Unia zrywa z chińskimi dostawcami. Ekspert: To lepsze, niż gdyby decyzję podjęła samodzielnie Polska

20 stycznia br. Komisja Europejska (KE) przedstawiła propozycję rewizji aktu o cyberbezpieczeństwie (Cybersecurity Act), która zakłada, że państwa członkowskie będą zobowiązane do rezygnacji z dostawców sieci komórkowych z państw trzecich, które zostaną uznane przez KE za ryzykowne. W 2020 r. za dostawcę ryzykownego Komisja uznała chińskie przedsiębiorstwo Huawei i zaleciła państwom członkowskim rezygnacje ze sprzętu tej firmy.

Ustawa wdrażająca przepisy UE z podpisem prezydenta Nawrockiego

Natomiast 19 stycznia br. prezydent Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC) oraz skierował ją do Trybunału Konstytucyjnego. Wdraża ona przepisy unijnej dyrektywy NIS2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G.

Nowela pozwala m.in. eliminować dostawców wysokiego ryzyka (DWR). Takiego dostawcę na mocy przepisów będzie mógł wskazać minister cyfryzacji, po konsultacjach z prokuraturą, stroną społeczną i kolegium ds. cyberbezpieczeństwa – na podstawie przesłanek technicznych i nietechnicznych. Resort cyfryzacji zapewniał, że procedura nie jest skierowana przeciwko żadnemu konkretnemu państwu.

Ekspert: To lepsze, niż gdyby decyzję podjęła samodzielnie Polska

Wydaje mi się, że celem Komisji jest zerwanie z chińskimi dostawcami na terenie UE. I myślę, że jest to lepsze rozwiązanie, niż gdyby taką decyzję samodzielnie podjęła Polska – nie będzie nas można posądzić o uznaniowość – ocenił dla PAP ekspert ds. cyberbezpieczeństwa Piotr Brogowski. Jego zdaniem Chiny dość zdecydowanie chronią swoje firmy i jeżeli taka decyzja zapadłaby na poziomie europejskim, to reakcja Państwa Środka może nastąpić wobec całej Unii Europejskiej.

Oznacza to, że reakcja mogłaby być dla naszej gospodarki mniej dotkliwa, niż jeżeli nastąpiłaby tylko w odniesieniu do Polski, m.in. dlatego, że ewentualne sankcje na całą UE to wyższy koszt niż wobec jednego kraju – tłumaczył Brogowski. Podkreślił, że zdaniem organizacji rolniczych już teraz Pekin negatywnie przyjmuje uchwalenie przepisów o KSC i w związku z tym ogranicza import polskiego drobiu. Dzieje się to mimo zapewnień resortu cyfryzacji, że przepisy o DWR nie dotyczą żadnego konkretnego kraju – dodał ekspert.

W odpowiedzi na pytania PAP o cel rewizji aktu i jej ewentualny wpływ na Huawei, jeden z rzeczników KE przekazał, że celem propozycji jest "ograniczenie ryzyk w unijnym łańcuchu dostaw ICT pochodzących od dostawców z państw trzecich budzących zastrzeżenia w zakresie cyberbezpieczeństwa". Źródło podkreśliło, że propozycja jest oparta "na zharmonizowanym, proporcjonalnym i opartym na ryzyku podejściu". Dodano, że pakiet umożliwi UE i państwom członkowskim wspólne identyfikowanie i ograniczanie ryzyk we wszystkich 18 sektorach krytycznych, z uwzględnieniem skutków gospodarczych i podaży rynkowej.

Ministerstwo Cyfryzacji: Nie można traktować cyberbezpieczeństwa wycinkowo

Z kolei Ministerstwo Cyfryzacji (MC) przekazało PAP, że uczestniczyło w pracach nad rewizją aktu o cyberbezpieczeństwie i przedstawiało swoje stanowisko w tej sprawie. Ma też zamiar nadal pracować na forum UE nad szczegółowymi rozwiązaniami.

"Propozycja przekazana przez Komisję jest zgodna kierunkowo z propozycjami resortu" – podało biuro prasowe MC.

