Dostawcy wysokiego ryzyka: przejrzyste procedury czy tajna dowolność?

Bezpieczeństwo łańcucha dostaw w gospodarce i sektorze publicznym w obecnej sytuacji geopolitycznej jest niezwykle ważne. Z tą myślą Komisja Europejska przygotowała i rozpoczęła proces uzgodnień rozporządzenia CSA2, który zastąpi przepisy z 2019 r. Nałożyło się to na procedowaną w Sejmie nowelizację KSC. Wdraża ona z ponad dwuletnim opóźnieniem dyrektywę NIS2. O ile NIS2 zajmuje się łańcuchem dostaw, to nie zawiera regulacji dot. DWR (ang. HRV). Rząd zdecydował się na dodanie tych regulacji do projektu KSC. Sposób, w jaki to zrobił, budzi silną krytykę wśród przedsiębiorców i ekspertów.

W projekcie CSA2 regulacji DWR poświęcono Tytuł IV. Podczas drugiego czytania rząd wskazał ten fakt jako dowód, że „Komisja Europejska wzorowała się na polskim KSC”. Opinia ta nie znajduje jednak poparcia w analizie obu tekstów. Sposób, w jaki obie regulacje podchodzą do kwestii łańcucha dostaw i poszanowania podstawowych zasad konstytucyjnych demokracji, różni się diametralnie. Polski projekt KSC zawiera podnoszone w toku konsultacji i prac w Sejmie istotne luki w zakresie gwarancji proceduralnych, które są standardem w projekcie unijnym.

Dwustopniowość oceny europejskiej

W projekcie CSA2 żadne ograniczenia nie mogą zostać wprowadzone bez dwustopniowego procesu szczegółowej oceny ryzyka. Ocena ta jest przeprowadzana przez Grupę Współpracy NIS z udziałem wszystkich państw członkowskich. Pierwszym etapem jest identyfikacja państwa będącego zagrożeniem w domenie cyber. W drugim etapie sporządzana jest lista dostawców powiązanych z tym państwem, a następnie dokonywana jest szczegółowa analiza ryzyk i proponowane są proporcjonalne środki zaradcze.

W KSC nie ma wymagania przeprowadzenia wstępnej oceny ryzyka. Minister cyfryzacji może wydać decyzję o uznaniu dostawcy za dostawcę wysokiego ryzyka, zasięgając jedynie niewiążącej opinii kolegium ds. cyberbezpieczeństwa, które jest organem doradczym rządu. Skład kolegium jest mocno ograniczony. Podejmowane środki nie muszą być skoordynowane z innymi państwami członkowskimi ani z Komisją Europejską.

Geopolityczne kryteria oceny

CSA2 określa obiektywne, weryfikowalne kryteria kroku pierwszego, tj. uznania państwa za stanowiące zagrożenie: istnienie prawa wymuszającego ujawnianie podatności, udokumentowane praktyki w tym zakresie, brak niezależnych procedur, udokumentowane incydenty złośliwej działalności cybernetycznej oraz brak współpracy w rozwiązywaniu problemów. Nie ma odniesienia do członkostwa w sojuszach politycznych i wojskowych.

KSC wprowadza kryterium czysto geopolityczne, badając prawdopodobieństwo kontroli dostawcy przez państwo spoza terytorium Unii Europejskiej lub organizacji traktatu północnoatlantyckiego. Sama przynależność do NATO lub UE jest traktowana jako czynnik zmniejszający ryzyko. Kryterium oparte na sojuszach wojskowych może prowadzić do dyskryminacji podmiotów z określonych regionów świata bez merytorycznego uzasadnienia. Może też pomijać zagrożenia dla UE.

Jednoosobowa decyzja zamiast procesu wielostronnego

W UE decyzja o uznaniu państwa za stanowiące zagrożenie oraz o identyfikacji dostawców wysokiego ryzyka wymaga przyjęcia aktu wykonawczego przez Komisję Europejską w toku uzgodnień z państwami członkowskimi.

W Polsce decyzję podejmuje jednoosobowo minister cyfryzacji. Nie ma wymogu uzyskania zgody innych organów państwa ani przeprowadzenia wiążących konsultacji. Wprawdzie minister zasięga opinii kolegium ds. cyberbezpieczeństwa, ale opinia ta nie jest wiążąca i minister może ją zignorować.

