W dniu 13 października 2021 r. na stronie Ministerstwa Cyfryzacji opublikowano kolejną wersję (z dnia 12 października 2021 r.) projektu ustawy – o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.

Procedura legislacyjna, dotycząca nowelizacji, została zapoczątkowana we wrześniu 2020 r. Wówczas pojawiła się pierwsza wersja projektu zmiany (wersja z dnia 7 września 2020 r.). Następnie do stycznia 2021 r. trwały konsultacje dotyczące nowelizacji. Do projektu z 2020 r. zgłoszono szereg uwag. Z tego względu wydawać by się mogło, że październikowa wersja stanowi urzeczywistnienie ww. uwag. Nic bardziej mylnego.

Projekt z października 2021 r. to de facto nowa wersja nowelizacji zawierająca bardziej wyśrubowane postanowienia, dyskryminujące przedsiębiorców telekomunikacyjnych spoza Europy.

Projektodawcy nie uwzględnili wniosków przedstawicieli branży o zmianę postanowień dotyczących procedowania w sprawie uznania dostawców za wysoce ryzykownych, ponieważ takie były wytyczne rządu. Z lakonicznego stanowiska Kancelarii Prezesa Rady Ministrów wynika, że postępowanie weryfikacyjne nie podlega zmianie, ponieważ „procedura oceny ryzyka dostawcy sprzętu lub oprogramowania dla podmiotów krajowego systemu cyberbezpieczeństwa jest oparta o przepisy Kodeksu postępowania administracyjnego.” Wnikliwa analiza postanowień projektu prowadzi do wniosku, że postępowanie weryfikacyjne, wyłącznie pozornie, będzie toczyło się w oparciu o te przepisy.

W rzeczywistości postępowanie jest jednostronne, wszczynane na wniosek Kolegium, tj. organu krajowego systemu cyberbezpieczeństwa. Co więcej, wyłączono prawo udziału strony w postępowaniu dowodowym zagwarantowane w art. 79 kpa (projektowany art. 66a ust. 3). Następnie Minister właściwy do spraw informatyzacji, w oparciu o opinię Kolegium, w drodze decyzji uznaje dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Rozstrzygnięcie podlega natychmiastowemu wykonaniu - wyłączono prawo do wnioskowania o ponowne rozpoznanie sprawy (projektowany art. 66a ust. 15) oraz prawo do wnioskowania do sądu o wstrzymanie wykonalności decyzji (projektowany art. 66d ust. 3). Powyższe oznacza, że bezapelacyjnie, po otrzymaniu decyzji, dostawca ma zakaz wprowadzania do obrotu produktów, usług i procesów określonych jako ryzykowne oraz obowiązek wycofania ww. produktów usług i procesów dostarczanych przez dostawcę wysokiego ryzyka nie później niż 5 lub 7 lat od dnia ogłoszenia lub udostępnienia informacji o decyzji

Dostawcy zostali pozbawieni prawa do kontroli decyzji przez organ II instancji w postępowaniu administracyjnym. Stronie przysługiwać będzie wyłącznie prawo do złożenia skargi do sądu administracyjnego.

Z literalnego brzmienia postanowień projektu wynika, że przedsiębiorcy telekomunikacyjni, w szczególności pochodzący spoza Europy, mogą nie mieć świadomości, że zostało przeciwko nim wszczęte postępowanie w przedmiocie uznania za dostawcę wysokiego ryzyka.

Z uzasadnienia do art. 66a ust. 6 projektu wynika, że „w przypadku, gdy dostawcą sprzętu lub oprogramowania jest strona niemająca siedziby na terytorium państwa członkowskiego Unii Europejskiej, Konfederacji Szwajcarskiej albo państwa członkowskiego Europejskiego Porozumienia o Wolnym Handlu (EFTA) zawiadomienie o wszczęciu postępowania publikowane jest na stronie podmiotowej Biuletynu Informacji Publicznej ministra właściwego do spraw informatyzacji. Publikacja ma skutek doręczenia po upływie 14 dni od dnia jej dokonania. Przepis ten stanowi szczególną regulacją w stosunku do zasad doręczeń określonych w kpa.”

Decyzja organu I instancji również będzie „doręczona” wyłącznie poprzez publikację (projektowany art. 66a ust. 13).

Autopromocja
FORUM ESG

Co warto wiedzieć o ESG? Jej znaczenie dla firm i gospodarki.

CZYTAJ WIĘCEJ

Wydaje się, że projektodawcy celowo wyeliminowali z katalogu dostawców, którym zawiadomienie zostanie doręczone bezpośrednio, przedsiębiorców, z którymi zawarto umowy międzynarodowe. W tym miejscu należy przypomnieć, że Rzeczypospolitą Polską oraz Chińską Republikę Ludową łączy umowa sporządzona w Pekinie dnia 7 czerwca 1988 r. dotycząca popierania, ochrony i stworzenia korzystnych warunków dla inwestycji realizowanych przez inwestorów jednej Umawiającej się Strony na terytorium drugiej Umawiającej się Strony. Umowa została oparta na zasadach wzajemnego poszanowania suwerenności, równości i wzajemnych korzyści oraz w celu rozwoju współpracy gospodarczej między obu Państwami (Dz. U z 1989 r., Nr 13, poz 67). Projektodawcy najwyraźniej bagatelizują ustalenia umowne.

Kolejne novum, w stosunku do projektu z września 2020 r., stanowi art. 76m projektu, na mocy którego powołana zostanie spółka kapitałowa „Spółka Polskie 5G”, która będzie pełnić funkcję operatora ogólnopolskiej hurtowej sieci. Wskazana spółka Skarbu Państwa z urzędu zostanie wyznaczona na operatora strategicznej sieci bezpieczeństwa (art. 76b pkt 1) i najpewniej z urzędu dostanie wszystkie prawem wymagane pozwolenia. Przepis niweczy obowiązującą zasadę uczciwej konkurencji i wynikającą z art. 22 Konstytucji zasadę wolności działalności gospodarczej.

Nie bez znaczenia jest zakres zmian zawarty w projekcie. Analizowany projekt został rozpisany na 89 stronach (bez uzasadnienia) i poza ustawą o krajowym systemie cyberbezpieczeństwa wprowadza zmiany do siedmiu innych aktów prawnych. Natomiast w projekcie wrześniowym, 25 stronicowym, proponowano dodatkowo zmiany wyłącznie do ustawy Prawo zamówień publicznych. Powyższe oznacza, że oba projekty pokrywają się wyłącznie w minimalnym zakresie.

Podsumowując, analiza projektu ustawy o zmianie ustawy – o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw wersja z dnia 12 października 2021 r. budzi poważne wątpliwości w zakresie zgodności z Konstytucją. Ponadto, biorąc pod uwagę objętość i zakres zmian, należy stwierdzić, że konsekwencji mamy do czynienia z nowym projektem ustawy, rozbudowanym w stosunku do wrześniowego w zakresie wykraczającym poza zgłoszone uwagi i konsultacje. Z tego względu październikowa wersja projektu ustawy powinna zostać poddana na nowo konsultacjom trwającym nie krócej niż 3 miesiące.