Przygotował pan analizę dotyczącą implementacji dyrektywy NIS2 w innych krajach UE. Jak wypadła?
prof. dr hab. Artur Nowak-Far z Katedry Integracji i Prawa Europejskiego SGH
ikona lupy />
prof. dr hab. Artur Nowak-Far z Katedry Integracji i Prawa Europejskiego SGH / Materiały prasowe

Analizę przygotowałem na prośbę Polskiego Towarzystwa Gospodarczego. Jej celem było pogłębione zbadanie, jak wybrane państwa członkowskie UE wdrożyły lub wdrażają dyrektywę NIS2. Wybrałem różne prawodawstwa, Chorwacji, Słowacji, Węgier, Finlandii, Austrii, Niemiec i Włoch, aby zobaczyć różne podejścia. Niektóre z tych krajów mają już gotowe ustawy, inne, nawet jeśli mają bardzo zaawansowane projekty, z jakichś powodów czekają z ich przedstawieniem parlamentom.

Dlaczego w ogóle uznał pan, że warto się zajmować dyrektywą?

Jest to pasjonujący temat z naukowego punktu widzenia. Dotyka nowoczesnej gospodarki i technologii, a prawo porównawcze w kontekście unijnym jest niezwykle ciekawe.

Sama implementacja jest interesująca, bo państwa różnie do niej podchodzą. Jedne chcą implementować tylko NIS2 jako takie. Inne robią to, ale jednocześnie w znaczący sposób wdrażają wskazówki Komisji Europejskiej znane jako 5G Toolbox, czyli zestaw narzędzi dotyczący wyłącznie technologii 5G. A część państw, w tym Polska, wychodzi ponad ten minimalny standard.

Zgodnie z pana słowami można wnioskować, że Polska przekracza granice wyznaczone przez dyrektywę NIS2. Czy zatem projekt wprowadza środki nadmiarowe w stosunku do tego, czego wymaga prawo UE?

Muszę tu coś sprostować. Nie możemy mówić o przekroczeniu granic dyrektywy ani o klasycznym goldplatingu. Sama NIS2 jest dyrektywą harmonizacji minimalnej. To oznacza, że państwo członkowskie musi osiągnąć standard w niej określony, ale może zrobić wszystko powyżej tego standardu, co wydaje mu się istotne dla swojego cyberbezpieczeństwa.

Problem leży gdzie indziej. Dyrektywa mówi jasno: możesz, drogie państwo, zawyżyć ten standard, ale musisz koniecznie stosować zasadę proporcjonalności. Stosowanie tej zasady wymaga zawsze wskazania interesu, o który nam chodzi, i dostosowania tych nadmiarowych środków tak, by były konieczne, niezbędne i odpowiednie do osiągnięcia tego celu. Tu nie chodzi więc o goldplating, ale o to, czy mieścimy się w standardzie zasady proporcjonalności.

Czy w takim razie polski projekt ustawy o KSC narusza tę zasadę? Czy wprowadza środki nieproporcjonalne?

Tak, wprowadza środki nadmiarowe, ponieważ nie są one uzasadnione zasadą proporcjonalności, która występuje w innych państwach członkowskich. Prawodawca zrobił coś bardzo ambitnego, stworzył próbę swoistej kodyfikacji prawa cyberbezpieczeństwa. Zawiera ona elementy dyrektywy, ale mocno wychodzi poza nią regulacyjnie – co, podkreślam, mógł zrobić.

Problem w tym, że projekt zawiera bardzo niepokojące rozwiązania, które kręcą się wokół dwóch kwestii. Po pierwsze, wspomniany 5G Toolbox – standardy, które miały dotyczyć wyłącznie sektora teleinformatycznego, u nas są stosowane do 18 sektorów, które identyfikowane są jako krytyczne i ważne.

Po drugie, i to jest rozwiązanie niespotykane w innych analizowanych przeze mnie państwach, wprowadzono koncepcję „dostawcy wysokiego ryzyka”. Jeśli jakiś podmiot zostanie tak zidentyfikowany, to sektory krytyczne i ważne nie mogą kupować jego technologii. Problem w tym, że identyfikacja ta ma się brać stąd, że dostawca pochodzi z konkretnego państwa trzeciego, a nie z rzetelnej oceny, czy on naprawdę jest ryzykowny. To jest nadmiarowe i nieproporcjonalne.

