Jak ocenia pan dotychczasowy przebieg prac nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa?
Bartłomiej Pejo, przewodniczący sejmowej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii
ikona lupy />
Bartłomiej Pejo, przewodniczący sejmowej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii / Materiały prasowe

Komisja, którą mam zaszczyt prowadzić, to miejsce naprawdę merytorycznej dyskusji i debaty nad cyfrowym rozwojem Polski. Przez ostatnie dwa lata nasza komisja była jednym z niewielu miejsc konstruktywnej dyskusji w parlamencie. Jednak nawet naszej komisji nie omijają kontrowersyjne projekty ustaw. Tak było z wdrażaniem DSA, gdy toczyła się debata o wolności słowa. Tak jest też z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Brak konstruktywnego dialogu w sprawie kształtu ustawy wdrażającej DSA doprowadził finalnie do zawetowania ustawy przez Prezydenta RP. W tym wypadku też zdaje się, że rząd pozostaje głuchy na słowa krytyki i chce przepchnąć ustawę, która sankcjonuje arbitralną rolę administracji rządowej w ocenie ryzyka związanego z cyberbezpieczeństwem. Uzasadnienie, jak zwykle, jest emocjonalne, oparte na trudnym położeniu geopolitycznym Polski i zagrożeniu atakami, ale nikt nie chce słuchać, że w związku z tym tworzymy okazje do nadużyć czy zagrożenie dla wykorzystania innowacyjnych technologii z zagranicy.

W trakcie prac w Komisji wniesiono poprawki do nowelizacji. Czego dotyczyły?

Zgłoszono wiele poprawek, szereg z nich wniosła także moja formacja, Konfederacja. Nie było zgody większości rządowej na mój wniosek o wysłuchanie publiczne. Udało się doprowadzić do tego w przypadku wdrażania rozporządzenia DSA, skończyło się to spotkaniem wielu środowisk i ważną wymianą zdań. Składałem poprawkę, która zapewniałaby stosowanie kodeksu postępowania administracyjnego w postępowaniu w sprawie uznania za dostawcę wysokiego ryzyka. Obowiązujące obecnie przepisy dążą do wyłącznie uznaniowego kwalifikowania podmiotów jako takich dostawców. Postępowanie administracyjne daje narzędzia do kontroli wydawanych decyzji i możliwości odwołania w przypadku decyzji krzywdzących konkretne podmioty.

Chcieliśmy także zapewnienia możliwości wniesienia skargi na opinię Kolegium ds. cyberbezpieczeństwa, która jest przed podjęciem decyzji wydawana dla ministra. Dzięki temu powody, dla których ktoś zostanie zakwalifikowany jako dostawca wysokiego ryzyka będą mogły zostać zakwestionowane. To normalna procedura administracyjna, z której rezygnuje ustawodawca w tym przypadku.

Składaliśmy także poprawki dotyczące dookreślenia katalogu podmiotów, których powinien dotyczyć obowiązek wycofywania sprzętu i oprogramowania dostawców wysokiego ryzyka z użytkowania. Powinno to dotyczyć sieci telekomunikacyjnej 5G i to właśnie wyłącznie sprzętu oraz oprogramowania, które pełni w niej funkcje krytyczne.

Generalnie chcemy ograniczenia arbitralności decyzji ministra i stoimy tu po stronie praw prywatnych podmiotów.

Ministerstwo Cyfryzacji twierdzi, że nowelizacja ustawy o KSC była najlepiej skonsultowaną ustawą w historii. Przedsiębiorcy alarmują, że ich kluczowe postulaty zostały zignorowane. Jak pan skomentuje ten rozdźwięk?

Ministerstwo raczy żartować. Dlatego właśnie domagałem się na komisji wysłuchania publicznego nowelizacji. Ja nie dostrzegam tych szeroko zakrojonych konsultacji. Uwagi przedsiębiorców są bardzo cenne i kluczowe przy tak ważnej ustawie. Dobrze byłoby, gdyby w resorcie ktoś podszedł do tego głosu na poważnie i uwzględnił tych, których przepisy będą realnie dotyczyć.

