Mierna baza merytoryczna projektu ustawy o KSC
Po pierwsze, projekt powstał jako modyfikacja projektu przygotowywanego przez wiele lat w poprzednim rządzie, mocno krytykowanego i powiedzmy wprost – miernego merytorycznie. Każdy, kto cokolwiek w życiu pisał wie, że poprawienie złego cudzego tekstu to praca żmudna i zawsze wynik jest gorszy, niż napisanie dobrego tekstu samemu, od początku. Gorzej, jak w poprawianiu uczestniczą dawni autorzy, przytłoczeni może zbyt bardzo bagażem dyskusji i założeń przygotowanych w środowisku politycznym o wartościach odmiennych od wartości deklarowanych przez obecny rząd. Ten system wartości ze starego projektu pozostał w projekcie nowym. Najbardziej widać to w podejściu centralistycznym – systemie nakazowym wspartym karami. W miejsce współpracy i wymiany informacji o zagrożeniach i sposobach ich mitygowania przez wszystkie ośrodki zajmujące się cyberbezpieczeństwem w sektorze publicznym i prywatnym, mamy sformalizowane procedury, wpisy do rejestrów i kary. Oczywiście nakładane na przedsiębiorców. O skutkach naruszeń bezpieczeństwa w urzędach i karach dla urzędników, którzy zawinili, dużo nie przeczytamy. Projekt karze podmioty gospodarcze będące ofiarami cyberprzestępstw, szczególnie wśród małych i średnich przedsiębiorstw. Tymczasem rząd powinien zaoferować wsparcie, dostęp do informacji i finansowanie szkoleń i inwestycji.
Niekonstytucyjne przepisy ustawy KSC
Drugą poważną wadą projektu jest wiara, że do zapewnienia bezpieczeństwa niezbędne jest poświęcenie konstytucyjnie chronionych wartości, tj. własności, wolności obywatelskich czy swobody działalności gospodarczej. O ile przyzwyczajano nas do tego przez minione osiem lat, o tyle zastosowanie tej samej aksjologii w projekcie rządu koalicji deklarującej ochronę Konstytucji poważnie niepokoi. Widać to szczególnie w dwóch procedurach, które będzie mógł prowadzić minister ds. cyfryzacji – pełnomocnik rządu ds. cyberbezpieczeństwa. Pierwsza to procedura tzw. poleceń zabezpieczających, zgodnie z którymi w razie wystąpienia incydentu krytycznego u podmiotu objętego ustawą, minister będzie mógł „przejmować dowodzenie”, w wyniku czego może w szczególności wyłączać w prywatnych firmach całe systemy, serwisy internetowe, czy usługi cyfrowe, na okres do dwóch lat. Autorzy za poprzedniego rządu deklarowali, że będą to stosować z umiarem i wyjątkowo i trzeba im ufać. Zupełnie jak z Pegasusem. Autorzy z tego rządu jeszcze nie wyjaśnili swoich intencji, ale mają szansę zrobić to w konsultacjach. Druga kontrowersyjna procedura to wyznaczanie „dostawców wysokiego ryzyka” – tzw. HRV. Jest to kopia pojęcia z europejskiego 5G Toolbox, przyjętego przez ENISA jako zalecenie dla przedsiębiorców telekomunikacyjnych, do szacowania ryzyk i ich mitygowania. Poprzednia władza nie rozumiała pojęcie zalecenia i samooceny ryzyk przez przedsiębiorcę, więc postanowiła użyć tych kryteriów jako przesłanek do decyzji urzędniczej czyj sprzęt i usługi są bezpieczne, a czyj nie jest. Pierwotnie była to procedura tajna, bez udziału zainteresowanych stron, mimo że jej wynik mógł skutkować całkowitym zamknięciem danej usługi, czy kosztowną wymianą infrastruktury – będącej prywatną własnością działających w Polsce przedsiębiorców. Takie myślenie nie dziwiło wśród kierownictwa Zjednoczonej Prawicy, wszak tylko państwowy Lewiatan jest dobry, a przedsiębiorcy prywatni to wcielone zło i ich jedynym celem powinno być finansowanie urzędniczych prześladowców. Zgodnie z wartościami deklarowanymi przez rządzącą Koalicję nie ma miejsca na pomijanie zasady proporcjonalności. Dlatego w projekcie brakuje katalogu środków proporcjonalnych i precyzyjnych warunków ich stosowania, jeśli mają wpływ na wolności obywatelskie czy własność prywatną. Szokuje też zgoda na ustawowy brak gwarancji uczestnictwa w procedurze administracyjnej, wszystkich, których procedura dotyczy.
Milionowe kary dla 40 tysięcy podmiotów
Trzeci, równie istotny jak poprzednie, zarzut dotyczy zakresu podmiotowego projektu. Względem poprzednich wersji, listę branż stanowi kilkustronicowy załącznik, a liczbę podmiotów dotkniętych wyliczono na blisko 40 tysięcy. Praktycznie do wszystkich tych podmiotów można będzie stosować wszystkie krytykowane instrumenty regulacyjne. Wszystkie też będą objęte rejestrem i karami, w wysokości do 10 milionów Euro. To chyba najbardziej szokujący przejaw pominięcia zasady proporcjonalności. Kosztów regulacji dla tych podmiotów nie oszacowano. Podobnie jak nie pokazano związku rejestru i kar z poprawą odporności na ataki cybernetyczne.
Szczegółowe zarzuty do obecnego projektu z pewnością zostaną wskazane w toku trwających konsultacji. Chciałbym wierzyć, że doprowadzą one do debaty i przywrócenia tej niezwykle ważnej regulacji fundamentów konstytucyjnych, bo obecnie tkwi ona cały czas w mentalności minionej dekady.
