacją jest tytuł, który wprost sugeruje nieuchronność takiego rozwiązania w momencie, kiedy nie weszło ono jeszcze w życie.

Artykuł wywołał szybką reakcję Kancelarii Prezesa Rady Ministrów, która administruje obecnie resortem cyfryzacji. Niedługo później opublikowane zostało stosowne dementi.

Reakcja Kancelarii Prezesa Rady Ministrów

„Żałujemy, że autor artykułu przed jego napisaniem nie skontaktował się z nami. Dowiedziałby się, że zamierza opublikować nieprawdę. Fake news. Kolejny” napisali urzędnicy KPRM. Dalej znajdziemy informacje dotyczące projektu ustawy:

„Tak – pracujemy nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Od miesięcy konsultujemy jej zapisy z ekspertami, innymi ministerstwami i rynkiem. Czego dotyczy ustawa? Przede wszystkim – krajowego systemu cyberbezpieczeństwa i zwiększania jego skuteczności – czyli podniesienie odporności na cyberzagrożenia, w tym również bezpiecznego wdrożenia sieci 5G”.

KPRM tłumaczy również, że:

„W przepisach mowa jest m.in. o uznawaniu dostawcy za dostawcę wysokiego ryzyka. Nowelizacja opisuje ten proces i jego konsekwencje. Co ważne, mówi też o tym dla jakich podmiotów taka decyzja będzie wiążąca. I nie są to konsumenci, a podmioty krajowego systemu cyberbezpieczeństwa”.

Dyskusja w mediach społecznościowych

Publikacja Super Biznesu została udostępniona również na Twitterze. Na informację szybko zareagował resort cyfryzacji, podległy pod KPRM:

 

Z kolei w odpowiedzi na tweeta resortu Piotr Mieczkowski napisał: „Niestety to jest możliwe, biorąc pod uwagę załącznik 3 i zdefiniowane funkcje, pamiętając, że operatorzy oferują urządzenia typu routery klientom. Podobnie jest ze zdejmowaniem strony w imię zaistniałych ważnych incydentów. Propozycja na to pozwala”.

Zdaniem KPRM nie jest to jednak prawda. W udzielonym nam komentarzu czytamy:

„W żadnym wypadku, przepisy zawarte w UKSC odnoszą się do podmiotów krajowego systemu cyberbezpieczeństwa i nie mają zastosowania do konsumentów”.

Co znajduje się w nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa?

Przedmiotem kontrowersji jest mechanizm, który pozwala ustanawiać w ramach określonych ustawą procedur status tzw. dostawcy wysokiego ryzyka. Mowa o dostawcy sprzętu i oprogramowania, które wykorzystują następujące podmioty:

„1) podmioty krajowego systemu cyberbezpieczeństwa;

2) przedsiębiorcy telekomunikacyjni obowiązani posiadać aktualne i uzgodnione plany działań w sytuacjach szczególnych zagrożeń, o których mowa w art. 176a ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne;

3) właściciele i posiadacze obiektów, instalacji lub urządzeń infrastruktury krytycznej, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. z 2020 r. poz. 1856);

4) przedsiębiorcy o szczególnym znaczeniu gospodarczo-obronnym, o których mowa w art. 3 ustawy z dnia 23 sierpnia 2001 r. o organizowaniu zadań na rzecz obronności państwa realizowanych przez przedsiębiorców”.

W myśl nowelizacji minister właściwy do spraw informatyzacji będzie mógł uznawać w drodze decyzji dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli z przeprowadzonego postępowania wynika, że dostawca ten stanowi poważne zagrożenie dla bezpieczeństwa narodowego.

Co się stanie, jeśli dana firma zostanie uznana za dostawcę wysokiego ryzyka?