To tworzenie zasłony dymnej mającej przysłonić krytykę proponowanych rozwiązań. Zamiast dialogu, który mierzy się z argumentami i wątpliwościami przedsiębiorców, rząd woli uniknąć dyskusji i przejść do wdrażania przepisów. To kompletnie wbrew zdrowym zasadom parlamentaryzmu. Parlament jest od dyskusji, zgłaszania wątpliwości i pracy. Nam uniemożliwia się nawet wysłuchanie publiczne oraz dialog z osobami, których przepisy będą bezpośrednio dotyczyć. Tak się nie robi.

W jakim zakresie udało się wypracować kompromis? Rynek dostrzegł przedłużenie terminu na wdrożenie nowych obowiązków z 6 do 12 miesięcy. Czy coś jeszcze zostało zmienione?

Przedłużenie terminu wejścia nowych obowiązków w życie zdaje się być „listkiem figowym”, jedynym, w czym udało się zmiękczyć zatwardziałość rządzących. Tych zmian potrzeba znacznie więcej, bo proponowane regulacje są znacznie bardziej rozbudowane niż wdrażana dyrektywa NIS2. Potrzeba na przykład prawidłowego określenia katalogu podmiotów, których powinien dotyczyć obowiązek wycofywania sprzętu i oprogramowania dostawców wysokiego ryzyka. Takimi podmiotami powinni być jedynie operatorzy sieci telekomunikacyjnej 5G, ze względu na jej właściwości techniczne i wrażliwość na relacje z dostawcami. Nie tylko w przypadku cyberbezpieczeństwa, ale generalnie w przeregulowanej Europie standardem powinno być przyjmowanie zasady „prawo UE+0”. Zresztą to rozwiązanie popierał Rafał Trzaskowski w zeszłorocznej kampanii prezydenckiej. Niestety zarówno w przypadku implementacji DSA, jak i teraz ta zasada jest łamana.

Ustawa wprowadza szereg zabezpieczeń przed cyberzagrożeniami dla polskiej gospodarki. Czy powinny być jednakowe dla wszystkich sektorów?

Oczywiście w dobie coraz powszechniejszych cyberataków i ataków hybrydowych ze Wschodu potrzebujemy nowoczesnego podejścia do cyberbezpieczeństwa. Dziś paraliż państwa z wykorzystaniem cyberataku jest możliwy i jest dla nas zagrożeniem. Ale oczywiście nie może być tak, że prewencja uniemożliwi normalne życie. Stopień zabezpieczeń i obowiązków powinien być zróżnicowany pod względem wagi dla państwa oraz prawdopodobieństwa ataku. Regulowanie tak samo urzędu gminy i infrastruktury krytycznej to pójście na łatwiznę, które ma jednak konsekwencje dla obywateli. Dookreślenie regulacji i dostosowanie ich do konkretnych sytuacji jest kluczowe w utrzymaniu balansu między bezpieczeństwem a sprawnością działania. W przypadku niektórych mniej ważnych miejsc mamy ograniczone zasoby ludzkie i finansowe. Dla nich obowiązki powinny być łagodniejsze, bo inaczej będą paraliżować normalną pracę. W krytycznych sektorach bezpieczeństwo jest z kolei zbyt ważne. Tam ochrona musi być znacznie bardziej ścisła. Tak należałoby to regulować.

Czy w pana ocenie proces legislacyjny można uznać za transparentny?

To nie był transparentny proces. Słyszymy o tym, że ustawa była konsultowana, ale na wysłuchanie publiczne nie ma zgody. A tyle nam obiecywano, gdy koalicja przejmowała władzę. Miało skończyć się przepychanie ustaw nad głowami obywateli, miało być w końcu demokratycznie i obywatelsko. Wydaje się, że w pogoni za kolejnymi kompetencjami państwa ofiarą stało się wysłuchanie samych zainteresowanych, bo rząd spodziewa się krytyki. To wielka i ważna ustawa, a nie projekt jak każdy inny. Powinniśmy rozmawiać także po to, by budować zaufanie podmiotów gospodarczych do państwa, którego szalenie obecnie brakuje.

