Nowe przepisy o cyberbezpieczeństwie mogą naruszać polską konstytucję i przepisy unijne

Projekt ze stycznia 2021 r. pozostawia kryteria nietechniczne oceny dostawcy jak np. analizę prawdopodobieństwa, że dostawca „znajduje się pod kontrolą państwa” spoza Unii Europejskiej lub NATO. Projekt nowelizacji ustawy o cyberbezpieczeństwie wciąż zatem nie uwzględnia kilkudziesięciu uwag z rynku, zgłoszonych w toku konsultacji społecznych. Nietechniczne kryteria wskazują, że niektórzy dostawcy wciąż mogą zostać uznani za dostawców wysokiego ryzyka i tym samym wykluczeni z wdrażania sieci 5G w Polsce. Analiza prawdopodobieństwa, że dostawca „znajduje się pod kontrolą państwa” spoza Unii Europejskiej lub NATO, powinna bowiem uwzględniać stopnień i rodzaj powiązań pomiędzy dostawcą sprzętu lub oprogramowania i tym państwem, prawodawstwo oraz stosowanie prawa w zakresie ochrony danych osobowych, zwłaszcza tam, gdzie nie ma porozumień w zakresie danych między UE i danym państwem, strukturę własnościową dostawcy sprzętu lub oprogramowania, zdolności ingerencji tego państwa w swobodę działalności gospodarczej dostawcy sprzętu lub oprogramowania (art. 66a ust. 6 pkt 2 a‒d).

W uzasadnieniu odmowy zmiany projektowanych zapisów powołano się na ocenę dostawcy zaproponowaną w tzw. Toolbox 5G. Toolbox jest jednak dokumentem technicznym i organizacyjnym, zawierającym rekomendacje w zakresie budowy i zakupu sprzętu przeznaczonego do infrastruktury 5G, w szczególności przedstawia, w jaki sposób minimalizować zidentyfikowane wcześniej ryzyka. Wprowadzenie do projektu nowelizacji UKSC kryterium dostawcy wysokiego ryzyka i powiązanie go z koniecznością dokonania analizy stopnia i rodzaju powiązań pomiędzy dostawcą sprzętu lub oprogramowania a państwem jego pochodzenia może skutkować uznaniem, że inne usługi i produkty pochodzące z państwa pochodzenia dostawcy także stanowią produkty i usługi wysokiego ryzyka.