Z Ministerstwa Cyfryzacji wyszedł nowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy Prawo telekomunikacyjne, który pod koniec stycznia bieżącego roku został przekazany do rozpatrzenia przez Komitet Rady Ministrów do spraw Cyfryzacji.

Według projektodawcy powodem zmian legislacyjnych jest rosnąca liczba zagrożeń w cyberprzestrzeni jak i coraz istotniejsza rola pełniona przesz systemy informacyjne. W uzasadnieniu projektu wskazano, że konieczne jest zapewnienie sprawdzonych i bezpiecznych rozwiązań technologicznych zarówno dla sektora publicznego, jak i prywatnego.

Cel nowelizacji z pozoru brzmi szczytnie, niemniej wnikliwa analiza poszczególnych projektowanych zmian prowadzi do wniosku, że resort cyfryzacji próbuje zapewnić sobie prawny instrument do dowolnej, czyli uznaniowej eliminacji z rynku podmiotów, które jemu nie przypadną do gustu. Do kręgu tych pomiotów należą: 1) podmioty krajowego systemu cyberbezpieczeństwa, 2) przedsiębiorcy telekomunikacyjni, 3) właściciele i posiadacze obiektów, instalacji lub urządzeń infrastruktury krytycznej, 4) przedsiębiorcy o szczególnym znaczeniu gospodarczo-obronnym, tj. cała branża ICT – producenci sprzętu komputerowego, sieciowego, sprzętu do przesyłania danych oraz producenci oprogramowania i podmioty świadczące usługi telekomunikacyjne.

Procedura eliminacji rozpoczyna się w art. 1 pkt 36 projektu w zakresie, w jakim do art. 66 ustawy o krajowym systemie cyberbezpieczeństwa dodano art. 66a, 66b i 66c, 66d. Zgodnie z art. 66a Minister właściwy do spraw informatyzacji może z urzędu lub na wniosek Przewodniczącego Kolegium (organu opiniodawczo-doradczego w sprawach cyberbezpieczeństwa) wszcząć postępowanie w sprawie uznania za dostawcę wysokiego ryzyka dostawcę sprzętu lub oprogramowania.

Postępowanie ocenne opiera się na opinii Kolegium, w której organ wskazuje m. in. prawdopodobieństwo, z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego. Procedura sporządzenia opinii przebiega bez udziału dostawcy, co oznacza, że Kolegium przygotuje wnioski do opinii w oparciu o wzmianki w sieci na temat kontrolowanego dostawcy lub donosy dostarczane np. przez konkurencję.

Postępowanie kontrolne kończy się wydaniem decyzji o uznaniu przedsiębiorcy za dostawcę wysokiego ryzyka, a rozstrzygnięcie to podlega natychmiastowej wykonalności. Ponadto Minister ma prawo odstąpić od sporządzenia uzasadnienia decyzji w części dotyczącej uzasadnienia faktycznego, jeżeli wymagają tego względy obronności lub bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, tj. w oparciu o niejasne rozmyte kryteria.

Dostawca uznany za wysoce ryzykownego będzie miał natychmiastowy obowiązek wycofania z rynku produktów i usług dostarczanych przez dostawcę wysokiego ryzyka nie później niż 7 lat od dnia opublikowania informacji o decyzji oraz zakaz wprowadzania do użytku produktów, usług i procesów ICT.

Projektodawca przyznaje przedsiębiorcy prawo do odwołania od decyzji, która być może zostanie pozbawiona uzasadnienia, od razu do sądu administracyjnego. W tym miejscu należy wspomnieć, że postępowanie administracyjne jest z zasady dwuinstancyjne. Najpierw strona ma prawo do poddania kontroli decyzji organu I instancji przez organ nadrzędny, a następnie składa skargę do sądu administracyjnego. Dostawcy sprzętu i oprogramowania zostali pozbawieni jednego szczebla weryfikacji, i nie tylko tego.

Z art. 66d projektu wynika, że sąd administracyjny rozpozna skargę przedsiębiorcy na posiedzeniu niejawnym. Dostawca, zgodnie z projektem, nie ma nawet prawa do wnioskowania o rozprawę, a tym samym nie ma prawa do zajęcia stanowiska przed sędziami wojewódzkiego sądu administracyjnego. Z tego względu cała procedura ocenna wydaje się być karykaturą dotąd znanych mi zasad obowiązujących w kodeksie postępowania administracyjnego oraz w ustawie z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi.

W uzasadnieniu zapewniono, że projekt zostanie wysłany do organizacji branżowych, organów właściwych ds. cyberbezpieczeństwa, operatorów usług kluczowych i partnerów społecznych. Ze względu na poruszaną kwestię współpracy z samorządami, zostanie skierowany do opiniowania przez stowarzyszenia zrzeszające samorządy. Ponadto, projekt zostanie przekazany do zaopiniowania związkom zawodowym i organizacjom pracodawców. Dotąd procedura legislacyjna toczy się w kręgach wewnętrznych. Z uwagi na zaawansowanie działań, wydaje się, że projektodawca nie zamierza tracić czasu na uzyskanie opinii branży. Społeczny i specjalistyczny głos w procesie legislacyjnym jest dla racjonalnego ustawodawcy niezwykle cenny. Tutaj mamy po raz kolejny sytuację, kiedy projektodawca sprawia wrażenie, że ma monopol na mądrość i jest odporny na głupotę. Co będzie, jeżeli to wrażenie jest mylne?

Podsumowując, przyjęty sposób zmian legislacyjnych należy ocenić, jako sprzeczny z zasadą demokratycznego państwa prawnego (art. 2 Konstytucji), zasadą wolności działalności gospodarczej (art. 20 i 22 Konstytucji) oraz z zasadą równości (art. 32 Konstytucji).