Zgodnie z proponowanymi przepisami podmioty, które wymieniliśmy powyżej, nie będą mogły wprowadzić do użytkowania typów produktów, rodzajów usług i konkretnych procesów w zakresie objętym decyzją, dostarczanych przez dostawcę wysokiego ryzyka, a także będą musiały wycofać je z użytkowania nie później niż siedem lat od dnia opublikowania decyzji (w przypadku przedsiębiorców telekomunikacyjnych realizujących funkcje krytyczne dla bezpieczeństwa sieci i usług okres ten jest skrócony do pięciu lat). Nie będzie można dokonywać także zakupu sprzętu, oprogramowania i usług od dostawcy wysokiego ryzyka w ramach procedur przewidzianych ustawą Prawo zamówień publicznych.

Katalog funkcji krytycznych dla bezpieczeństwa sieci i usług wymieniony jest w Załączniku nr 3 do ustawy i obejmuje:

„1. Uwierzytelnianie urządzeń użytkowników i zarządzanie prawami dostępu.
2. Przechowywanie danych kryptograficznych i identyfikacyjnych związanych z użytkownikami końcowymi.
3. Zarządzanie łącznością ze urządzeniami użytkowników i przydzielanie zasobów radiowych.
4. Ruting ruchu sieciowego pomiędzy urządzeniami użytkownika a sieciami i aplikacjami innych firm.
5. Zarządzanie połączeniami ze sprzętem użytkownika i sesjami.
6. Wdrażanie, zarządzanie i monitorowanie polityk dostępu do sieci.
7. Przydzielanie elementu sieci dla połączeń z urządzeniami użytkowników.
8. Rejestrowanie, autoryzacja i utrzymanie ciągłości usług sieciowych.
9. Zabezpieczenia sieci przed oddziaływaniem aplikacji zewnętrznych.
10. Zabezpieczenia połączeń z innymi sieciami”.

Jak wyjaśniają przedstawiciele resortu cyfryzacji, przepisy ustawy mają zastosowanie jedynie do podmiotów wchodzących w skład krajowego systemu cyberbezpieczeństwa. Takimi podmiotami są w szczególności operatorzy usług kluczowych, operatorzy infrastruktury krytycznej, przedsiębiorcy o szczególnym znaczeniu gospodarczo-obronnym, dostawcy usług cyfrowych i podmioty publiczne.

Użytkownicy indywidualni nie są objęci przepisami ustawy o krajowym systemie cyberbezpieczeństwa i nie obejmą ich ograniczenia wynikające z ustawy.

Natomiast zgodnie z tłumaczeniem resortu sprzęt wykorzystywany w infrastrukturze sieciowej przez użytkowników indywidualnych, nawet jeśli jego formalnym właścicielem jest operator komunikacyjny, nie podlega pod ustawę o Krajowym Systemie Cyberbezpieczeństwa. Ustawa nie będzie nakładać więc obowiązku wymiany sprzętu, czy to przez samego konsumenta, czy to przez firmę telekomunikacyjną, która świadczy mu usługi internetowe.

Podkreślenia wymaga także fakt, że ewentualnemu obowiązkowi wycofania będą podlegały produkty, usługi i procesy, wskazane w decyzji ministra właściwego do spraw informatyzacji – a więc nie wszystkie produkty, usługi i procesy oferowane przez dostawcę wysokiego ryzyka. Decyzja w tym zakresie nie będzie także dotyczyła ograniczeń w sprzedaży i użytkowaniu oprogramowania, urządzeń i usług oferowanych przez takiego dostawcę podmiotom nieobjętym wymaganiami krajowego systemu cyberbezpieczeństwa.

*Jeśli znajdziesz błąd, zaznacz go i wciśnij Ctrl + Enter

Podobał Ci się artykuł? Pomóż nam dzielić się prawdą!

Możesz śmiało rozpowszechniać ten artykuł na swojej stronie internetowej. Pamiętaj o podaniu źródła. Sprawdź jak możesz udostępniać.

Wpłać darowiznę i działaj z nami!

lub