Surowe rygory dla sieci 5G rozszerzono bez potrzeby

Pod hasłem wzmocnienia cyberbezpieczeństwa rząd wprowadza przepisy, które mogą zmusić wiele firm do kosztownej wymiany sprzętu. To groźne, ale jeszcze można powstrzymać nadgorliwość ustawodawcy – uważają eksperci.

Publikacja: 18.01.2026 18:42

Uczestnicy debaty poświęconej ustawie o krajowym systemie cyberbezpieczeństwa. Od lewej: Karol Skupień (KIKE), Grzegorz Lang (FPP), Paweł Rochowicz („Rzeczpospolita”), Mariusz Busiło i prof. Maciej Rogalski (prawnicy)

Foto: rp.pl

Paweł Rochowicz

Partner debaty: Federacja Przedsiębiorców Polskich

Grudniowy cyberatak na polską infrastrukturę energetyczną był przyczyną ubiegłotygodniowego spotkania premiera Donalda Tuska z wysokimi urzędnikami w rządzie, odpowiedzialnymi za obronę Polski w cyberwojnie ze Wschodem. Po spotkaniu premier zaapelował o jak najszybsze uchwalenie noweli do ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Jej projekt jest w Sejmie.

Jednak w ocenie ekspertów prawa i rynku telekomunikacyjnego ten projekt ma sporo wad, a poza tym… nie dotyczy infrastruktury energetycznej. O tym i innych problemach cyberbezpieczeństwa rozmawiali uczestnicy debaty w redakcji „Rzeczpospolitej”.

Unijne prawo i zbędne polskie dodatki

Jak zauważył Mariusz Busiło, prawnik ds. nowych technologii, prowadzący portal wprawny.pl, premier pomylił ustawy. Przepisy dotyczące infrastruktury krytycznej są zawarte w tzw. dyrektywie o odporności podmiotów krytycznych (CER), a mają być wdrożone w Polsce zmianą ustawy o zarządzaniu kryzysowym. Jest ona dopiero projektowana. – Tymczasem oba projekty, ten i KSC, powinny być skoordynowane i procedowane razem. Nie da się zatem grudniowymi atakami, choć groźnymi, uzasadnić pośpiechu w pracach nad ustawą, która dotyczy podmiotów kluczowych i ważnych – stwierdził ekspert.

Nowelizacja ustawy KSC ma wdrażać unijną dyrektywę 2022/2555, zwaną tez NIS2. Przewiduje ona możliwość wykluczania użycia sprzętu od tzw. dostawców wysokiego ryzyka (DWR) dla sieci 5G.

– To całkiem dobry akt prawny, bo przewiduje m.in. wymianę dobrych praktyk w sprawach cyberbezpieczeństwa. Jest tam też procedura reakcji na takie incydenty jak ataki hakerskie – przypomniał Mariusz Busiło.

Jednak nowelizacja ustawy KSC rozszerzyła wymagane przez NIS2 rygory na 18 sektorów gospodarki poza telekomunikacją. To m.in. sektor ochrony zdrowia, energetyka i ciepłownictwo, a także przemysł spożywczy.

– Nie ma to żadnego uzasadnienia. Nie pierwszy to przykład tzw. gold platingu, czyli rozbudowywania prawa ponad to, czego wymaga prawo unijne. Ale szczególnie rozczarowujący jest brak rzetelnych konsultacji tego projektu – zauważył Grzegorz Lang, dyrektor ds. prawnych w Federacji Przedsiębiorców Polskich. Wspominał on, że takie konsultacje teoretycznie się odbyły, ale nie uwzględniono jednomyślnych postulatów przedsiębiorców i ekspertów. – Wręcz przeciwnie, dała się odczuć pewna wręcz arogancja ze strony rządowych projektodawców. A przecież obecnie rządząca ekipa zapowiadała w kampanii wyborczej prawdziwy dialog z przedsiębiorcami – przypomniał Lang.

W praktyce wdrożenie tak rozbudowanych wymogów może być groźne dla przedsiębiorców z wielu branż. Jak przestrzegał Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej, może to doprowadzić do kosztownej i nieuzasadnionej wymiany sprzętu telekomunikacyjnego. Stanie się tak wtedy, gdy jakiś producent zostanie uznany za DWR.

