„KSC to wywłaszczenie”. Apel przedsiębiorców do prezydenta

Ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, która ma zwiększyć cyberbezpieczeństwo i dostosować polskie przepisy do unijnej dyrektywy NIS2, została uchwalona 23 stycznia 2026 r. i trafiła właśnie na biurko prezydenta. I to na prezydenta liczą teraz polscy przedsiębiorcy, którzy razem z ekspertami krytykowali część zapisów projektu podczas prac w Sejmie i Senacie, wytykając błędy, ryzyka i potencjalne koszty dla biznesu. „Rzeczpospolita” poznała treść ich apelu.

Dostawca wysokiego ryzyka i niekonstytucyjność

Najważniejszym spornym punktem w pracach nad ustawą o KSC było wprowadzenie instytucji dostawcy wysokiego ryzyka (DWR) do systemu polskiego prawa. Nie wskazano ich wprost, ale tajemnicą poliszynela jest, że rządowi chodzi m.in. o chińskie koncerny. Problem w tym, że z ich sprzętu korzystają tysiące polskich firm, które będą musiały go usunąć. „Będzie to prowadziło do faktycznego wywłaszczenia polskich przedsiębiorców, korzystających ze sprzętu elektronicznego wskazanego przez ministra cyfryzacji, z ich własności. Miałoby to miejsce bez jakiegokolwiek odszkodowania, chociażby w postaci jakichkolwiek subsydiów nakierowanych na pokrycie kosztów związanych z zastąpieniem wycofywanych produktów” – zwracają uwagę organizacje przedsiębiorców, wśród których znalazły się m.in.: Business Centre Club, Federacja Przedsiębiorców Polskich, Krajowa Izba Komunikacji Ethernetowej (KIKE), Polska Izba Handlu czy Przedsiębiorcy.pl. Ich zdaniem to regulacja, która jest nadmierną i nieproporcjonalną ingerencją w prawo własności i narusza „podstawowe gwarancje procesowe dla sfery praw i interesów przedsiębiorców funkcjonujących w 18 sektorach polskiej gospodarki”. Chodzi m.in. o takie dziedziny, jak energia, transport, opieka zdrowotna, finanse, usługi pocztowe i kurierskie, usługi cyfrowe, jak np. platformy społecznościowe czy sektor kosmiczny.

Sygnatariusze apelu do prezydenta argumentują, że decyzja o uznaniu dostawcy sprzętu lub oprogramowania za tzw. dostawcę wysokiego ryzyka – podejmowana w okolicznościach całkowicie niezależnych od użytkowników tych produktów – rodzi skutki, które mogą realnie pozbawić ich zdolności wykonywania działalności gospodarczej. A skoro przedsiębiorca traci możliwość korzystania z mienia, zachowania go i dysponowania nim, to zostaje naruszona sama istota jego prawa własności. Zgodnie z uchwaloną przez Sejm ustawą firmy będą musiały wymienić sprzęt na nowy w ciągu siedmiu lat, a w przypadku urządzeń realizujących „funkcje krytyczne” – w czasie czterech lat. Mają to zrobić na swój koszt. Wskazują na sprzeczność z konstytucją, z której art. 21 ust. 2 wynika, że wywłaszczenie – rozumiane szeroko jako każde przymusowe pozbawienie lub ograniczenie praw majątkowych – jest dopuszczalne wyłącznie wówczas, gdy następuje na cele publiczne i za słusznym odszkodowaniem.

„Tym bardziej nie sposób zaakceptować regulacji, które – pod pozorem realizacji wartości publicznych, takich jak cyberbezpieczeństwo – prowadzą do trwałego ograniczenia praw majątkowych podmiotów prywatnych bez zapewnienia im równoważnych gwarancji odszkodowawczych. Konsekwencją gospodarczą decyzji z art. 67b ustawy będzie obniżenie wartości handlowej produktu, gdzie produkt wytworzony przez dostawcę wysokiego ryzyka będzie wykluczony z obrotu handlowego pomiędzy przedsiębiorcami będącymi podmiotami kluczowymi lub ważnymi” – piszą organizacje przedsiębiorców.

