Podczas posiedzenia sejmowej Komisji Cyfryzacji mówił pan o potrzebie notyfikacji technicznej i „bezzębności” przepisów zawartych w ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC). Co dokładnie miał pan na myśli?
Przepisy z art. 67b projektu ustawy, tj. przepisy statuujące instytucję dostawcy wysokiego ryzyka, to tzw. przepisy techniczne w rozumieniu art. 1 dyrektywy 2015/1535. Hipotetyczne zastosowanie tych przepisów implikować będzie bowiem wykluczenie produktów danego dostawcy wysokiego ryzyka z rynku krajowego. Taki charakter tych przepisów czyni koniecznym dokonanie ich notyfikacji, zgodnie z dyrektywą 2015/1535, gdzie hipotetyczny brak notyfikacji będzie skutkował tym, że przepisy te będą obowiązywały, ale w jakimkolwiek przypadku nie będą mogły znaleźć zastosowania. Warto przy tym wskazać, że takie podejście (tj. traktowanie przepisów o dostawcy wysokiego ryzyka jako przepisów technicznych) jest potwierdzone w działaniach innych państw członkowskich Unii Europejskiej (jak np. Niemiec). Zostało też potwierdzone w opiniach prawnych złożonych do projektu ustawy, tj. do druku sejmowego 1955 i podobnie, na ubiegłotygodniowym Forum Technologii Cyfrowych i Mediów 2026, odnosił się do tej sytuacji mecenas Marcin Ginel z inicjatywy SprawdzaMY. To jest właśnie ta sytuacja, o której mówił mecenas Ginel, że uchybienie formalne w postaci braku notyfikacji będzie implikowało brak możliwości stosowania tych przepisów o dostawcy wysokiego ryzyka. Warto przy tym wskazać, że Polska miała już do czynienia z taką sytuacją pod rządami przepisów ustawy o grach hazardowych, gdy to okazało się, że brak notyfikacji przepisów technicznych implikował to, że nie mogły one być stosowane. Mam tutaj na myśli sprawę Fortuna > EUR-Lex - 62011CJ0213 - EN - EUR-Lex.
Czy stać nas zatem na zbyt skomplikowane przepisy, przeregulowanie i mówiąc wprost – złe prawo, szczególnie w tak trudnym czasie?
W mojej ocenie okoliczność, że jesteśmy już znacznie ponad rok po dacie wdrożenia dyrektywy NIS2 (ang. Network and Information Systems Directive 2), co implikuje ryzyko odpowiedzialności Rzeczypospolitej Polskiej z tytułu naruszenia zobowiązań państwa członkowskiego, sprawia, że niestety nie stać nas na jakiekolwiek przeregulowanie. Im szybciej dyrektywa NIS2 zostanie implementowana, tym z punktu widzenia bezpieczeństwa i aktualnej trudnej sytuacji w obszarze cyberbezpieczeństwa zdecydowanie lepiej. Nie możemy czekać, bo każdy dzień „czekania” to dalsze trwanie w sytuacji naruszenia zobowiązań państwa członkowskiego i ryzyko kar z tego tytułu, jak również istotny negatywny wpływ na cyberbezpieczeństwo.
A dlaczego regulacje wychodzące z polskiego Sejmu są aż tak bardzo restrykcyjne? Co powinien, pana zdaniem, zrobić w obecnej sytuacji rząd?
