Wobec pierwszego projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, (Projekt z dnia 7 września 2020 r.) w trakcie konsultacji publicznych prowadzonych na przełomie września i października kilkadziesiąt organizacji zgłosiło swoje uwagi. Podnoszono zwłaszcza, że projekt nie zawierał procedur postępowania w sprawie oceny ryzyka dostawcy sprzętu lub oprogramowania, w tym nie przewidywał żadnego środka odwoławczego. W Ministerstwie Cyfryzacji opracowano nowy projekt nowelizacji (Projekt z dnia 20 stycznia 2021 r.). Trudność projektu polega na potrzebie pogodzenia środków chroniących bezpieczeństwo narodowe z podstawowymi zasadami regulującymi postępowania przed organami administracji publicznej. Nie jest to problem zupełnie nowy, występuje on w wielu innych dziedzinach, gdzie w grę wchodzi bezpieczeństwo państwa. Pozbawienie przedsiębiorców uprawnień procesowych może skutkować niepotrzebnym rozżaleniem i próbami dochodzenia podstawowych praw na drodze sądowej.
W myśl nowego projektu, procedura oceny ryzyka dostawcy sprzętu lub oprogramowania ma być oparta o przepisy Kodeksu postępowania administracyjnego, o ile ustawa nie stanowi inaczej. Postępowanie administracyjne będzie prowadzone przez ministra właściwego ds. informatyzacji. Minister w drodze decyzji będzie mógł uznać dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli z przeprowadzonego postępowania wyniknie, że dostawca ten stanowi poważne zagrożenie dla bezpieczeństwa narodowego. Dostawca będzie mieć możliwość wniesienia środka odwoławczego na zasadach ogólnych oraz zaskarżenia decyzji do sądu administracyjnego. Niepokoi jednak, że projekt nowelizacji zawiera rozwiązania niweczące prawo do efektywnego środka zaskarżania i prawo do sądu.
Projekt nowelizacji zakłada możliwość odstąpienia od uzasadnienia faktycznego decyzji, jeżeli wymagają tego względy obronności lub bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego. Takie rozwiązanie faktycznie uniemożliwia stronie obronę jej praw (w tym konstytucyjne prawo do efektywnego zaskarżenia decyzji organu administracji publicznej) oraz de facto uniemożliwia także sądowi administracyjnemu skontrolowanie rozstrzygnięcia ministra, stając w sprzeczności z istotą konstytucyjnego prawa strony do sprawiedliwego rozpatrzenia sprawy przez sąd. Brak uzasadnienia faktycznego decyzji uniemożliwi nie tylko stronie, ale także sędziom sądu administracyjnego poznanie toku rozumowania ministra oraz faktów, które organ ten przyjął za podstawę swojego rozstrzygnięcia. Czyni to iluzorycznym jakikolwiek środek odwoławczy, gdyż główne motywy rozstrzygnięcia nie będą znane, a tym samym możliwe do skontrolowania.
Dla ochrony obronności bezpieczeństwa państwa i porządku publicznego, wystarczające byłoby doręczenie stronie decyzji w wersji niezawierającej tych fragmentów uzasadnienia, które rzeczywiście stanowią informacje niejawne. Organ powinien sporządzić uzasadnienie faktyczne decyzji, które nawet jeśli nie byłoby ujawniane stronie w całości, to jednak umożliwiałoby pełną kontrolę decyzji zarówno w toku postępowania z wniosku o ponowne rozpoznanie sprawy, jak i w toku ewentualnego postępowania przed sądem administracyjnym. W przeciwnym wypadku wprowadzono by możliwość zupełnej arbitralności działania organu, przy jednoczesnym braku realnej możliwości weryfikacji rozstrzygnięcia organu, nie tylko przez organ odwoławczy, ale także przez sąd administracyjny.
Ponadto, w myśl projektu nowelizacji, decyzja uznająca dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka ma podlegać natychmiastowej wykonalności. Jednocześnie projekt wyłącza możliwość wstrzymania wykonalności decyzji przez sąd. Daleko idące są przy tym skutki takiej decyzji. Co najmniej dwa z nich, tj. brak możliwości wprowadzenia do użytkowania oraz brak możliwości dokonywania zamówień sprzętu, oprogramowania i usług określonych w decyzji, następują od razu i mają charakter nieodwracalny.
