Reklama

Wadliwe przepisy otworzą drogę do wielkich odszkodowań

Projekt ustawy o KSC stał się „potworkiem” legislacyjnym, który przez błędy proceduralne może stać się martwym prawem, otwierając drogę do fali odszkodowań od zablokowanych dostawców technologii – mówi prof. dr hab. Paweł Wajda z Uniwersytetu Warszawskiego i Forum Ekspertów Ad Rem.

Publikacja: 07.01.2026 03:00

Paweł Wajda

Paweł Wajda

Foto: mat. pras.

Paweł Rożyński

Prace nad ustawą o Krajowym Systemie Cyberbezpieczeństwa trwają już 6 lat, a termin na wdrożenie w niej unijnej dyrektywy NIS2 minął ponad rok temu…

Dokładnie tak, czy też poprawniej będzie wskazać, że niestety, ale tak. Polska znajduje się w co najmniej mało komfortowej sytuacji, w której występuje delikt w postaci naruszenia przez nasz kraj zobowiązań traktatowych związanych z akcesem Polski do Unii Europejskiej, co może z kolei implikować odpowiedzialność realizowaną na kilku poziomach. W szczególności Trybunał Sprawiedliwości Unii Europejskiej może nałożyć na państwo członkowskie naruszające zobowiązania traktatowe kary pieniężne, czy to jednorazową, czy też liczoną w milionach euro za każdy dzień zwłoki. Podobnie różne podmioty mogą – w przypadku powstania szkody, która będzie konsekwencją braku wdrożenia dyrektywy NIS2 do krajowego porządku normatywnego – dochodzić od Skarbu Państwa odpowiedzialności odszkodowawczej. Nie można także zapominać o tym, że od 17 października 2024 r., kiedy minął termin jej wdrożenia, dyrektywa NIS2 wywołuje w Polsce bezpośrednie skutki prawne, tj. obywatele mogą powoływać się na bezpośredni skutek tej dyrektywy w relacjach z państwem i jego organami.

Skąd takie opóźnienie?

Po pierwsze, jest to wynikiem tego, że projekt ustawy staje się powoli „potworkiem” legislacyjnym, gdy to prawodawca krajowy w ramach transpozycji dyrektywy NIS2 próbuje równolegle wprowadzić dodatkowe rozwiązania, które są kompletnie niepotrzebne. Co więcej, procedowanie projektu ustawy w takiej treści będzie prowadziło do tego, że transpozycja będzie jeszcze bardziej spóźniona oraz do tego, że przyjęte przepisy będą wprawdzie obowiązywały, ale nie będą mogły być stosowane.

Po drugie, materia cyberbezpieczeństwa jest jednym z najbardziej wrażliwych i trudnych do uregulowania obszarów. Mówimy tutaj bowiem o bezpieczeństwie cyfrowym państwa, który to obszar znajduje się na pograniczu prawa, bezpieczeństwa publicznego i informatyki, a w rezultacie jest niezwykle „niewdzięczny” do poddania go regulacji normatywnej.

Po trzecie, mówimy tutaj o niejako równolegle niezwykle żywym obszarze, w ramach którego stworzenie optymalnej regulacji normatywnej jest utrudnione, o ile w ogólności możliwe, z uwagi na stale przesuwający się punkt ciężkości pomiędzy potrzebą regulacji a potrzebą realizacji wolności gospodarczej.

Po czwarte, w cyfrowym świecie wszystko dzieje się bardzo szybko, a w przypadku procesu legislacyjnego mamy do czynienia z tzw. inercją prawodawcy, gdzie proces legislacyjny jest na tyle długotrwały, że regulacje normatywne nie wydają się być efektywnym instrumentem pozwalającym na usuwanie zagrożeń cyfrowych.

Reklama
Reklama

Po piąte wreszcie, w obszarze cyberbezpieczeństwa z każdym rokiem zwiększa się liczba ataków na polską infrastrukturę. Można w rezultacie z powodzeniem stwierdzić, że obszar ten jest najmniej „wdzięczny” do jego regulacji normatywnej i obszarem, w którym jak w soczewce ogniskuje się kwestia zawodności regulacji.