Przekonują, że regulacja normatywna powinna także być adekwatna do celu, jaki temu ograniczeniu przyświeca (np. cyberbezpieczeństwa), który musi być również kwalifikowany w kategoriach wartości konstytucyjnej (interes jednostki, interes państwa). Chodzi ich zdaniem o prawidłowe wyważenie proporcji, jakie muszą być zachowane, by przyjąć, że dane ograniczenie wolności obywatelskiej nie narusza konstytucyjnej hierarchii dóbr. Zasada proporcjonalności jest bowiem swoistym mechanizmem „ważenia” wartości, konfrontowania zasad, praw i wolności, poszukiwania idealnego punktu równowagi. Wymaga ona, by środki i działania były odpowiednie i niezbędne do osiągnięcia celu, któremu służą. W przypadku przepisów dotyczących dostawcy wysokiego ryzyka wymóg proporcjonalności nie jest spełniony, co stanowi nadmierną ingerencję w sferę wolności i praw obywatelskich. Obawy przedsiębiorców potwierdzają liczne analizy i opinie autorytetów w dziedzinie prawa, m.in. prof. Rafała Stankiewicza, kierownika Katedry Prawa i Postępowania Administracyjnego UW, oraz prof. Ryszarda Piotrowskiego z Katedry Prawa Konstytucyjnego UW.

Polski prawodawca „zignorował” obowiązek notyfikacji do KE

Oprócz wątpliwości konstytucyjnych organizacje wskazują, że ustawa jest obarczona dodatkową wadą prawną: polski prawodawca „zignorował” obowiązek notyfikacji przepisów technicznych w Komisji Europejskiej, i to pomimo tego, że zrobiły to inne państwa UE, takie jak Estonia, Belgia, Finlandia, Francja, Niemcy, Hiszpania czy Węgry. Skutek? Przepisy te będą wprawdzie obowiązywać, ale nie będą mogły być stosowane, a więc będą „w istocie martwe i niestosowalne przez sądy”. „W przypadku próby ich stosowania otworzy to drogę do roszczeń odszkodowawczych przeciwko Skarbowi Państwa, za które to – co oczywiste – zapłaci polski podatnik” – wskazują sygnatariusze apelu. Na to zagrożenie wskazywał już na etapie prac dr hab. Paweł Wajda z Uniwersytetu Warszawskiego. Podkreślał, że brak notyfikacji przepisu technicznego do Komisji Europejskiej jest błędem proceduralnym. – Regulacja ta będzie martwa, a właściwe organy administracji publicznej będą w istocie „bezzębne” i nie będą mogły stosować w ogólności tych przepisów – tłumaczył.

Wskazując na te wszystkie zastrzeżenia, organizacje przedsiębiorców proszą prezydenta o zainicjowanie „procedury kontroli pionowej zgodności norm ustawy dotyczących (…) instytucji dostawcy wysokiego ryzyka z normami Konstytucji RP, co mogłoby nastąpić przykładowo – i o co prosimy – poprzez skierowanie (…) ustawy do Trybunału Konstytucyjnego”.

„Kosztowne marnotrawstwo” i cios w firmy

Sprzęt takich chińskich producentów, jak Huawei czy ZTE, ma już bardzo znaczny udział w sieciach komórkowych i stacjonarnych, nie tylko ze względu na konkurencyjną cenę, ale i szeroką ofertę. – To nie jest tak, że ktoś nam powie: dopłacicie sobie i kupicie urządzenia europejskie. To nie tylko kwestia wielkich kosztów. Tego sprzętu po prostu nie mamy jak wymienić, bo go po prostu nie ma – mówił w wywiadzie dla „Rzeczpospolitej” Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej (KIKE). Jego zdaniem mamy do czynienia z kosztownym marnotrawstwem i ciosem w operatorów, a największym poszkodowanym byłyby mniejsze firmy telekomunikacyjne, głównie stacjonarne, których nie stać na kosztowną wymianę sprzętu na europejski czy amerykański. Tymczasem – jak podkreśla Karol Skupień – w większości krajów UE wdrożono unijny 5G Toolbox, czyli zrobiono to wszystko w sieciach komórkowych 5G, czyli „bez skrajnej nadregulacji”.

