Punktuje też wady projektu nowelizacji ustawy o KSC: od nierealnych terminów wdrożeń, przez brak rekompensat za wymianę sprzętu, aż po procedury uznawania dostawców za ryzykownych, które porównuje do „sądu kapturowego”

Dziś na sejmowej Komisji Cyfryzacji, Innowacji i Nowoczesnych Technologii zostanie rozpatrzony projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa. Wynika z niego, że polska lista sektorów „kluczowych” i „ważnych” jest szersza niż ta wymagana przez dyrektywę NIS2. Dlaczego polski rząd chce objąć rygorystycznymi przepisami więcej firm, niż wymaga tego od UE, i dlaczego pojawiają się głosy sprzeciwu dotyczące liczby podmiotów?

Być może działanie rządu, również poprzedniego, który rozpoczął prace nad projektem, jest oparte na założeniu, że objęcie systemem jak największej liczby podmiotów spowoduje ogólny wzrost bezpieczeństwa. Jest to założenie błędne, ignorujące zasadę proporcjonalności. Projektowane regulacje nakładają na przedsiębiorców poważne obowiązki, które będą wyzwaniem finansowym i organizacyjnym. Powinny one obejmować tylko te podmioty, które są kluczowe dla cyberbezpieczeństwa państwa, i tylko te, które są w stanie tym obowiązkom sprostać bez istotnego uszczerbku. Objęcie systemem firm niepełniących ważnej roli w systemie to niepotrzebne obciążenie polskiej gospodarki i realna groźba spadku konkurencyjności. Polskie przedsiębiorstwa będą musiały bowiem ponosić nakłady tam, gdzie nie będą musiały tego robić na przykład firmy niemieckie, czeskie czy belgijskie. Przypomnę, że w Niemczech regulacje obejmą mniej niż 30 tys. podmiotów, w Hiszpani – 12 tys., zaś we Francji – 10 tys. W Polsce będzie to co najmniej 39 tys., co w zestawieniu z przywołanymi krajami UE dobitnie pokazuje skalę nadregulacji.

Czyli do jakich podmiotów powinny się ograniczać?

Zgodnie z zasadą UE+0, czyli niewprowadzania przepisów ponad te, które są wymagane przez prawo Unii, zakres stosowania ustawy powinno się zredukować wyłącznie do sektorów i podsektorów wymienionych w załącznikach do dyrektywy NIS2, a status podmiotu kluczowego lub ważnego powinien być ustalany jedynie przy użyciu kryteriów stosowanych na potrzeby dyrektywy, czyli określone w jej artykułach 2 i 3. Przykładem nadregulacji może być objęcie projektem ustawy hurtowni farmaceutycznych oraz przedsiębiorców zajmujących się wydobyciem kopalin – takie podsektory nie zostały wymienione w dyrektywie. Podobnie kształtuje się kwestia objęcia zakresem ustawy gmin, albowiem dyrektywa obejmuje swoim zakresem jedynie podmioty administracji publicznej na szczeblu regionalnym.

Postuluje pan wprowadzenie okresu karencji, aby nie karać firm od razu po wejściu ustawy w życie. Dlaczego mali i średni przedsiębiorcy boją się kar, a nie dostrzegają w ustawie impulsu do rozwoju systemów ochrony?

Doświadczenia polskiego przedsiębiorcy w kontaktach z organami regulacyjnymi są głównie negatywne. Dość wskazać przykład implementacji dyrektywy dotyczącej wykorzystywania danych dotyczących przelotu pasażera (PNR), gdzie organy, kilka lat po wdrożeniu przepisów, nagle zaczęły nakładać kary za zaległe przewinienia, tuż przed upływem terminu przedawnienia. Ustawodawca nie może reformować systemu jedynie za pomocą kija. Niestety, projektowana nowelizacja nie zawiera żadnej marchewki w postaci zachęt dla przedsiębiorców. Stąd całkiem uzasadniona obawa, że organy będą ich surowo karać nawet za błahostki wywołane pośpiesznym dostosowaniem się do nowej rzeczywistości prawnej. Dlatego potrzebują twardej, ustawowej gwarancji, że władze uszanują ich „prawo do błędu” i nie zastawią na nich pułapki, która zostanie wyzyskana do łatania budżetu karami finansowymi.