Dyskusja w trakcie prac komisji między stroną rządową oraz społeczną na temat dostawców wysokiego ryzyka była żywiołowa. Jakie kwestie budzą największe emocje?

Największą kontrowersją jest arbitralność i uznaniowość decyzji ministra w sprawie nadania statusu dostawcy wysokiego ryzyka. Kolejnym zagrożeniem jest fakt, że urzędnicy będą kierować się wedle tych przepisów także kryteriami, które nie mają żadnego związku z funkcjonalnością i bezpieczeństwem danej technologii. Ma ona także być oceniana pod kątem państwa pochodzenia, a więc technologia pochodząca z państw „przyjaznych” może zostać dopuszczona nawet, jeśli stwarza jakieś zagrożenie dla bezpieczeństwa państwa. To wraz z przywołaną przeze mnie arbitralną decyzją urzędniczą i wydawaniem decyzji o natychmiastowej wykonalności tworzy pole do nadużyć. Te rozwiązania gigantycznie obciążają polskie przedsiębiorstwa, nikt nie przewiduje przecież dla nich rekompensaty.

W przestrzeni publicznej pojawiają się głosy, że Polska będzie miała najostrzejsze przepisy w całej UE. Ministerstwo Cyfryzacji twierdzi natomiast, że musimy wdrożyć te obowiązki, gdyż wynikają bezpośrednio z unijnej dyrektywy NIS2. Jak pan to ocenia?

Przykry jest fakt, że do tej nadregulacji wykorzystuje się PR-owo trudne położenie geopolityczne Polski jako państwa „frontowego” w Sojuszu Północnoatlantyckim. Znowu bezpieczeństwo jest cynicznie wykorzystywane do uzasadnienia nadmiernych kompetencji państwa względem obywateli. Przeregulowanie gospodarki nie tylko nie da nam bezpieczeństwa (bo wiara w skuteczność i roztropne decyzje administracji nie potwierdza się w rzeczywistości), ale także wpłynie realnie na rozwój technologii w Polsce, który jest nam potrzebny. Każde przeregulowanie oznacza mniejszą efektywność, więcej czasu poświęconego na wypełnianie ustawowych obowiązków i w związku z tym mniejsze efekty pracy, mniejszy zarobek. Każda dodatkowa regulacja względem naszych konkurentów europejskich oznacza także, że mniej będzie opłacało się wykonywać daną aktywność w Polsce. Każda taka mała nadregulacja łącznie w gospodarce prowadzi do zmniejszenia konkurencyjności Polski i większych kosztów działalności firm, a w tym wypadku może nawet prowadzić do uniemożliwienia korzystania z jakiejś technologii, która będzie wykorzystywana na Zachodzie.

Czy widzi pan szanse na pogodzenie stron w ewentualnych dalszych pracach Komisji CNT w Sejmie?

Tak, zawsze jest na to czas. Zresztą wielokrotnie udawało się ponad podziałami w naszej komisji wypracowywać dobre rozwiązania. Wiem, że w resorcie jest wielu ludzi, którzy naprawdę nie kierują się plemiennym podziałem partyjnym, tylko chcą stworzyć dobre prawo. W przypadku DSA nie udało się porozumieć i finalnie projekt nie wejdzie w życie. Oby rząd nie popełnił drugi raz tego błędu.

Jakie pana zdaniem powinny zostać wprowadzone rozwiązania w zakresie cyberbezpieczeństwa, które byłyby akceptowalne i niekontrowersyjne dla przedsiębiorców?

Podstawą jest możliwość stosowania kodeksu postępowania administracyjnego, by istniały dla przedsiębiorców procedury odwoławcze i sądowa kontrola powodów, dla których ich dostawca lub oni sami zostali zakwalifikowani jako dostawca wysokiego ryzyka. To punkt wyjścia do dalszych zmian.

PT