A jogszabály a magas kockázatú beszállítók (DWR) kategóriájának bevezetésével kötelezővé tenné az ilyen gyártóktól származó informatikai eszközök cseréjét. A távközlési szektor számításai szerint legalább 14,4 milliárd złoty (mintegy 1300 milliárd forint) pluszkiadás vár rájuk öt éven belül, de a teljes gazdaságra kiterjesztve a számla ennek többszöröse lehet. Szakmai szervezetek alkotmányossági aggályokra hivatkozva a törvény felülvizsgálatát kérik, miközben a kormányzat a nemzetbiztonság fokozásával indokolja a szigorú szabályokat.
Lengyelország a 2022-es NIS2 uniós irányelv hazai átültetésére készül a kiberbiztonsági törvény (KSC) átfogó módosításával. A javaslat egyik legvitatottabb eleme a „magas kockázatú beszállító” (DWR) kategória bevezetése, amely felhatalmazná a digitális ügyek miniszterét, hogy bizonyos informatikai beszállítókat kockázatosnak minősítsen. Az ilyen gyártók eszközeit tilos lesz újonnan beszerezni, a meglévőket pedig 4-7 éven belül le kell cserélni – állami kártérítés nélkül. Noha a törvény nem nevesít konkrét cégeket, köztudottan főként a kínai távközlési óriásokról szól.
A módosítás jelentősen kiterjeszti a kiberbiztonsági kötelezettségek körét is: a korábbi mintegy 400 helyett kb. 42 ezer szervezetet érint majd 18 különböző szektorban. Ide tartozik nemcsak a távközlés, hanem az energiaipar, a közművek, a közlekedés, az egészségügy, a pénzügy és akár az élelmiszeripar is.
Milliárdos terhek a távközlési szektorban
A kormányzati előterjesztés nem számszerűsítette, mekkora anyagi terhet ró a cégekre az új szabály – ezt utólag a távközlési vállalatokat tömörítő Krajowa Izba Komunikacji Ethernetowej (KIKE) igyekezett felmérni. A 152 cég bevonásával készült elemzés szerint egy átlagos telekom vállalatnak körülbelül 4,3 millió złoty pluszkiadást jelentene a kockázatosnak minősített beszállítóktól származó hardverek és szoftverek lecserélése öt év alatt. Országos szinten – a szabályozás alá tartozó mintegy 3332 szolgáltatóra vetítve – ez összesen 14,4 milliárd złotys költséget jelentene az ágazatnak. Ilyen többlet teherrel a kormány eddig nem számolt.
A KIKE szakértői figyelmeztetnek, hogy ekkora tőkekivonása szektorból súlyos következményekkel járhat. Az új fejlesztések – például az 5G hálózatépítés vagy a szélessávú optikai hálózatok bővítése – lelassulhatnak, sok kisebb szolgáltató pedig anyagilag meginoghat. Számos helyi internetszolgáltató eleve alacsony nyereséggel működik és még törleszti a hálózatépítési hiteleit, így a többmilliós extra ráfordítást alig tudná kigazdálkodni külső segítség vagy áremelés nélkül. Végső soron a fogyasztók fizethetik meg az árát, mert a szolgáltatók várhatóan kénytelenek lesznek az előfizetési díjakban érvényesíteni a pluszköltségeket.
Szolgáltatáskiesés és hálózati kockázatok
A hálózatbiztonság szempontjából is komoly kihívásokat hoz a tervezet. A lengyel távközlési infrastruktúra ma nagymértékben támaszkodik kínai eredetű technológiára: a vizsgált szolgáltatók többségénél a hálózati eszközök több mint fele ilyen beszállítóktól származik. A KIKE becslése szerint összességében a cégek 85%-ánál várható kisebb-nagyobb fennakadás, ha tömeges cserére kerül sor. Ráadásul a különböző gyártók berendezései nem mindig kompatibilisek egymással, így egyetlen elem kiváltása az egész rendszer átalakítását kényszerítheti ki. Ha mindezt néhány éven belül kell végrehajtani, reális a szolgáltatáskiesések veszélye. A KIKE arra figyelmeztet, hogy egyes vidéki térségekben akár teljesen „fehér foltok” is keletkezhetnek a digitális térképen, ha a kis internetszolgáltatók nem tudnak időben megfelelő új eszközöket üzembe állítani a régiek helyett.
Még drágább lehet gazdasági szinten
A KIKE által becsült 14,4 milliárd zł csak a távközlési szektorra vonatkozik. Az új szabályozás azonban – a NIS2 nyomán – szinte az összes létfontosságú ágazatra kiterjed, így az érintett szervezetek száma 400-ról mintegy 42 ezerre ugrik. Ebből következően más területeken is felmerülhet a kínai eredetű technológia kényszerű cseréje, az energiaszektortól és közművektől kezdve a pénzügyön át az államigazgatásig. Piotr Mieczkowski iparági szakértő szerint, ha a legszélesebb körben alkalmaznák a DWR-mechanizmust, a csereköltségeket már a százmilliárd złotys nagyságrendben kellene számolni. Erre vonatkozóan semmilyen hivatalos becslés nem készült – egyelőre beláthatatlan, milyen terheket róhat a teljes gazdaságra az új törvény.
Vita és alkotmányossági aggályok
Az új KSC-törvény körül heves vita bontakozott ki. Vállalkozói szervezetek egy csoportja levélben kérte az elnököt, hogy küldje a törvényt alkotmánybírósági felülvizsgálatra. Szerintük a DWR-mechanizmus kártérítés nélküli kisajátítást jelent, ami ellentétes a lengyel alkotmány tulajdonvédelmi elveivel. Kifogásolják a korlátozott jogorvoslati lehetőségeket, és azt is, hogy a kormány nem jelentette be előzetesen a törvényt az EU-nak – ez szerintük eljárási hiba, ami később jogi káoszhoz és kártérítési perekhez vezethet. Időközben a Szenátus jogi bizottsága is éles kritikát fogalmazott meg: jelentésük szerint a tervezet tele van hibákkal és ellentmondásokkal, ezért alaposan felül kellene vizsgálni.
Ugyanakkor más iparági szereplők a jogszabály azonnali hatályba lépését sürgetik. A Cyfrowa Polska technológiai szövetség rámutat, hogy Lengyelországot példátlan intenzitású kibertámadások érik, ezért nincs idő halogatni a védekezés fejlesztését. Úgy vélik, a törvény kulcsfontosságú a kritikus infrastruktúra védelmében, és nem jelent automatikus tiltást egyetlen cég ellen sem – csupán keretet ad a kockázatos elemek kiszűrésére. A végső döntés az államfő kezében van: vagy aláírja a sokat vitatott törvényt, vagy eleget tesz az aggályoknak és késlelteti annak hatályba lépését. Akárhogy is, a vita arról, hogy milyen áron garantálható a kibertér biztonsága a gazdasági szereplők túlzott terhelése nélkül, még korántsem ért véget.
A Bond-főgonosz, aki megváltoztatta London látképét
Rétegzett architektúra Debrecenben | Új Gyűjteményi Központ készül a Természettudományi Múzeum számára