Podkreśliło, że nie można traktować systemu cyberbezpieczeństwa wycinkowo i wymaga on kompleksowego podejścia. "Zarówno państwa członkowskie jak i Unia Europejska muszą mieć narzędzia prawne, aby ograniczać ryzyko związane z dostawcami wysokiego ryzyka – by dbać o wysoki poziom cyberbezpieczeństwa, bezpieczeństwo każdego państwa członkowskiego i obywateli" – zaznaczył resort.

Pytany, czy nadal aktualne jest stanowisko MC z marca 2025 r., zgodnie z którym nie ma planów wprowadzenia zakazu ani ograniczenia sprzętu i oprogramowania Huawei, resort przekazał, że działania KE z 2020 r. odnoszące się do Huawei miały formę rekomendacji i jako takie nie implikowały bezpośrednich skutków. To odróżnia je od "uznania za dostawcę wysokiego ryzyka" w rozumieniu rewizji aktu o cyberbezpieczeństwa czy Toolboxa 5G – zaznaczył resort.

W odniesieniu do procedury DWR ujętej w nowelizacji ustawy o KSC Ministerstwo Cyfryzacji podkreśliło, że postępowanie w sprawie uznania za dostawcę wysokiego ryzyka będzie uruchamiane w sytuacjach wyjątkowych – wtedy, gdy zajdą co do tego przesłanki ustawowe. "W szczególności chodzi o konieczność zapewnienia bezpieczeństwa państwa w obszarze bezpieczeństwa łańcuchów dostaw" – podkreślił resort.

Zaznaczył też, że samo wszczęcie postępowania nie przesądza o jego wyniku. "To w ramach tego postępowania będzie możliwe wszechstronne zbadanie, czy dany dostawca sprzętu lub oprogramowania zagraża podstawowemu interesowi bezpieczeństwa państwa i podjęcie adekwatnej decyzji" – przekazało MC. Zgodnie z przepisami od decyzji resortu dostawcy przysługuje odwołanie do sądu. Natomiast sprzęt dostawcy wysokiego ryzyka będzie musiał być wycofany z systemów podmiotów kluczowych i podmiotów ważnych w ciągu od 4 do 7 lat.

Huawei: Nie ma przepisów, które identyfikowałyby nas jako dostawcę wysokiego ryzyka

Aleksandra Kolarczyk z Huawei Polska, pytana przez PAP o nową propozycję Komisji, przekazała, że akt cyberbezpieczeństwa jest projektem rozporządzenia, który musi przejść cały proces legislacyjny Unii Europejskiej, zanim stanie się obowiązującym prawem.

Projekt ten może mieć wpływ – zgodnie z proponowaną definicją "państw trzecich" (ang. third countries) - na każdego dostawcę spoza UE i nie wskazuje on w obecnej formie żadnego konkretnego państwa ani podmiotu. Jak dotąd nie ma też żadnych przepisów ani decyzji, które identyfikowałyby Huawei jako dostawcę wysokiego ryzyka – podkreśliła przedstawicielka firmy.

Zdaniem Huawei projekt rozporządzenia, który miałby na celu ograniczenie lub wykluczenie dostawców spoza Unii Europejskiej, w oparciu o kryterium państwa pochodzenia, zamiast norm technicznych czy wiarygodnych dowodów – naruszałby podstawowe zasady sprawiedliwości, niedyskryminacji, proporcjonalności, a także zobowiązania UE wynikające z członkostwa w Światowej Organizacji Handlu (WTO).

Huawei: Wierzymy, że Polska będzie przestrzegać zasady niedyskryminacji

Jako firma działająca zarówno w Polsce jak i w Europie zgodnie z obowiązującym prawem, Huawei dostarcza nieprzerwanie, od ponad 20 lat bezpieczne i zaufane produkty oraz usługi, dlatego będziemy chronić uzasadnionych interesów i praw spółki– przekazała Aleksandra Kolarczyk.

Wierzymy, że Polska jako praworządny kraj będzie przestrzegać zasady niedyskryminacji – dodała w odniesieniu do nowelizacji ustawy o KSC.

Ekspert: Kryteria powinny być techniczne i obiektywne, a nie polityczne

Zdaniem Piotra Brogowskiego nowelizacja KSC, w tym również zapisy o dostawcy wysokiego ryzyka (DWR), jest "jak najbardziej potrzebna i zasadna" z punktu widzenia cyberbezpieczeństwa i bezpieczeństwa narodowego.