Rejestracja do lekarza powinna być na dzisiaj [STAN ZDROWIA]
Rejestracja do lekarza powinna być na dzisiaj [STAN ZDROWIA]

Zobacz również
Jeśli państwo uzna dostawcę za DWR, będzie trzeba, mówiąc wprost, pozbyć się jego sprzętu i kupić nowy. W projekcie nowelizacji nie ma mowy o odszkodowaniach. Czy to oznacza, że państwo przerzuca koszty cyberbezpieczeństwa na prywatnych przedsiębiorców?

Dokładnie tak. Jeżeli organ uzna, że dany dostawca sprzętu albo oprogramowania jest „ryzykowny”, to wszystkie podmioty w systemie – przypominam, że będzie to co najmniej 40 tys. jednostek, głównie prywatnych – będą musiały ten sprzęt albo oprogramowanie wymienić na własny koszt. To jest skutek równoważny z wywłaszczeniem bez odszkodowania, choć wywłaszczenie ma być odroczone o kilka lat. To rozwiązanie wprost sprzeczne z Konstytucją RP. Co gorsza, przedsiębiorcy nie będą mieli żadnej ścieżki prawnej, która pozwoliłaby na podważenie obowiązku wycofania danego komponentu. Nie będą mieli statusu strony w postępowaniu administracyjnym prowadzącym do wydania decyzji DWR. Obowiązek wycofania sprzętu będzie obowiązkiem prawnym, a zatem przedsiębiorcy nie będą mogli dochodzić zwrotu kosztów od Skarbu Państwa również na drodze cywilnej. Można się spodziewać, że będą próbować zakwestionować zgodność regulacji ustawowych z normami wyższego rzędu. Z uwagi na kryzys wokół Trybunału Konstytucyjnego przedsiębiorcy będą zapewne poszukiwać sprawiedliwości przed Trybunałem Sprawiedliwości UE lub Europejskim Trybunałem Praw Człowieka, choć oczywiście państwo będzie bronić się, odwołując się do względów bezpieczeństwa publicznego.

Rząd daje firmom 6 miesięcy na samoidentyfikację i dostosowanie się do nowych norm, a tylko miesiąc na wejście ustawy w życie. Czy w obecnej sytuacji rynkowej i kadrowej te terminy są wykonalne?

Moim zdaniem są to terminy absolutnie nierealne. Nowelizacja ma nakładać na przedsiębiorców szereg nowych obowiązków, przede wszystkim w zakresie wdrożenia pełnego systemu zarządzania cyberbezpieczeństwem. To potężne wyzwanie techniczne, organizacyjne, prawne i przede wszystkim finansowe, zwłaszcza dla mniejszych podmiotów. Należy pamiętać, że krótki czas na wdrożenie regulacji spowoduje gwałtowny skok popytu na usługi informatyczne i doradcze, a zatem również wzrost ich cen. Możemy się więc spodziewać, że dostosowanie się do nowej ustawy będzie procesem tak karkołomnym, jak i kosztochłonnym. W innych krajach wyznaczono sensowne, dłuższe terminy na wdrożenie, na przykład na Litwie wynosi on 12 miesięcy na wdrożenie środków organizacyjnych i 24 – dla technicznych. Prawodawca podnosi, że i tak jesteśmy już opóźnieni we wdrożeniu dyrektywy NIS2 i nie ma przestrzeni na wyznaczenie dłuższych terminów. Tylko dlaczego skutki opieszałego działania władz państwa mają zostać przerzucone na obywateli? Ponadto nadzwyczajna liczba uwag, komentarzy i wątpliwości zgłaszanych przez ekspertów do coraz to kolejnych wersji projektu daje wyobrażenie o tym, że nowelizowana materia jest szczególnie skomplikowana. Jeżeli przez ostatnie kilka lat kolejne rządy mają problem z zaprojektowaniem przepisów, które nie budziłyby wątpliwości interpretacyjnych, to jak zwykli przedsiębiorcy mają się do nich dostosować w kilka miesięcy?

