To już 7 wariant nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

Od września 2020 r. trwają prace legislacyjne nad nowelizacją ustawy z dnia 5 lipca 2018r. o krajowym systemie cyberbezpieczeństwa (tekst jedn. Dz. U. z 2020 r., poz. 1369 ze zm.). W dniu 25 marca 2022 r. na stronie Rządowego Centrum Legislacji opublikowano kolejną wersję (z dnia 15 marca 2022 r.) projektu ustawy – o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (dalej „uKSC”). Jest to już 7 wariant nowelizacji.

Konieczność inicjatywy ustawodawczej projektodawcy uzasadniają w następujący sposób: „w związku z rosnącą liczbą zagrożeń w cyberprzestrzeni oraz coraz istotniejszą rolą systemów informacyjnych w życiu społeczeństwa, konieczne jest zapewnienie sprawdzonych i bezpiecznych rozwiązań technologicznych zarówno dla sektora publicznego, jak i prywatnego” (uzasadnienie do projektu ustawy).

Projektowanymi przepisami wprowadzono procedurę oceny ryzyka dostawców produktów i usług wykorzystujących technologie informacyjno - komunikacyjne (z ang. ICT). Zasady projektowanego postępowania ocennego zostały uregulowane w art. 66a – 66e zmienianej ustawy o krajowym systemie cyberbezpieczeństwa.

Wnikliwa analiza postanowień projektu prowadzi do wniosku, że postępowanie weryfikacyjne jest jednostronne, wszczynane z urzędu przez Ministra właściwego do spraw informatyzacji lub na wniosek Kolegium, tj. organu krajowego systemu cyberbezpieczeństwa – wyłączono prawo udziału strony w postępowaniu dowodowym zagwarantowane w art. 79 kpa (projektowany art. 66a ust. 3).

Następnie Minister właściwy do spraw informatyzacji, w oparciu o opinię Kolegium, w drodze decyzji uznaje dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi. Projektowane kryteria procedury ocennej, której efektem są ogromne konsekwencje dla dostawcy, zostały określone w sposób nieprecyzyjny, a tym samym sprzeczny z zasadą równości (art. 32 Konstytucji).

Rozstrzygnięcie podlega natychmiastowemu wykonaniu - wyłączono prawo do wnioskowania o ponowne rozpoznanie sprawy (projektowany art. 66a ust. 17) oraz prawo do wnioskowania do sądu o wstrzymanie wykonalności decyzji (projektowany art. 66d ust. 3).

Dostawcy zostali pozbawieni prawa do kontroli decyzji przez organ II instancji w postępowaniu administracyjnym. Stronie przysługiwać będzie wyłącznie prawo do złożenia skargi do sądu administracyjnego.

Z literalnego brzmienia postanowień projektu wynika, że przedsiębiorcy telekomunikacyjni, w szczególności pochodzący spoza Europy, mogą nie mieć świadomości, że zostało przeciwko nim wszczęte postępowanie w przedmiocie uznania za dostawcę wysokiego ryzyka. Decyzja organu I instancji również będzie „doręczona” wyłącznie poprzez publikację (projektowany art. 66a ust. 15).

Wydaje się, że projektodawcy celowo wyeliminowali z katalogu dostawców, którym zawiadomienie zostanie doręczone bezpośrednio, przedsiębiorców, z którymi zawarto umowy międzynarodowe. W tym miejscu należy przypomnieć, że Rzeczypospolitą Polską oraz Chińską Republikę Ludową łączy umowa sporządzona w Pekinie dnia 7 czerwca 1988 r. dotycząca popierania, ochrony i stworzenia korzystnych warunków dla inwestycji realizowanych przez inwestorów jednej Umawiającej się Strony na terytorium drugiej Umawiającej się Strony. Umowa została oparta na zasadach wzajemnego poszanowania suwerenności, równości i wzajemnych korzyści oraz w celu rozwoju współpracy gospodarczej między obu Państwami (Dz. U z 1989 r., Nr 13, poz 67). Projektodawcy najwyraźniej bagatelizują ustalenia umowne.

Na mocy art. 76r projektu powołana zostanie spółka kapitałowa „Spółka Polskie 5G”, która będzie pełnić funkcję operatora ogólnopolskiej hurtowej sieci. Wskazana spółka Skarbu Państwa z urzędu zostanie wyznaczona na operatora strategicznej sieci bezpieczeństwa (art. 76r ust. 1) i najpewniej z urzędu dostanie wszystkie prawem wymagane pozwolenia. Przepis niweczy obowiązującą zasadę uczciwej konkurencji i wynikającą z art. 22 Konstytucji zasadę wolności działalności gospodarczej.

Oceniając proces legislacyjny należy podkreślić, że projektodawcy nie posłuchali szeregu argumentów i zmian proponowanych w ramach konsultacji publicznych, przeprowadzonych wyłącznie do pierwszej wersji projektu. Co więcej, projektodawcy w swoich bezprawnych działaniach poszli dalej. Stworzyli nową wersję projektu ustawy, ale już społeczeństwa o zdanie nie zapytali. Wskazane działanie jest ignorancją podwalin demokratycznego państwa prawnego. W toku procesu legislacyjnego ostentacyjnie zbagatelizowano obowiązek prowadzenia dialogu społecznego wynikający chociażby z treści Preambuły Konstytucji, czy z art. 20 Konstytucji, tj. zasad społecznej gospodarki rynkowej.

cyberbezpieczeństwo