Przy procesowaniu ustawy posłowie opozycji wskazywali, że kryteria wskazania DWR powinny być techniczne i obiektywne, a nie polityczne. Czyli wynikać np. z przeprowadzonych audytów, analizy incydentów, stwierdzenia podatności (luki bezpieczeństwa – PAP) itd. Jednak wydaje mi się, że nie można abstrahować od tego, kto jest właścicielem danej firmy, gdzie ona jest zarejestrowana i jakiemu prawu podlega – powiedział ekspert.

Przypomniał w tym kontekście przykład rosyjskiej firmy Kaspersky Lab produkującej m.in. oprogramowanie antywirusowe, która w Stanach Zjednoczonych została całkowicie zakazana. Nie zdecydowały o tym jakieś obiektywne czynniki, ale właśnie pochodzenie – ocenił Brogowski.

Jego zdaniem trudno uciekać od tego, że firmy takie jak Huawei czy ZTE są firmami chińskimi, czyli działają w państwie autorytarnym, podlegają prawu tego państwa i muszą się do niego stosować. Teraz wyobraźmy sobie sytuację, że Rosja atakuje kraje bałtyckie. My zgodnie z artykułem piątym NATO je wspomagamy, a Chiny, które wspomagają Rosję, wyłączają nam 60 proc. mobilnej łączności internetowej. To oczywiście bardzo daleko idący i bardzo hipotetyczny przykład, ale w analizie ryzyka łańcucha dostaw musimy brać pod uwagę wszelkie czynniki – stwierdził ekspert.

Przypomniał też, że to z Chin – obok Rosji, Iranu i Korei Północnej pochodzą sponsorowane przez państwa grupy cyberprzestępcze, które odpowiadają za większość ataków na świecie i w Europie. Musimy więc liczyć się z tym, że w chińskim oprogramowaniu mogą być backdoory (umyślnie pozostawione luki bezpieczeństwa – PAP), które umożliwiają chińskim grupom hakerskim sponsorowanym przez państwo dostęp do poufnych informacji – podkreślił.

W marcu 2025 r. Przedstawiciele Play, Orange i T-mobile w odpowiedzi na pytania PAP przekazali, że udział chińskiego sprzętu lub oprogramowania wynosi u nich ok. 50 proc. Natomiast w Plusie technologia 5G jest budowana w oparciu o infrastrukturę dostarczaną przez firmy Nokia i Ericsson.

Na pytania PAP z br., czy te dane są aktualne i jak telekomy odnoszą się do propozycji aktu o cyberbezpieczeństwie, biuro prasowe Orange przekazało, że firma analizuje propozycję Komisji Europejskiej i ma też na uwadze znowelizowaną ustawę o krajowym systemie cyberbezpieczeństwa. "Działamy zgodnie z obowiązującymi przepisami prawa i będziemy się dostosowywać do nowych regulacji, kiedy zostaną przyjęte. Liczymy, że będą adekwatne i proporcjonalne" – podkreśliło biuro prasowe. Orange dodało, że przykłada dużą wagę do kwestii bezpieczeństwa i od lat prowadzi politykę braku uzależnienia od jednego dostawcy i dywersyfikacji sprzętu kupowanego do sieci.

Play przekazał, że udział sprzętu Huawei stanowi ok. 50 proc. całej sieci. Firma zaznaczyła, że stosuje się do obowiązujących regulacji. Pytana o koszt wymiany sprzętu Huawei, firma poinformowała, że może się on różnić w zależności od czasu udostępnionego operatorom na wdrożenie niezbędnych zmian w ich sieciach.

Plus podtrzymał informacje o tym, że nie stosuje sprzętu Huawei, a T-mobile nie odniósł się do pytań wysłanych przez PAP.

Zdaniem Brogowskiego, przepisom znowelizowanej ustawy o KSC, oprócz "wielkiej czwórki" telekomów, będą podlegać również lokalni operatorzy internetowi (ISP) dostarczający łączność światłowodową do jednego lub kilku powiatów, których jest w Polsce ok. 1,7 tys.; a także mniejsi operatorzy wirtualni (MVNO), których jest ok. 150.

