Projekt nowelizacji ustawy implementuje unijną dyrektywę NIS2, która nakłada na wszystkich przedsiębiorców telekomunikacyjnych, w tym dostawców usług dostępu do internetu, obowiązki z zakresu cyberbezpieczeństwa.

W ramach tego procesu przedsiębiorcy muszą brać pod uwagę zagrożenia związane z dostawcami sprzętu i oprogramowania, co wpisuje się w nowoczesny model zarządzania bezpieczeństwem łańcucha dostaw.

Kluczowym elementem nowych przepisów jest wprowadzenie instytucji dostawcy wysokiego ryzyka, która umożliwi organom państwa eliminację z rynku niebezpiecznego sprzętu i usług.

Dostawcą wysokiego ryzyka jest dostawca sprzętu lub oprogramowania, który stwarza poważne zagrożenie dla bezpieczeństwa państwa, obronności, bezpieczeństwa i porządku publicznego lub zdrowia i życia ludzi. Chodzi więc o identyfikację dostawcy, który w najbardziej istotny sposób zagraża Państwu Polskiemu i jego obywatelom.

Za dostawcę wysokiego ryzyka może być uznany podmiot działający w Unii Europejskiej jak i poza UE, niezależnie od pochodzenia kapitału.

Proces ten jest dokładnie uregulowany i wymaga przeprowadzenia sformalizowanej, wieloetapowej procedury administracyjnej, w ramach której dostawca będzie miał możliwość przedstawienia swoich argumentów.

Decyzję administracyjną o uznaniu za dostawcę wysokiego ryzyka podejmuje Minister Cyfryzacji po zasięgnięciu opinii Kolegium do Spraw Cyberbezpieczeństwa.

Opinia Kolegium dotyczy kompleksowej oceny dostawcy sprzętu lub oprogramowania, wobec którego wszczęto postępowanie. Obejmuje ona aspekty techniczne jak analiza podatności występujących w sprzęcie i oprogramowaniu dostarczanym przez dostawcę jak i nietechniczne, takie jak wpływ państwa pochodzenia na działalność dostawcy.

Projekt nie przewiduje automatycznego wycofania sprzętu lub oprogramowania, a wszelkie decyzje będą miały charakter zindywidualizowany. Okres na dostosowanie się do nowych przepisów wynosi do 7 lat, co daje czas na odpowiednią adaptację i uniknięcie negatywnych skutków dla małych i średnich przedsiębiorstw telekomunikacyjnych. Obowiązek wycofania sprzętu lub oprogramowania nie dotyczy przedsiębiorców komunikacji elektronicznej, których przychody nie przekraczają 10 mln złotych.

Projekt ustawy o krajowym systemie certyfikacji cyberbezpieczeństwa wprowadza możliwość dobrowolnej certyfikacji sprzętu i oprogramowania pod kątem cyberbezpieczeństwa. Jest to zgodne z unijnym Aktem o cyberbezpieczeństwie. Natomiast unijne wytyczne w zakresie cyberbezpieczeństwa sieci 5G wskazują na konieczność analizy również aspektów nietechnicznych związanych z dostawcami sprzętu i oprogramowania. Oparcie się więc na certyfikacji nie jest wystarczające.

Regulacje te nie mają na celu wyeliminowania dostawców z rynku, a ich celem jest wzmocnienie cyberbezpieczeństwa w Polsce. Ministerstwo Cyfryzacji jest otwarte na dialog i współpracę ze wszystkimi zainteresowanymi stronami, w tym z przedstawicielami branży telekomunikacyjnej.