– Wtedy nawet nowoczesny, bezpieczny i certyfikowany sprzęt nadawczy ma być przez firmę usunięty. W ten sposób, gdy w przeciętnym domu zainstalujemy nowoczesny dekoder telewizyjny, a po stronie dostawcy skomplikowane urządzenia nadawcze, trzeba będzie zdemontować zarówno te urządzenia domowe za 1000 zł, jak i te nadawcze, warte wiele milionów – zauważył Skupień. Podał też inny przykład: szpital powiatowy może być zmuszony do wyrzucenia sprawnego tomografu tylko dlatego, że ma komponent od „niewłaściwego” producenta.

Urzędnik zdecyduje

W ocenie ekspertów projektowana nowelizacja ustawy KSC budzi poważne zastrzeżenia nie tylko co do treści, ale i prawnej formy. Zauważył to prof. dr hab. Maciej Rogalski, radca prawny, ekspert prawa nowych technologii. – Są tu poważne ograniczenia praw w postępowaniu administracyjnym dotyczącym dostawcy wysokiego ryzyka dla podmiotów z tych 18 sektorów gospodarki. Organ prowadzący postępowanie w sprawie DWR sam będzie decydował, kto będzie uczestniczył w tym postępowaniu, gdyż on będzie decydował, wobec kogo zostanie wszczęta procedura – wskazał prof. Rogalski, przypominając przy tym, że podstawowa zasada z kodeksu postępowania administracyjnego głosi: stroną jest każdy, kogo praw czy obowiązków dotyczy postępowanie.

Postępowania sądowe w tych sprawach będą niejawne, a decyzje administracyjne w sprawach dostawców będą miały rygor natychmiastowej wykonalności. Według prof. Rogalskiego to poważne ograniczenie gwarancji prawnych, mogące naruszać konstytucję.

Inny prawny problem z nowelizacją dotyczy tzw. przepisów technicznych. Są to m.in. regulacje dotyczące zakazu sprzedaży, oferowania usług lub produktów. Takie właśnie przepisy mają się znaleźć w nowelizacji KSC. Według unijnych reguł powinny one być notyfikowane Komisji Europejskiej. Jeszcze w 2023 r., gdy powstawały pierwsze wersje tego projektu, rząd zapowiadał, że je notyfikuje. Tak się jednak nie stało.

– W konsekwencji te przepisy mogą być uznane za nieobowiązujące. Podmiot, do którego są one adresowane, będzie mógł podnosić, że nie będzie ich stosował. Może zwrócić się w tej sprawie o rozstrzygnięcie sądu. Z kolei Komisja Europejska, której nie zgłoszono tych przepisów, może uruchomić procedurę, która się zakończy rozstrzygnięciami Trybunału Sprawiedliwości Unii Europejskiej – tłumaczył prof. Rogalski.

Mariusz Busiło zwrócił uwagę na jeszcze jeden problem proceduralny. Otóż decyzje wydawane w sprawach DWR będą kontrolowane przez sądy administracyjne. Jednak taki sąd nie ocenia samego meritum sprawy, a raczej to, czy nie doszło do formalnych uchybień procedury.

– Być może rozsądniejszym wyjściem byłoby poddanie spraw związanych z owym „wysokim ryzykiem” Sądowi Ochrony Konkurencji i Konsumentów. On zajmuje się takimi sprawami jak koszty świadczenia usług, ma do czynienia z tajemnicą przedsiębiorców. Mógłby merytorycznie ocenić, czy dana firma, produkt czy usługa rzeczywiście jest zagrożeniem dla krajowego cyberbezpieczeństwa – zaproponował prawnik.

Kary dla ofiar ataków

Jednym z najboleśniejszych skutków nowych przepisów mogą być kary dla przedsiębiorców za naruszenie przepisów ustawy. Ich minimalny wymiar ma być podniesiony 15- albo nawet 20-krotnie. Maksymalna może sięgnąć nawet 100 mln zł.

Karol Skupień ocenił, że tak wysokie kary tworzą atmosferę państwa opresyjnego. – To prosta droga do zrujnowania biznesów i majątków polskich przedsiębiorców. Zamiast zapewniać stabilne warunki do rozwoju, rząd buduje atmosferę kontroli i obawy przed konsekwencjami, co zahamuje gospodarkę i wystraszy inwestorów. To podejście jak u naszych wschodnich sąsiadów – twierdzi prezes KIKE.