Sytuacja jest tym bardziej niekomfortowa, że naruszenie zobowiązań członkowskich implikuje jednocześnie – co najważniejsze – istotnie niższy poziom cyberbezpieczeństwa. Pozostaje zatem wyrazić i mieć nadzieję, że krajowy prawodawca dokona rzeczonej transpozycji możliwie sprawnie, tj. w kolejnych tygodniach.

Jaki jest cel ustawy i dlaczego te przepisy są tak ważne?

Można – przewrotnie – wskazać, że celem tym jest – niestety – „spóźniona” transpozycja dyrektywy NIS2 do krajowego porządku normatywnego. Ratio tej regulacji jest zatem zapewnienie jednolitych – na szczeblu UE – ram prawnych w celu zapewnienia i utrzymania cyberbezpieczeństwa w 18 sektorach ważnych i kluczowych – jak np. energia, transport, opieka zdrowotna, finanse, usługi pocztowe i kurierskie, usługi cyfrowe, jak np. platformy społecznościowe, czy sektor kosmiczny – a zatem zapewnienia ochrony sieci i systemów informatycznych, jak i wdrożenie krajowej strategii cyberbezpieczeństwa i współpracy w ramach UE w obszarze transgranicznego reagowania na cyberincydenty i egzekwowania przepisów. Chodzi tutaj o zwiększenie siły państw członkowskich w tej dziedzinie i uczynienie Polski możliwie odporną. Wdrożenie projektu ustawy przełoży się na istotny wzrost cyberbezpieczeństwa w Polsce.

Gdzie można wskazać ułomności projektu?

Mamy tutaj do czynienia z niepożądaną i przede wszystkim nieprawidłową sytuacją, w której lepsze jest wrogiem dobrego. Prawodawca krajowy próbuje bowiem – dokonując spóźnionej transpozycji dyrektywy NIS2 – równolegle wprowadzić dodatkowe rozwiązania. Konsekwencją takiego podejścia jest zaś to, że mamy tutaj do czynienia z dwoma bardzo poważnymi, jeśli chodzi o ich potencjalneskutki, błędami; z których pierwszy dotyczy kwestii stricte materialnoprawnych, a drugi dotyczy samego sposobu procedowania przez prawodawcę projektu ustawy.

I tak w sferze prawa materialnego największym błędem jest to, że powołany projekt ustawy jest wręcz akademickim przykładem tzw. gold-platingu, gdzie rozwiązania postulowane przez prawodawcę krajowego są „pionowo” niezgodne z normami wyższego rzędu, czy to na szczeblu krajowym, czy to na szczeblu unijnym. Warto w tym kontekście wskazać, że gdy w ramach inicjatywy SprawdzaMY [rządowo-biznesowy zespół ds. deregulacji – red.] był przygotowywany raport dotyczący tzw. gold-platingu, to projekt ustawy o KSC został w nim powołany jako „sztandarowy” przykład tego zjawiska.

NIS2 jest dyrektywą tzw. minimalnej harmonizacji, tj. państwa członkowskie mogą wprowadzić – w ramach transpozycji jej postanowień do krajowych porządków normatywnych – rozwiązania wykraczające poza minimalny standard regulacyjny, który z niej wynika. Prawodawca krajowy nie może zapominać o tym, że przyjęte rozwiązania muszą być w pełni zgodne z normami wyższego rzędu, a zatem z normami rangi konstytucyjnej i normami traktatowymi.

Reklama
Reklama

Gdzie w projekcie mamy do czynienia z gold-platingiem?

Rozwiązania proponowane przez krajowego prawodawcę obejmą również te podmioty, które pod rządami dyrektywy NIS2 tylko „opcjonalnie” mogą być objęte jej postanowieniami. W konsekwencji Polska będzie tym państwem członkowskim UE, dla którego zakres podmiotowy stosowania przepisów implementujących dyrektywę NIS2 będzie najszerszy i obejmie około 40 tys. podmiotów, co jest absolutnym rekordem w Unii Europejskiej. Przykładowo w znacznie większych państwach członkowskich, jak Francja jest to ok. 15 tys. podmiotów, a w Niemczech ok. 28 tys. podmiotów. Powyższe ma swój szczególnie „drastyczny” wymiar w przypadku regulacji mechanizmu tzw. dostawców wysokiego ryzyka (DWR/HRV), gdzie w przypadku innych państw członkowskich mechanizm ten jest ograniczony wyłącznie do dostawców technologii 5G (zgodnie z tzw. 5G network EU Toolbox) lub do wąskiej grupy podmiotów krytycznych dla gospodarki.