10 października w piśmie przygotowanym przez Ministerstwo Spraw Zagranicznych stwierdzono, że projekt ustawy o KSC jest „zgodny z prawem Unii Europejskiej”, podkreślając jednocześnie konieczność jego pilnego uchwalenia, by uniknąć sankcji. Czy w pana ocenie presja czasu i groźba kar finansowych usprawiedliwiają przyjęcie rozwiązań, które są, tak jak pan opisał, nieproporcjonalne?

Nie. Powstanie naruszenie. Sam projekt, na papierze, jest zgodny z prawem unijnym, póki nie zacznie być stosowany. Natomiast stosowanie jego standardów naruszy w wielu przypadkach zasadę Cassis de Dijon (zasadę swobodnego przepływu towarów).

Będziemy mieli sytuację, w której produkt legalnie wprowadzony do obrotu w jednym państwie członkowskim, np. we Francji, nie będzie mógł być przedmiotem swobodnego obrotu w Polsce. My będziemy mówić, że wprowadziliśmy te regulacje ze względu na ochronę istotnych interesów, ale prawo UE definiuje to bardzo wąsko. To musi być „konkretne, bezpośrednie i poważne zagrożenie”. Nie da się wykazać, że produkt firmy z państwa trzeciego, który legalnie wprowadzono do obrotu we Francji, nie może być kupowany w Polsce, bo stanowi to realne zagrożenie.

Jak odnosi się pan do opinii sekretarza stanu ds. europejskich, że projekt „jest zgodny z prawem Unii Europejskiej”? Skoro jest zgodny, to na czym polega problem?

Problem polega na fundamentalnym naruszeniu zasady proporcjonalności, o której mówiłem.

W przytoczonym piśmie pojawia się argument o „zaawansowanym etapie postępowania naruszeniowego” wobec Polski. Czy pana zdaniem ten pośpiech uzasadnia procedura naruszeniowa? Zwłaszcza że z powszechnie dostępnych źródeł wynika, że w stosunku do Polski takich procedur wszczęto jeszcze kilkanaście.

Nie lubię rozwiązań robionych „na łapu-capu”. Wiele państw członkowskich jest w podobnej sytuacji, jeśli chodzi o opóźnienia we wdrożeniu NIS2. Może lepiej poczekać i zrobić to porządnie, niż kierować się tylko tym, że trwa procedura naruszeniowa.

Transformacja energetyczna pomoże Polsce w szybszym rozwoju
Transformacja energetyczna pomoże Polsce w szybszym rozwoju

Zobacz również

Mówimy tu o bardzo ważnych kwestiach. Urządzenia, których dotyczy ustawa, są stosowane w przemyśle oczyszczania ścieków, w ochronie zdrowia, w administracji publicznej, w całej produkcji przemysłowej. To są poważne sprawy. To oznacza, że ktoś nagle zostanie zaskoczony informacją: „Ale ty masz wadliwe urządzenie, będziesz musiał je za chwilę wymieniać”. Oczywiście, zaoferowano jakiś czas na wymianę, nawet siedem lat, ale to i tak mało. To może powodować bardzo poważne perturbacje w organizacji procesów produkcyjnych.

Skoro z jednej strony pana zdaniem Polska idzie za daleko, a z drugiej – napotyka presję związaną z opóźnieniem, to czy jedyną drogą jest wdrożenie tak kontrowersyjnego projektu? Czy jest jakaś droga środka?

Nie bardzo rozumiem, co miałoby być „drogą środka”. Należy po prostu dobrze rozważyć te interesy i popracować nad projektem tak, by nie stwarzał tych niepewności i zagrożeń. Raczej nie powinniśmy się spieszyć. To dotyczy bardzo poważnego składnika polskiej gospodarki, bo tych sektorów ważnych i krytycznych jest bardzo dużo, a regulacja obejmuje szeroki zakres podmiotów.

Mamy po prostu więcej do stracenia, jeżeli postawimy na taki nieprzemyślany projekt, niż jak jeszcze zaczekamy, nawet narażając się na sankcje. Podkreślam, ten projekt jest jakoś przemyślany, ale te obszary ryzyka, o których mówimy, należy moim zdaniem jeszcze raz ocenić.