Koncentracja władzy w rękach jednego urzędnika bez mechanizmów kontroli stwarza ryzyko błędów lub nadużyć.

Brak prawa do bycia wysłuchanym, niejawność zarzutów i uzasadnienia

Projekt CSA2 wprost gwarantuje dostawcom prawo do obrony. Komisja musi poinformować firmę o wstępnych ustaleniach, firma ma prawo przedstawić swoje stanowisko przed podjęciem niekorzystnej decyzji, a procedura musi być sprawiedliwa i przejrzysta. Istnieje również możliwość żądania ponownej oceny przy zmianie okoliczności.

KSC nie zawiera wyraźnych gwarancji prawa do wysłuchania. Zarówno dostawca, jak i inne podmioty zainteresowane (na które spadną skutki finansowe wycofywania sprzętu) mają mocno ograniczone prawo udziału w postępowaniu. Wyłączone są podstawowe gwarancje z Kodeksu postępowania administracyjnego. Brak jest dostępu do opinii kolegium czy istotnych fragmentów uzasadnienia. Prawa strony przyznane są tylko największym podmiotom z rynku telekomunikacyjnego, podczas gdy skutki mogą dotykać wszystkie 18 sektorów. To jeden z punktów, w którym najbardziej widać różnice obu regulacji.

Zakres produktów i brak środków alternatywnych

CSA2 precyzyjnie ogranicza zakres środków zaradczych do kluczowych zasobów ICT w sieciach łączności elektronicznej. W terminie późniejszym Komisja w drodze aktów wykonawczych może rozszerzyć ten zakres. W ramach środków zaradczych przewidziano też katalog proporcjonalnych środków alternatywnych wobec całkowitego wykluczenia: obowiązki przejrzystości, ograniczenia transferu danych, środki techniczne, takie jak segmentacja sieci, wymóg audytów czy dywersyfikacja dostaw.

W Polsce wykluczenia mogą obejmować wszelkie produkty ICT, usługi ICT lub procesy ICT stosowane przez podmioty kluczowe lub ważne, niezależnie od tego, czy pełnią funkcje krytyczne. Jedynym środkiem jest całkowite wykluczenie. Zapomniano więc o zasadzie proporcjonalności.

Brak procedury wyłączeń

Projekt CSA2 zawiera szczegółowo uregulowaną procedurę wyłączeń. Firma z państwa uznanego za stanowiące zagrożenie może ubiegać się o indywidualne zwolnienie, dokumentując wdrożenie skutecznych środków eliminujących ryzyko, a Komisja ocenia wniosek w sprawiedliwym procesie. Zwolnienie może być warunkowe, a Komisja prowadzi publiczny rejestr wszystkich decyzji.

W polskiej ustawie KSC procedura wyłączeń nie istnieje. Dostawca uznany za wysokiego ryzyka nie ma możliwości ubiegania się o wyłączenie z ograniczeń, nie może przedstawić dowodów na wdrożenie środków zabezpieczających i nie ma żadnej ścieżki powrotu na rynek. Brak procedury zwolnień oznacza, że decyzja ministra jest de facto ostateczna i nieodwracalna (pomijając formalną kontrolę przez sąd administracyjny, który nie ma prawa wnikania w meritum).

Dwie filozofie regulacji

Projekt CSA2 opiera się na klasycznych zasadach demokratycznego państwa prawa: prawie do obrony, proporcjonalności środków, indywidualnej ocenie każdej firmy, procedurze wyjątków/zwolnień, przejrzystości oraz demokratycznej kontroli poprzez udział państw członkowskich w decyzjach.

Polska ustawa koncentruje władzę w rękach jednego organu bez wystarczających mechanizmów kontroli. Ocena ryzyka dokonywana przez kolegium złożone z resortów siłowych, jednoosobowa decyzja ministra, wykluczenie gwarancji praw podstawowych z Kodeksu postępowania administracyjnego, brak procedury wyłączeń, brak proporcjonalnych środków alternatywnych oraz kryteria geopolityczne oparte na prawdopodobieństwie zamiast przesłanek obiektywnych tworzą obraz regulacji odbiegającej od standardów praworządności.