Nie trzeba nikogo przekonywać, że bezpieczeństwo wewnętrzne i zewnętrzne Polski oraz całej Unii Europejskiej to dziś zagadnienia priorytetowe. Te wartości mogą stanowić podstawę do ingerencji – nieraz bardzo głębokiej – w konstytucyjne prawa i wolności, jednakże powinno to następować zawsze z uwzględnieniem zasady proporcjonalności. Projektowana ustawa ma implementować dyrektywę NIS2, określającą środki, które powinny przyjąć państwa członkowskie w celu osiągnięcie wysokiego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Projektodawca przewiduje wprowadzenie istotnych zmian w ustawie KSC, polegających m.in. na rozszerzeniu kręgu podmiotów objętych nadzorem właściwych organów oraz – co równie istotne – wprowadzeniem nowych instrumentów nadzoru. Co ciekawe, zaprezentowane rozwiązania w dużej części powielają propozycje legislacyjne sformułowane jeszcze przez rząd sformowany przez Sejm poprzedniej kadencji – w tym te, które były przedmiotem ostrej krytyki ówczesnej opozycji parlamentarnej.

Blisko 40 tys. przedsiębiorców zapłaci za usunięcie sprzętu

Projekt przewiduje wprowadzenie nieznanej prawu polskiemu instytucji uznania, w drodze decyzji administracyjnej, dostawców sprzętu lub oprogramowania (dostawców tzw. produktów, usług i procesów ICT) za dostawców wysokiego ryzyka (projektowany rozdział 12a ustawy). Skutkiem takiej decyzji będzie wyłączenie możliwości nabywania wybranych produktów i usług od takich dostawców przede wszystkim przez tzw. podmioty kluczowe i podmioty ważne (adresatów obowiązków ustawy KSC – w sumie blisko 40 tysięcy podmiotów z sektora publicznego i prywatnego, funkcjonujących w różnych obszarach – nie tylko telekomunikacji czy energetyki, ale również ochrony zdrowia, odpadów itp.). Wskazane podmioty będą musiały również wycofać już posiadane produkty i usługi pochodzące od takiego dostawcy. Skutki decyzji będą jednakowe dla wszystkich, bez względu na stopień zagrożenia wywoływanego przez zakwestionowane produkty i usługi oraz ich roli w funkcjonowaniu podmiotu, ani znaczenia podmiotu dla cyberbezpieczeństwa.

Niejasny i niejawny proces orzekania o tzw. dostawcach wysokiego ryzyka

Projekt zakłada, że decyzja wydawana będzie przez ministra właściwego ds. informatyzacji, po przeprowadzeniu jednoinstancyjnego postępowania, w którym kluczową rolę odegrać ma opinia wydawana przez Kolegium do Spraw Cyberbezpieczeństwa – ciało doradcze niemające cech organu administracji publicznej. Sama opinia nie będzie podlegała możliwości zaskarżenia – można się spodziewać, że jej treść, a przynajmniej zasadnicza część uzasadnienia, nie będzie znana stronie postępowania (opinia obejmować będzie informacje z natury niejawne). Od decyzji ministra przysługiwać będzie bezpośrednio skarga do sądu administracyjnego, który będzie ją rozpatrywać na posiedzeniu niejawnym, zaś wyrok będzie doręczany stronie jedynie wyroku z tą częścią uzasadnienia, która nie zawiera informacji niejawnych. Do postępowań administracyjnych, oprócz dostawców, nie będą mogły dołączyć podmioty bezpośrednio zainteresowane rozstrzygnięciem (nabywcy sprzętu i oprogramowania, w tym zwł. podmioty kluczowe i ważne), ale jedynie przedsiębiorcy telekomunikacyjni legitymujący się odpowiednio wysokim przychodem. Projekt zakłada również osobliwe zasady doręczeń pism w sprawie. Przewiduje się, że w przypadku dostawców posiadających siedzibę poza terenem UE (a liczba takich podmiotów jest istotna – zwłaszcza pochodzących z rynku amerykańskiego oraz rynków azjatyckich), doręczenie zawiadomienia o wszczęciu postępowania następować będzie poprzez opublikowanie go na stronie Biuletynu Informacji Publicznej ministerstwa, bez wcześniejszej próby doręczenia drogą pocztową.

