Od września 2020 r. trwają prace legislacyjne nad nowelizacją ustawy z dnia 5 lipca 2018r. o krajowym systemie cyberbezpieczeństwa (tekst jedn. Dz. U. z 2020 r., poz. 1369 ze zm.). W dniu 25 marca 2022 r. na stronie Rządowego Centrum Legislacji opublikowano kolejną wersję (z dnia 15 marca 2022 r.) projektu ustawy – o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (dalej „uKSC”). Jest to już 7 wariant nowelizacji.
Konieczność inicjatywy ustawodawczej projektodawcy uzasadniają w następujący sposób: „w związku z rosnącą liczbą zagrożeń w cyberprzestrzeni oraz coraz istotniejszą rolą systemów informacyjnych w życiu społeczeństwa, konieczne jest zapewnienie sprawdzonych i bezpiecznych rozwiązań technologicznych zarówno dla sektora publicznego, jak i prywatnego” (uzasadnienie do projektu ustawy).
Projektowanymi przepisami wprowadzono procedurę oceny ryzyka dostawców produktów i usług wykorzystujących technologie informacyjno - komunikacyjne (z ang. ICT). Zasady projektowanego postępowania ocennego zostały uregulowane w art. 66a – 66e zmienianej ustawy o krajowym systemie cyberbezpieczeństwa.
Wnikliwa analiza postanowień projektu prowadzi do wniosku, że postępowanie weryfikacyjne jest jednostronne, wszczynane z urzędu przez Ministra właściwego do spraw informatyzacji lub na wniosek Kolegium, tj. organu krajowego systemu cyberbezpieczeństwa – wyłączono prawo udziału strony w postępowaniu dowodowym zagwarantowane w art. 79 kpa (projektowany art. 66a ust. 3).
Następnie Minister właściwy do spraw informatyzacji, w oparciu o opinię Kolegium, w drodze decyzji uznaje dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli dostawca ten stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi. Projektowane kryteria procedury ocennej, której efektem są ogromne konsekwencje dla dostawcy, zostały określone w sposób nieprecyzyjny, a tym samym sprzeczny z zasadą równości (art. 32 Konstytucji).