Z kolei prof. Maciej Rogalski zauważył, że te kary mają charakter kar administracyjnych. – Procedura ich nakładania tym się różni od orzekania np. grzywien na podstawie prawa karnego, że nie ma tu takich podstawowych gwarancji dla karanego podmiotu jak w przypadku procedury karnej. Chodzi o domniemanie niewinności, prawo do obrońcy z urzędu czy rozstrzyganie wątpliwości na korzyść oskarżonego – wyliczał prawnik.

– Sposób wdrożenia tej dyrektywy w Polsce wywraca cały jej sens. Między innymi dlatego, że to przedsiębiorcy będący ofiarami ataków hakerskich mają być karani za niedotrzymanie standardów ochrony cybernetycznej. To by był ponury paradoks – stwierdził Mariusz Busiło. Zauważył przy tym, że ataków typu ransomware dokonują często grupy przestępcze zorganizowane przez rządy takich krajów jak Korea Północna.

Problem z Chinami

Uczestnicy debaty zwrócili uwagę na potencjalny wpływ ustawy KSC na relacje Polski z Chinami. To stamtąd potencjalnie może pochodzić wielu „dostawców wysokiego ryzyka”, a równocześnie w dziedzinie sprzętu telekomunikacyjnego ten kraj znacznie wyprzedził Europę. Równocześnie polski rząd zabiega o otwarcie chińskiego rynku dla produktów drobiarskich.

Jak zauważa Karol Skupień, widać tu brak konsekwencji polskich władz. – Jeśli chcemy mieć najnowocześniejszy sprzęt, to wybór produktów chińskich czy tajwańskich jest w pełni uzasadniony. W sytuacji, kiedy ustawa usunie produkty chińskie z 18 branż polskiej gospodarki, to na pewno nie będzie to gest przyjaźnie odebrany – przewidywał prezes KIKE.

– Mówi się, że Chiny są zagrożeniem, a czy prawdziwym niebezpieczeństwem nie będzie sytuacja, w której nie będą chciały z nami handlować? – pytał retorycznie Skupień. I przywołał starą wojenną zasadę: nie atakujemy kraju, który nam dostarcza żywność. – Jeśli stosowanie elementów albo całych produktów z Chin zostanie w Polsce zakazane, możemy znaleźć się w trudnej sytuacji gospodarczej, np. kiedy dojdzie do zerwania łańcucha dostaw – sugerował ekspert.

Mariusz Busiło zauważył, że ustawa w proponowanym kształcie może popsuć relacje Polski także z innymi krajami. – W uznawaniu za DWR będzie dużo dowolności, a procedury są niejawne. W ten sposób można za niebezpiecznego dostawcę uznać podmiot z Finlandii, Stanów Zjednoczonych czy nawet z Polski – ostrzegał prawnik. Dodał, że niedawno na podstawie dyrektywy NIS2 w Rumunii taki status dostała… Nokia.

Optymalny scenariusz

Co można zrobić, by tych wszystkich konsekwencji uniknąć? Według Grzegorza Langa należy wyłączyć z projektu przepisy o DWR. – Takie przepisy powinny dotyczyć tylko sieci 5G i szanować zasady dobrego prawa, w tym efektywnej ochrony sądowej. Trzeba też usunąć przepisy o natychmiastowej wykonalności kar – zaproponował Lang.

Z kolei prof. Maciej Rogalski uważa, że konieczne jest sporządzenie rzetelnej oceny skutków regulacji ze wskazaniem kosztów dla przedsiębiorców. – Trzeba też notyfikować przepisy techniczne Komisji Europejskiej – dodał.

Karol Skupień postulował, by zastanowić się nad nowymi procedurami i warunkami, według których mają działać członkowie zespołów pracujących nad przepisami. – Jak widać, zespół pracujący nad tą regulacją, mimo upływu czasu i politycznych zmian, wciąż reprezentuje podobne myślenie właściwe państwu opresyjnemu. To nie do pogodzenia ze standardami demokracji – ocenił prezes KIKE.

Według Mariusza Busiły prawo dotyczące cyberbezpieczeństwa powinno być napisane w duchu współpracy, a nie walki z przedsiębiorcami. – Nie może być tak, że poszkodowany w cyberataku jest dodatkowo karany przez państwo – zwrócił uwagę prawnik.