Czy możliwe jest, że Trybunał Sprawiedliwości UE uzna niektóre przepisy polskiej implementacji za nieproporcjonalne lub sprzeczne z zasadami rynku wewnętrznego? Jakie mogą być tego konsekwencje?

Oczywiście, że tak. Konsekwencje będą dwojakie. Po pierwsze, konkretne podmioty będą skarżyć te przepisy, mówiąc o braku proporcjonalności i domagając się odszkodowań za poniesione szkody. Po drugie, i to jest bardzo groźne, polska gospodarka moim zdaniem natychmiast traci, ponieważ mamy tu do czynienia z czymś, co nazywa się arbitrażem technologicznym.

W tym kontekście, czy uważa pan, że w obecnym kształcie projekt dotyczący Krajowego Systemu Cyberbezpieczeństwa może zostać uznany przez Komisję Europejską za wykonanie obowiązków z dyrektywy NIS2, ale z ryzykiem zaskarżenia przez podmioty prywatne, np. dostawców wykluczonych z rynku, przed sądami krajowymi lub TSUE?

Może tak być. Myślę, że Komisja za chwilę dostrzeże ten istotny problem w odniesieniu do zasady Cassis de Dijon. Ale ona musi mieć najpierw dobry obraz tego, co sama nabroiła. Trzeba podkreślić, że ten minimalny standard harmonizacji, który Komisja ustaliła, nie jest dobry. Powinna była dbać o większą harmonizację. Cały problem arbitrażu technologicznego, o którym mówimy, wynika po prostu z takiego ustawienia standardów przez Komisję. Ona sama przyczyniła się do tego problemu.

Wspomniał pan o arbitrażu technologicznym. Czy mógłby pan rozwinąć, z jakimi konsekwencjami należy się liczyć z powodu nadmiernych regulacji w jednym kraju członkowskim?

To będzie skutkować odpływem kapitału. Polski producent będzie musiał korzystać z technologii pochodzących od dostawców, co do których nie ma tego wysokiego ryzyka. Kupimy więc technologię francuską, amerykańską czy niemiecką. W tym samym czasie podmioty, które operują w tamtych państwach, np. we Francji, będą mogły sobie kupić albo technologię francuską, albo – i tu jest sedno – technologię z państwa trzeciego, jeśli będzie tańsza i efektywna. Będą miały większy wybór. Do tego sprzedawana nam przez nie technologia będzie droższa. Polak tego wyboru mieć nie będzie. W rezultacie polski przedsiębiorca będzie w tym zakresie upośledzony. To jest istota arbitrażu.

Jakie poprawki lub mechanizmy ochronne mogłyby, pana zdaniem, przywrócić równowagę między bezpieczeństwem narodowym a zasadami prawa unijnego w tym projekcie?

Ta sytuacja jest do naprawy. Po pierwsze, trzeba by było przejrzeć, czy zastosowanie całego mechanizmu 5G Toolbox jest na pewno wymagane wobec wszystkich 18 sektorów. Po drugie, należy wprowadzić mechanizm proporcjonalności. Powinniśmy chronić swój rynek i gospodarkę przed zakłóceniami wynikającymi z technologii, która nie budzi zaufania. Ale róbmy to wtedy, kiedy mamy do czynienia, po pierwsze, z cyberincydentem, a po drugie, z innymi cyberzagrożeniami. Stosownie do tych zagrożeń powinniśmy przewidzieć określony, etapowy sposób postępowania, a nie tak, że z góry mówimy: „właściwie to nic od ciebie nie chcemy, bo ty jesteś jakiś i powodujesz zagrożenie”.

Czy w pana ocenie OSR (ocena skutków regulacji) przewiduje wszystkie koszty wdrożenia ustawy o KSC?

Absolutnie nie. To wiem, że tak powiem, ze słuchu rynkowego. Już nie mówiąc o tym, że OSR w ogóle nie szacuje ryzyka naruszeniowego w kontekście zasady Cassis de Dijon.

Gdzie widzi pan największe niedociągnięcia w tym szacowaniu kosztów? Czego zapomniano policzyć?

Największa luka jest w zakresie kosztów rezygnacji z technologii. Nie ma w OSR żadnego wyraźnego szacunku, kto, kiedy, gdzie i w jakim zakresie będzie musiał wymieniać technologię. To jest przecież fundamentalna rzecz.

PO