Nieproporcjonalność i brak zgodności z Konstytucją to zaledwie wierzchołek góry lodowej

Polskiemu prawu nieznane jest tak dalece idące ograniczenie konstytucyjnych praw i wolności. Nawet w postępowaniach na gruncie ustawy o ochronie informacji niejawnych, w których strony nie mają możliwości rzeczywistego odniesienia się do motywów rozstrzygnięcia, to przysługuje im prawo odwołania się do organu II instancji. Tymczasem projektowane przepisy ustawy KSC, które radykalnie limitują możliwość aktywnego udziału strony w postępowaniu oraz przyznając organom instrumenty pozwalające na wydawanie decyzji de facto uznaniowych (bo niepodlegających realnej kontroli), prowadzą do radykalnego ograniczenia konstytucyjnych prawa stron do zaskarżania decyzji administracyjnych oraz prawa do sądu, pozostając jednocześnie w kolizji z zasadą zaufania obywateli do państwa i stanowionego przez nie prawa. Brak uzasadnienia przez projektodawcę tak poważnych rozwiązań, w tym zwłaszcza nierozważenie możliwości zastosowania mechanizmów mniej ingerujących w prawa i wolności, świadczy o nieproporcjonalności ograniczeń oraz naruszeniu konstytucyjnych granic swobody wykonywania działalności gospodarczej dostawców produktów i usług. Należy też dostrzec, że brak zróżnicowania skutków decyzji w odniesieniu do różnych podmiotów prywatnych, korzystających z kwestionowanych komponentów, a które to skutki wyrażają się w zakazie nabywania określonych produktów i usług oraz nakazie wycofania się z korzystania z komponentów już nabytych, stanowi nieproporcjonalne, nieuzasadnione ograniczenie swobody prowadzenia działalności gospodarczej, swobody dysponowania własnością (w tym intelektualną) oraz zasady ochrony praw słusznie nabytych. W praktyce stosowanie projektowanych przepisów może być ponadto przeciwskuteczne, prowadząc do paraliżu tych instytucji, które nie będą miały możliwości szybkiego zastąpienia zakwestionowanych komponentów tymi pochodzącymi od innych przedsiębiorców. To oczywiście jedynie najjaskrawsze problemy, które budzi projekt nowelizacji ustawy KSC.

Ograniczenie swobody działalności gospodarczej

Należy też zauważyć, że projekt ustawy przewiduje również nałożenie na podmioty kluczowe obowiązków w zakresie stosowania się do ostrzeżeń organów nadzoru, kierowanych w przypadku samego podejrzenia naruszenia przez podmiot przepisów ustawy (nowelizowany art. 53). Organ będzie uprawniony do wydawania nakazów i decyzji mających przymusić podmiot do doprowadzenia do stanu pożądanego przez organ (w ramach jednoinstancyjnego postępowania administracyjnego). W przypadku niezastosowania się do nakazów lub decyzji, organ będzie mógł nałożyć na podmiot (w drodze decyzji, od której nie przysługuje odwołanie ani skarga do sądu administracyjnego!), sankcję w postaci czasowego wstrzymania działalności podmiotu, a nawet zakazania pełnienia funkcji przez kierownika podmiotu. Również te rozwiązania już na pierwszy rzut oka kolidują m.in. z prawem do sądu oraz regułami swobody działalności gospodarczej.

Kosztowna ingerencja dla obywateli

Pomimo krytycznych głosów środowisk eksperckich oraz branżowych, ministerstwo odnosi się do sygnalizowanych zastrzeżeń w sposób lakoniczny. Tymczasem w procesie legislacyjnym dotyczącym aktu tak dalece ingerującego w prawa i wolności jednostek przejrzysta komunikacja jest niezbędna dla budowy zaufania pomiędzy władzą ustawodawczą a adresatami norm. Dzisiaj można odnieść wrażenie, że projektowane przepisy stanowią jedynie pretekst do ustanowienia norm umożliwiających nieskrępowaną, niepodlegającą efektywnej kontroli ingerencję w funkcjonowanie najszybciej rozwijających się obszarów współczesnej gospodarki. Oczywiste, że takie narzędzia zawsze będą silną pokusą dla rządzących i będzie stwarzać ryzyko poważnych nadużyć – niezależnie od tego, jaka większość parlamentarna będzie sprawować władzę. Jest jednak jeszcze jeden aspekt sprawy, którego prawodawca nie powinien lekceważyć – korzystanie z wprowadzonych instrumentów wywoływać będzie szkody po stronie przedsiębiorców. Jeżeli uda im się skutecznie zakwestionować konstytucyjność przepisów stanowiących podstawę niekorzystnych rozstrzygnięć, ciężar naprawienia szkód spocznie na barkach Skarb Państwa, a ostatecznie – wszystkich obywateli.