Dodatkowo komponenty krytyczne podlegające ograniczeniom są jednoznacznie zidentyfikowane, więc wykluczenia nie mają zastosowania do dowolnego sprzętu elektronicznego. W przypadku Polski ten mechanizm może dotyczyć każdego z 18 obszarów, a tym samym ok. 40 tys. podmiotów i dowolnych dostawców wskazanych przez Ministra Cyfryzacji. W przypadku Niemiec mechanizm ten może dotyczyć potencjalnie ok. 1 tys. podmiotów. Podobnie sytuacja wygląda z tzw. poleceniem zabezpieczającym, które stanowi szczególnie dolegliwy mechanizm ingerencji w wolność działalności gospodarczej i tworzy sytuację „niepewności” statusu prawnego. W rezultacie można zaryzykować postawienie i obronę tezy, że krajowe rozwiązania są nieproporcjonalne i stanowią nadmierną ingerencję w wolność działalności gospodarczej i jednocześnie nie zapewniają odpowiedniego poziomu ochrony procesowej dla strony postępowania.

Z kolei w sferze sposobu procedowania tego projektu mamy do czynienia z sytuacją, w której stanowiące element tego projektu tzw. przepisy techniczne, zgodnie z dyrektywą 2015/1535, nie zostały do tej pory – a przynajmniej jest tak zgodnie z moją najlepszą wiedzą – przez krajowego prawodawcę notyfikowane do Komisji Europejskiej. W tym kontekście przypomnę, że państwa członkowskie muszą ją powiadamiać o nowych krajowych przepisach dotyczących produktów i usług, co pozwala na wczesne wykrycie potencjalnych przeszkód w handlu i dostosowanie ich do prawa UE.

Czym będzie skutkował brak notyfikacji?

Brak notyfikacji powoduje, że wprawdzie przepisy będą obowiązywały, ale nie będą mogły być stosowane. Z nieznanych mi powodów prawodawca krajowy uznał, że okoliczność, iż projekt ustawy jest transpozycją dyrektywy NIS2 zwalnia prawodawcę krajowego z obowiązku notyfikacji tych przepisów do Komisji Europejskiej. Nic bardziej mylnego, bo każdy przepis prawa krajowego, który jest przepisem technicznym w rozumieniu dyrektywy 2015/1535 musi być notyfikowany do Komisji Europejskiej; czego najlepszym potwierdzeniem jest to, że takiej notyfikacji dokonywały inne państwa członkowskie, jak Niemcy, Włochy czy Hiszpania. Skoro zatem inne państwa członkowskie uznały to, że przepisy stanowiące „dodatek” do minimalnego standardu regulacyjnego wynikającego z dyrektywy NIS2 są przepisami technicznymi, które wymagają notyfikacji do Komisji Europejskiej, to w mojej ocenie polski prawodawca nie dokonując ich notyfikacji popełnia wręcz błąd proceduralny. Okoliczność ta będzie implikowała zaś to, że dodatkowe przepisy będą obowiązywały, ale nie będą one mogły być zastosowane. Powyższe wynika z orzecznictwa Trybunału Sprawiedliwości UE, jak np. ze sprawy Fortuna, w której to stwierdzono, że brak notyfikacji przepisów technicznych implikuje brak możliwości ich stosowania i otwiera drogę do roszczeń odszkodowawczych wobec Skarbu Państwa dla przedsiębiorców z branży hazardowej.

Czy błędy w projekcie wdrażającym NIS2 otwierają drogę do roszczeń odszkodowawczych wobec Skarbu Państwa?