Według badań, z którymi się zetknąłem, 81 proc. infrastruktury sektora MŚP pochodzi spoza UE I NATO. Najczęściej jest to sprzęt chiński, głównie Huawei i ZTE. Pytanie, czy te firmy będą w stanie podołać finansowo wymianie takiego sprzętu – zaznaczył ekspert.

Ministerstwo Cyfryzacji podkreślało podczas prac legislacyjnych, że jeśli decyzja o DWR zapadnie, to przepisy dają organizacjom od pięciu do siedmiu lat na zastosowanie się do niej, a tyle mniej więcej wynosi retencja sprzętu elektronicznego. Oznacza to, że w tym czasie i tak byłby on wymieniony na nowszy. Brogowski przyznał, że to prawda, jednak jeżeli firma wymieniałaby jedno urządzenie Huawei na drugie – też od Huawei, to ceny tego sprzętu mogą być niższe niż nowy sprzęt innego dostawy. Przedsiębiorcy pewnie mają upusty, które przepadną. A więc przy procedurze DWR musieliby zapłacić więcej niż przy normalnym zużyciu się sprzętu – ocenił.

Ekspert zaznaczył, że zgadza się ze zdaniem profesora Ryszarda Piotrowskiego, konstytucjonalisty z UW, który twierdzi, że przepisy KSC ws. wymiany sprzętu obejmują wywłaszczenie na cel publiczny, związany z bezpieczeństwem narodowym i w związku z tym koszty te powinny być pokrywane przez państwo, a nie przez pojedynczych przedsiębiorców.

Prezydent Karol Nawrocki uzasadnił w lutym przekazanie noweli o KSC do Trybunału Konstytucyjnego m.in. kwestią przepisów regulujących zasady uznawania podmiotów za dostawców wysokiego ryzyka. Przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania i to bez odszkodowania, i bez zabezpieczenia środków finansowych na ten cel – podał prezydent.

Nowela przewiduje, że firmy z 18 sektorów kluczowych i ważnych (czyli m.in. energii, zdrowia, bankowości, produkcji, zaopatrzenia w wodę) będą miały szereg nowych obowiązków związanych z cyberbezpieczeństwem. Obowiązkowe będzie m.in. wdrożenie systemu zarządzania bezpieczeństwem informacji, zapewnienie bezpieczeństwa łańcucha dostaw produktów, usług i procesów ICT oraz regularne ocenianie ryzyka wystąpienia incydentów.

Kiedy ustawa ma wejść w życie i kogo konkretnie obejmie?

Ustawa ma wejść w życie po upływie miesiąca od dnia ogłoszenia, czyli od 2 marca br. W ciągu pierwszych sześciu miesięcy obowiązywania ustawy podmioty objęte KSC będą musiały sprawdzić, czy podlegają przepisom i zarejestrować się w specjalnym rejestrze. Na zastosowanie się do przepisów przedsiębiorcy będą mieli rok.

Celem najnowszej propozycji ws. aktu o cyberbezpieczeństwie autorstwa KE jest wyłączenie dostawców produktów i usług, które mogłyby być wykorzystane przez kraje lub podmioty trzecie np. do szpiegostwa lub ataków cybernetycznych. Według propozycji państwo trzecie mogłoby zostać uznane za ryzykowne z punktu widzenia cyberbezpieczeństwa po dochodzeniu zainicjowanym na wniosek KE lub co najmniej trzech państw członkowskich. Od momentu stwierdzenia takiego ryzyka państwa członkowskie będą miały trzy lata na zrezygnowanie z usług przedsiębiorstw pochodzących z takich krajów i znalezienie alternatywnych dostawców.

Nowym prawem mają zostać objęci nie tylko dostawcy sieci komórkowych, ale też dostarczający usługi i towary o krytycznym znaczeniu, takie jak: skanery, pojazdy zautomatyzowane, systemy zasilania i magazynowania energii elektrycznej, zaopatrzenia w wodę, drony i systemy antydronowe, usługi przetwarzania w chmurze, urządzenia medyczne czy półprzewodniki.