Sugeruje się, by skutki decyzji o dostawcy wysokiego ryzyka ograniczyć głównie do technologii 5G. Dlaczego rozszerzanie tych obostrzeń na inne sektory jest błędem?

To zalecenie europejskiej grupy współpracy NIS. To ona, w dokumencie Toolbox 5G, zasugerowała stosowanie takiego rozwiązania właśnie w celu zapewnienia bezpieczeństwa sieci 5G. Objęcie instrumentem osiemnastu sektorów zamiast wycinka jednego będzie oczywistą nadregulacją, którą trudno uzasadnić rzeczywistymi względami bezpieczeństwa. Jak wytłumaczyć, że obowiązek wymiany oprogramowania lub sprzętu elektronicznego będzie obejmować na przykład hurtownika jabłek albo producenta gokartów? Czy oni naprawdę są aż tak ważni z punktu widzenia cyberobronności? Należy dostrzec, że jedynie Polska planuje przyjęcie takich rozwiązań, a przecież one dodatkowo osłabią pozycję naszych firm. Wszakże wszystkie wyeliminowane komponenty będzie trzeba szybko zastąpić innymi. Podmioty kluczowe i ważne będą musiały ich poszukiwać na innych rynkach, a wzmożony i nagły popyt wpłynie na ceny. Przedsiębiorcy z innych krajów UE, działający w tych samych sektorach, nie będą mieli w ogóle takich problemów na głowie.

Wielokrotnie podkreślał pan, że projekt nowelizacji jest też niezgodny z Konstytucją RP. Dlaczego?

Problemów z konstytucyjnością projektu jest sporo, poczynając od zbyt krótkiej vacatio legis. Jednak najwięcej dotyczy procedury uznawania dostawcy za DWR. Projektowana procedura to w zasadzie sąd kapturowy, w którym dostawca sprzętu lub oprogramowania może być zawiadomiony o postępowaniu przez obwieszczenie w internecie. To i tak nie będzie miało dla niego większego znaczenia, bo jednoinstancyjne postępowanie będzie w zasadzie niejawne, tak samo jak uzasadnienie ewentualnego wyroku sądu administracyjnego. Przedsiębiorcy nie będą przysługiwały żadne realne narzędzia obrony przed zarzutem bycia dostawcą „ryzykownym”. Decydować o tym będzie ciało złożone głównie z polityków. Dostawca nie będzie mógł też przyjąć żadnych środków naprawczych. Tymczasem skutki wydania natychmiast wykonalnej decyzji będą oddziaływały nie tylko na jej adresata, ale wszystkich użytkowników dostarczanych przez niego komponentów, czyli podmiotów kluczowych i ważnych. W tym zakresie projekt czyni iluzorycznym prawo do sądu oraz godzi m.in. w zasady zaufania obywateli do państwa, ochrony praw nabytych oraz proporcjonalności ograniczeń praw i wolności, zwłaszcza swobody działalności gospodarczej i prawa własności. Konstytucja w artykule 31 stanowi, że ograniczenia w zakresie korzystania z wolności i praw mogą być ustanawiane tylko wtedy, gdy są konieczne m.in. dla bezpieczeństwa lub porządku publicznego. Projektowane przepisy pozwalają na stosowanie środków ingerujących w te prawa i wolności również wtedy, gdy nie są one niezbędne. Tymczasem te same rezultaty można osiągnąć dużo mniej drastycznymi środkami.

Pamiętajmy wreszcie, że demokracja rządzi się swoimi prawami. Instrument prawny, który pozwala na eliminowanie przedsiębiorców z rynku bez możliwości efektywnej kontroli decyzji, jeżeli znajdzie się w nieodpowiedzialnych rękach, może zrobić dla bezpieczeństwa państwa więcej złego niż dobrego.