Skutkować będą przede wszystkim tym, że przepisy techniczne z projektu ustawy, jak np. mechanizm dostawcy wysokiego ryzyka, będą wprawdzie obowiązywać, ale nie będą mogły w jakimkolwiek przypadku znaleźć zastosowania. Mogę domniemywać, że w sytuacji „próby” zastosowania przez krajowe organy tych przepisów, strona postępowania skutecznie podniesie zarzut braku notyfikacji tych przepisów, co powinno implikować to, że krajowe organy odstąpią od ich stosowania, chociażby z uwagi na konieczność stosowania tzw. prounijnej wykładni przepisów prawa krajowego. Podobnie mogę domniemywać, że w sytuacji hipotetycznego zastosowania tych przepisów i wydania decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka, taka decyzja zostanie wyeliminowana z obrotu w drodze stwierdzenia jej nieważności przez sąd administracyjny. Podobnie zastosowanie tych przepisów będzie otwierało drogę do roszczeń odszkodowawczych.

O jakiej skali odszkodowań mówimy w sytuacji, gdyby globalny dostawca technologii został zablokowany na podstawie wadliwych przepisów?

Mając na uwadze to, że projekt ustawy jest „dopiero” na etapie prac w Komisji, a jednocześnie wyżej powołana „czerwona flaga” została podniesiona i prawodawca ma pełną świadomość odnośnie do występowania wyżej powołanych ryzyk, to mogę zasadnie domniemywać, że wyżej powołany błąd zostanie w ramach prac legislacyjnych wyeliminowany i przepisy techniczne zostaną czy to odpowiednio notyfikowane do Komisji Europejskiej (tak jak zrobiły to inne państwa członkowskie), czy też projekt ustawy zostanie odpowiednio zmieniony, by tym samym wyeliminować z jego treści te nienotyfikowane przepisy techniczne. Tym samym uważam, że w praktyce obrotu nie będziemy mieli do czynienia z zastosowaniem mechanizmu dostawcy wysokiego ryzyka w obecnym kształcie, gdyż skutkowałoby to odpowiedzialnością odszkodowawczą Skarbu Państwa. Wówczas wysokość odszkodowania byłaby – co oczywiste – funkcją poniesionej szkody.

Reklama
Reklama

Co brak notyfikacji tzw. przepisów technicznych UE oznacza w praktyce dla polskiego przedsiębiorcy?

Dokładnie tyle, że przepisy te będą obowiązywać, ale nie będą mogły być stosowane, a tym samym – regulacja ta będzie martwa, a właściwe organy administracji publicznej będą w istocie „bezzębne” i nie będą mogły stosować w ogólności tych przepisów.

Czy sądy administracyjne będą uchylały decyzje ministra cyfryzacji dotyczące obowiązku wykluczania dostawców wysokiego ryzyka?

Pamiętając o tym, że zakres kognicji sądów administracyjnych obejmuje ocenę prawidłowości wydanych aktów administracyjnych, z pełnym przekonaniem można zakładać, że sądy administracyjne – i to nawet w sytuacji, gdy w skardze taki zarzut nie zostałby podniesiony – będą uchylały decyzje w sprawie dostawców wysokiego ryzyka. Takie decyzje byłyby bowiem wydawane w oparciu o przepisy, które nie mogły w ogólności znaleźć zastosowania.

Jaki sens ma dopisywanie w projekcie ustawy o KSC znacznie bardziej surowych norm, których nie wymaga UE? Co chce osiągnąć Ministerstwo Cyfryzacji? Czy to faktycznie jedyna droga do zapewnienia cyberbezpieczeństwa w Polsce?

