prof. dr hab. Marek Chmaj, radca prawny, specjalista w zakresie prawa konstytucyjnego oraz prawa administracyjnego, w latach 2019-2023 był zastępcą przewodniczącego Trybunału Stanu
ikona lupy />
prof. dr hab. Marek Chmaj, radca prawny, specjalista w zakresie prawa konstytucyjnego oraz prawa administracyjnego, w latach 2019-2023 był zastępcą przewodniczącego Trybunału Stanu / Materiały prasowe

Mimo licznych ostrzeżeń pochodzących od przedstawicieli nauki i zainteresowanych branż z projektu nie usunięto przepisów budzących największe kontrowersje. Nowelizacja dalej powiela rozwiązania zaprojektowane jeszcze przez poprzednią władzę – rozwiązania, które były wówczas ostro krytykowane przez ówczesną opozycję jako rażąco naruszające prawa jednostek. Nie jest jasne, jaki proces sprawił, że oczywiście niekonstytucyjne konstrukty prawne nagle „stały się” niezbędne i niepodlegające zmianie. Rządzący zdają się zapominać, że przy ich stosowaniu bezpieczeństwo obywateli zależy od tego, kto aktualnie jest przy władzy. Prawo powinno zaś chronić obywateli w każdych okolicznościach.

Szeroki zasięg i liczne obowiązki

Pierwotnie zakładano, że systemem zostanie objęte prawie 40 tys. nowych podmiotów (dzielonych na „kluczowe” i „ważne”), głównie średnich i dużych przedsiębiorców działających w różnych branżach – od przetwórstwa spożywczego i odprowadzania ścieków, przez produkcję przyczep samochodowych, aż do energetyki jądrowej i komunikacji elektronicznej. W toku dalszych prac okazało się, że Ministerstwo Cyfryzacji nie doszacowało – obecnie wskazuje się, że zakresem ustawy może być objętych nawet 80 tys. podmiotów. Cały czas padają pytania o sens włączenia do systemu tak wielu przedsiębiorców, zwłaszcza z branż luźno powiązanych z kwestiami krajowego bezpieczeństwa. Sejm ma tutaj pole do działania i poprawienia projektu przez odchudzenie kręgu adresatów ustawy. Dyrektywa NIS 2 zawiera węższe katalogi sektorów kluczowych i ważnych, a obecny kształt projektu należy traktować jako nadregulację.

Projekt nakłada na podmioty kluczowe i ważne wiele obowiązków: poczynając od samoidentyfikacji, czy w ogóle podlegają przepisom ustawy, przez wdrożenie zaawansowanych systemów zarządzania bezpieczeństwem informacji, zatrudnienie osób na nowych stanowiskach i stałe monitorowanie sposobu wykonania obowiązków ustawowych, aż po poddawanie się audytom i stosowanie się do nadzwyczajnych środków nadzorczych pod groźbą wysokich kar finansowych (o górnym pułapie 100 mln zł!). Zwłaszcza osobliwe instrumenty nadzorcze (w tym nieznane polskiemu prawu „polecenia zabezpieczające”) mogą głęboko ingerować w funkcjonowanie przedsiębiorców, m.in. przez czasowe odbieranie im koncesji. Jednocześnie projekt w znikomym stopniu różnicuje zakresy obowiązków ciążących na podmiotach kluczowych i ważnych. Nowe ciężary są na tyle szczegółowe i wyśrubowane, że nie dają pola na ich proporcjonalne dostosowanie do skali danego przedsiębiorcy. Ustawodawca powinien zastosować bardziej zniuansowane podejście i wymagać od mniejszych podmiotów tyle, ile są w stanie racjonalnie udźwignąć. W przeciwnym razie wdrożenie ustawy może skutkować trudnościami finansowymi i paraliżem organizacyjnym.

Kontrowersje w kwestii dostawców

Choć wydawałoby się, że alarm podniesiony przez konstytucjonalistów był wystarczająco donośny, wniesiony do Sejmu projekt wciąż reguluje procedurę uznawania za dostawców wysokiego ryzyka (HRV) z pominięciem fundamentalnych gwarancji ochrony praw jednostki. Jednoinstancyjna, natychmiast wykonalna decyzja uznająca przedsiębiorcę za HRV ma być wydawana po zasięgnięciu niejawnej opinii gremium złożonego z podmiotów wyłonionych według klucza politycznego (ministrów, szefów służb). Postępowanie, w którym wyłączono możliwość udziału innych zainteresowanych stron, może być zainicjowane zawiadomieniem opublikowanym na stronie internetowej BIP, bez doręczenia go stronie. Decyzja – również w zasadzie niejawna w zakresie uzasadnienia – podlegać będzie zaskarżeniu do sądu, który rozpozna skargę na posiedzeniu – niejawnym – i dostarczy stronie samą sentencję wyroku, bez uzasadnienia – oczywiście, niejawnego. Trudno zliczyć, jak wiele konstytucyjnych i konwencyjnych norm zostaje tutaj naruszonych. Jeszcze trudniejsze może być obliczenie sumy odszkodowań, których domagać się będą poszkodowani decyzją – nie tylko dostawcy sprzętu i usług, ale przede wszystkim polscy przedsiębiorcy będący podmiotami kluczowymi i ważnymi, którzy będą musieli ten sprzęt i produkty wycofać.

