W mediach pojawiają się nieprawdziwe informacje o skutkach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Wyjaśniamy, czym jest instytucja dostawcy wysokiego ryzyka i dlaczego nie oznacza automatycznych kosztów ani ograniczeń dla podmiotów korzystających ze sprzętu spoza UE i NATO. Sprawdź fakty i nie daj się dezinformacji!
Sprawdź fakty o dostawcach wysokiego ryzyka
Dezinformacja: Dostawca sprzętu i oprogramowania spoza UE i NATO to automatycznie dostawca wysokiego ryzyka.
Fakt:
Dostawca spoza UE i NATO nie będzie automatycznie uznawany za dostawcę wysokiego ryzyka. Żadnemu podmiotowi, który korzysta ze sprzętu lub oprogramowania takich dostawców, nie grozi czasowe zaprzestanie działalności w związku z obowiązkiem wycofania sprzętu.
Procedura obejmuje szereg przesłanek, w szczególności technicznych, które wskazują, że jakiś dostawca powinien zostać uznany za dostawcę wysokiego ryzyka. Wobec tego sam status dostawcy spoza UE czy NATO nie przesądza o jego uznaniu za dostawcę wysokiego ryzyka.
Dezinformacja: Instytucja dostawcy wysokiego ryzyka wygeneruje poważne obciążenia finansowe dla podmiotów i problemy z ciągłością działalności z powodu braku zastępowalności sprzętu i oprogramowania sprzętem dostawców z UE.
Fakt:
Nie wiadomo, czy kiedykolwiek zajdzie potrzeba wydania decyzji o uznaniu danego dostawcy za dostawcę wysokiego ryzyka. Nawet jeśli taka decyzja zostanie wydana, będzie dotyczyła wyłącznie konkretnego sprzętu lub oprogramowania wskazanego w decyzji.
Instytucja dostawcy wysokiego ryzyka nie jest wymierzona w konkretnego dostawcę ani państwo. Obowiązek wymiany sprzętu lub oprogramowania nie będzie dotyczył całego sprzętu dostarczanego przez danego dostawcę, a jedynie tego, który zostanie wskazany w decyzji Ministra Cyfryzacji.
Skoro nie wiadomo, czy decyzja kiedykolwiek wobec jakiegoś dostawcy zostanie wydana, na tym etapie nie można określić skutków finansowych związanych z wymianą sprzętu bądź oprogramowania.
Skoro status dostawcy spoza UE i NATO nie jest przesłanką do uznania go za dostawcę wysokiego ryzyka, nie ma potrzeby szukać alternatywnego dostawcy z UE. Nawet jeśli zajdzie potrzeba wymiany sprzętu lub oprogramowania z powodu wydania decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka, to podmiot będzie mógł je zastąpić sprzętem innego dostawcy spoza UE i NATO – o ile nie został on uznany za dostawcę wysokiego ryzyka.
Dezinformacja: Instytucja dostawcy wysokiego ryzyka wygeneruje poważne obciążenia finansowe dla podmiotów, a w ocenie skutków regulacji projektu ustawy nie przewidziano odszkodowań.
Fakt:
Na wymianę sprzętu i oprogramowania określonego w decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka przewidziano – co do zasady – 7-letni okres. Czas ten zazwyczaj odpowiada cyklowi życia urządzeń, więc po tym okresie podmioty dotknięte decyzją o uznaniu dostawcy za dostawcę wysokiego ryzyka i tak musiałyby wymienić używany sprzęt czy oprogramowanie.
Wydanie decyzji o uznaniu danego dostawcy za dostawcę wysokiego ryzyka będzie poprzedzone złożoną, transparentną procedurą z udziałem wielu podmiotów kluczowych z punktu widzenia cyberbezpieczeństwa.