Myślę, że takie działanie ministra cyfryzacji jest powodowane z jednej strony – co oczywiste – koniecznością implementowania postanowień dyrektywy NIS2 do krajowego porządku normatywnego, a tym samym koniecznością realizacji zobowiązań spoczywających na Polsce jako na państwie członkowskim UE, natomiast z drugiej strony jest to wynikiem tego, że polskie tłumaczenie słowa gold-plating wskazuje niejako na „pozłacanie”, a tym samym niejako na podnoszenie wartości regulacji. Można w rezultacie zaryzykować postawienie tezy, że niejednokrotnie prawodawca rozumie słowo „gold-plating” jako uszlachetnianie, gdzie jednocześnie powinno wyraźnie wybrzmieć to, że jest ze swojej natury zjawiskiem niepożądanym i w jakimkolwiek przypadku nie prowadzi do podniesienia wartości regulacji i nie powinno mieć w jakimkolwiek przypadku miejsca. Najlepszym potwierdzeniem powyższego jest to, że jednym z zasadniczych obszarów zainteresowania inicjatywy SprawdzaMY było właśnie „derogowanie” z obrotu prawnego sytuacji gold-platingu.

Czy w ogóle jest sposób na wprowadzenie skutecznego prawa zgodnego z regulacjami UE?

Analizując mocno krytyczne stanowiska pisemne dotyczące projektu ustawy, jak i podobnie mocno krytyczne stanowiska przedstawiane w trakcie posiedzeń komisji sejmowej, wydaje się, że tutaj możliwym byłoby zastosowanie dwóch rozwiązań. Po pierwsze, dokonanie przez polskiego prawodawcę transpozycji dyrektywy NIS2 w jej minimalnej postaci. Po drugie, dokonanie przez polskiego prawodawcę – mając na uwadze to, że to Polska jest tym z państw członkowskich UE, które jest poddawane tak licznym cyberatakom – transpozycji w dwóch krokach, tj. w pierwszym kroku w jej minimalnej postaci, a następnie – niejako w drugim kroku – dokonanie notyfikacji przepisów technicznych, które to przepisy stanowią „dodatek” do minimalnej treści dyrektywy NIS2, do Komisji Europejskiej i ich wprowadzenie do systemu prawa jako kolejnej nowelizacji ustawy. Wydaje się, że zastosowanie któregoś z wyżej powołanych rozwiązań pozwoli z jednej strony wyjść ustawodawcy z co najmniej mało komfortowej sytuacji, w której to Polska jest w sytuacji naruszenia zobowiązań traktatowych związanych z brakiem terminowej implementacji dyrektywy NIS2, natomiast z drugiej strony pozwoli – co jest absolutnie najważniejsze – istotnie zwiększyć poziom cyberbezpieczeństwa. Co więcej powyższe będzie również mitygować istniejące ryzyko związane z brakiem notyfikacji i „bezzębności” mechanizmu dostawcy wysokiego ryzyka czy polecenia zabezpieczającego. W mojej ocenie wdrożenie takie zostałoby pozytywnie przyjęte przez wszystkich interesariuszy i pozwoliłoby wyjść z aktualnej patowej sytuacji.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Telekomunikacja cyberbezpieczeństwo KSC Prawo
Prof. Krzysztof Obłój, Akademia Leona Koźmińskiego
Opinie i komentarze
„AI najwygodniejszą wymówką zwolnień”. Prof. Obłój: Nie wiemy, co nas czeka
Wojna o prawdę: ekspert wyjaśnia mechanizmy dezinformacji
Materiał Promocyjny
Wojna o prawdę: ekspert wyjaśnia mechanizmy dezinformacji
Azar Koulibaly
Opinie i komentarze
Suwerenność oznacza odporność. Europejskie dane są pod ochroną
Michał Kanownik
Opinie i komentarze
Michał Kanownik: Skąd niechęć do wzmacniania bezpieczeństwa narodowego? Mity o KSC
Wyprzedaż rocznika 2025. Samochody dostawcze FORD PRO już od 64 900 zł
Materiał Promocyjny
Wyprzedaż rocznika 2025. Samochody dostawcze FORD PRO już od 64 900 zł
Advertisement
Alexander Sukharevsky
Opinie i komentarze
Technologia w AI to tylko mała część sukcesu. Decydują ludzie i wizja
Wyprzedaż w salonach Jeep®! Tylko teraz Jeep Avenger z korzyścią do 30 000 zł!
Materiał Promocyjny
Wyprzedaż w salonach Jeep®! Tylko teraz Jeep Avenger z korzyścią do 30 000 zł!
Advertisement
Reklama
Reklama
e-Wydanie
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
Reklama