W tym duchu piszą do prezydenta sygnatariusze apelu, wskazując, że Polska jako jedyne państwo w UE wprowadza możliwość nakładania nakazu usuwania sprzętu na 18 sektorów gospodarki, co obejmuje około 40 tys. „podmiotów kluczowych i ważnych” zgodnie z oceną skutków regulacji dołączoną do uzasadnienia. Dotychczas żadne z państw nie wprowadziło mechanizmu DWR obejmującego tak dużą część gospodarki. W ostatnim czasie możliwość usuwania sprzętu wprowadziły Niemcy, ograniczając przy tym nakazy wyłącznie do komponentów krytycznych w infrastrukturze krytycznej, co potencjalnie może dotyczyć 1179 podmiotów krytycznych.

Sztywne deklaracje ministerstwa i presja czasu

Prace nad ustawą o Krajowym Systemie Cyberbezpieczeństwa trwają już sześć lat, a termin na wdrożenie w niej unijnej dyrektywy NIS2 minął ponad rok temu. Dlaczego tak długo? – Materia cyberbezpieczeństwa jest jednym z najbardziej wrażliwych i trudnych do uregulowania obszarów. Mówimy tutaj bowiem o bezpieczeństwie cyfrowym państwa, który to obszar znajduje się na pograniczu prawa, bezpieczeństwa publicznego i informatyki, a w rezultacie jest niezwykle „niewdzięczny” do poddania go regulacji normatywnej. Mówimy tutaj o niejako równolegle niezwykle żywym obszarze, w ramach którego stworzenie optymalnej regulacji normatywnej jest utrudnione, o ile w ogólności możliwe, z uwagi na stale przesuwający się punkt ciężkości pomiędzy potrzebą regulacji a potrzebą realizacji wolności gospodarczej – tłumaczył „Rzeczpospolitej” prof. Paweł Wajda. Jego zdaniem do opóźnień przyczynił się krajowy prawodawca, próbując wprowadzić dodatkowe, niepotrzebne rozwiązania. Określa to jako „sztandarowy” przykład tzw. gold-platingu.

W kwestii dostawcy wysokiego ryzyka koalicja rządowa była nieustępliwa. Wiceminister Paweł Olszewski stawiał sprawę jednoznacznie: – Zmian dotyczących dostawcy wysokiego ryzyka, niezależnie, ile słów i nieprawdziwych argumentów padnie, rząd w tym zakresie nie przewiduje – oświadczył podczas sejmowej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. Dodał, że dyskusja ma charakter bezprzedmiotowy oraz służy świadomemu przedłużaniu prac nad ustawą. Ocenił też, że długotrwałość dyskusji na ten temat to efekt lobbingu wokół tego aktu prawnego. – DWR nie jest narzędziem eliminacji dostawców ze względu na kraj pochodzenia, lecz instrumentem reagowania na realne zagrożenia – przekonywał. Powoływał się też na dane, z których wynika, że Polska tylko w ubiegłym roku była celem 200 tys. poważnych ataków i incydentów, dlatego państwo musi mieć narzędzia, żeby „obronić Polki, Polaków, instytucje i państwo”. Minister pominął całkowicie 19 uwag technicznych biura legislacyjnego Senatu, choćby takich jak ta wskazująca, że ustawa powinna zostać napisana od nowa, czy kolejne, dotyczące błędów technicznych i odwołań do przepisów, których nie ma w ustawie.