Projektodawca, implementując instrument zaproponowany w akcie soft-law, zawierającym rekomendacje co do środków ograniczających ryzyka w obszarze sieci 5G (tzw. Toolbox 5G), dopuścił się nadregulacji i przewidział, że decyzja będzie miała wpływ na wszystkie podmioty kluczowe i ważne. Tymczasem zasada proporcjonalności nakazuje, aby nie rozciągać negatywnych skutków decyzji na te sektory gospodarki, w których nie jest to absolutnie konieczne. Z tych przyczyn uznanie dostawcy za dostawcę wysokiego ryzyka nie powinno wpływać na funkcjonowanie przedsiębiorców w innych branżach niż ściśle związane z sieciami 5G, telekomunikacją i cyberbezpieczeństwem.

Nauka i biznes mogą pchnąć polską gospodarkę na nowe tory
Nauka i biznes mogą pchnąć polską gospodarkę na nowe tory

Zobacz również

Ponadto projektodawca powinien mieć świadomość, że wycofanie z rynku popularnych komponentów skutkować będzie spadkiem konkurencyjności, a przez to – wzrostem cen sprzętu i oprogramowania. Podmioty kluczowe i ważne będą nie tylko musiały ponieść koszty decyzji, na której wydanie nie będą miały wpływu, ale będą to koszty dodatkowo zwiększone. Jednocześnie branża sygnalizuje, że terminy na wymianę komponentów zostały przyjęte przez projektodawcę arbitralnie, albowiem cykle życia produktów są różne i często dłuższe niż ustawowy termin na wymianę. Ustawodawca, tak radykalnie ingerując w prawo własności i swobodę prowadzenia działalności przez przedsiębiorców, powinien nie tylko wydłużyć albo zniuansować termin wymiany produktów, ale – przede wszystkim – zrekompensować koszty związane z taką operacją.

Co z dobrą legislacją

Choć projekt ma nakładać na adresatów obowiązki wdrożenia bardzo poważnych i kosztochłonnych zmian organizacyjnych, bez wsparcia merytorycznego i finansowego, to vacatio legis wynosić ma tylko miesiąc, zaś czas na wdrożenie zmian – sześć miesięcy. To okres zdecydowanie zbyt krótki, aby przedsiębiorcy i jednostki samorządu terytorialnego mogli należycie i bez uszczerbku wdrożyć się w nowe ramy prawne – zwłaszcza w zestawieniu z projektowanymi drakońskimi karami finansowymi za uchybienie przepisom. Inne kraje, wdrażając dyrektywę, przyjęły zdecydowanie dłuższe okresy przystosowawcze, co najmniej 12-miesięczne.

Projekt nakłada na podmioty kluczowe i ważne szereg obowiązków: poczynając od samoidentyfikacji, czy w ogóle podlegają przepisom ustawy, przez wdrożenie zaawansowanych systemów zarządzania bezpieczeństwem informacji, zatrudnienie osób na nowych stanowiskach i stałe monitorowanie sposobu wykonania obowiązków ustawowych, aż po poddawanie się audytom i stosowanie się do nadzwyczajnych środków nadzorczych pod groźbą wysokich kar finansowych (o górnym pułapie 100 milionów złotych!)

Można odnieść wrażenie, że ustawodawca zamyka oczy na oczywiste wady projektowanej nowelizacji, a uwagi zgłaszane przez ekspertów i przedstawicieli branży traktuje jako zbędną gadaninę. Takie zachowanie wypacza sens procedury konsultacji projektowanego prawa, stanowiącej fundament dobrej legislacji. W dobie zwiększonego zagrożenia cyberterroryzmem i wrogimi działaniami hybrydowymi nie trzeba szukać poparcia dla działań mających na celu zwiększenie wspólnego bezpieczeństwa. Wsłuchanie się w głosy fachowców pozwoli natomiast na uniknięcie błędów, które mogą się realnie zemścić na polskiej gospodarce. Odwrócenie negatywnych skutków sprzecznych z konstytucją regulacji będzie nie tylko trudne, ale też kosztowne. Największym wyzwaniem będzie jednak zahamowanie tendencji do uzbrajania władzy wykonawczej w instrumenty ingerencji w prawa jednostek, które nie podlegają realnej kontroli.