Co łączy hazard, system kaucyjny, energetyki i KSC?

Notyfikacja techniczna to obowiązek zgłoszenia Komisji Europejskiej przepisów odnoszących się do ograniczania możliwości wprowadzania na krajowy rynek produktów lub świadczenia usług społeczeństwa informacyjnego, jeśli regulacje te nie wynikają z przepisów unijnych. Warto przywołać tu komplikacje dotyczące np. ustawy hazardowej, nowelizacji przepisów dotyczących napojów energetycznych i wreszcie ustawy o krajowym systemie cyberbezpieczeństwa.

Niedochowanie notyfikacji technicznej niesie za sobą daleko idące skutki, takie jak brak możliwości stosowania przepisów ustawy, niejasne obowiązki i związana z tym niepewność otoczenia prawnego dla biznesu. Mimo tych konsekwencji od lat ustawodawca w tym zakresie zachowuje się nieprzewidywalnie, przedkładając pośpiech i potrzebę szybkiego sukcesu w danym procesie legislacyjnym nad długofalową strategię, co nie pozostaje bez wpływu na harmonizację prawa w Unii Europejskiej. Przykładami są zarówno ustawy uchwalone w przeszłości, jak i obecnie procedowane projekty.

Kiedy i dlaczego niezbędna jest notyfikacja techniczna

Unijna Dyrektywa 2015/1535, nazywaną Dyrektywą TRIS (Technical Regulations Information System), została przyjęta w celu wzajemnego informowania się przez państwa członkowskie UE (i Komisję Europejską) o potencjalnych krajowych przepisach, które mogą stanowić barierę w handlu. Dzięki temu państwa członkowskie i KE mogą wejść w dialog z krajem planującym przyjęcie takich regulacji, zgłosić uwagi i zareagować, jeśli przepisy naruszałyby traktaty unijne.

Dlatego UE przewiduje konieczność zgłaszania przez rządy państw członkowskich tzw. przepisów technicznych, czyli krajowych regulacji ograniczających dostęp do określonych produktów lub usług świadczonych na odległość przy użyciu środków komunikacji elektronicznej. Co istotne, by umożliwić innym państwom reakcję, konieczne jest dokonanie notyfikacji takich przepisów, zanim staną się prawem. Po notyfikacji mamy do czynienia z tzw. okresem standstill, który wstrzymuje wejście w życie przepisów technicznych na co najmniej trzy miesiące. Co do zasady, zgłoszone przepisy nie powinny ulegać zmianom, dlatego w przypadku dokonania istotnych modyfikacji w projekcie notyfikowanym procedurę należy powtórzyć, w praktyce zaś notyfikacja oznacza zawieszenie procesu legislacyjnego na poziomie krajowym.

Taka notyfikacja dokonywana jest po przyjęciu projektu ustawy przez Radę Ministrów. Równocześnie od 20 lat nie przyjęto przepisów określających zasady notyfikacji projektów ustaw innych niż rządowe ani też odnoszących się do sytuacji, gdy przepis techniczny pojawi się np. w wyniku poprawki poselskiej.

Nie jest to wyłącznie biurokratyczna formalność, gdyż, zgodnie z orzecznictwem TSUE, niedopełnienie obowiązków związanych z Dyrektywą TRIS takich jak niezgłoszenie przepisu technicznego lub naruszenie tzw. okresu standstill (wstrzymującego zmiany w ustawie na 3 miesiące) może wiązać się z poważnymi konsekwencjami prawnymi. Niedokonanie notyfikacji spowoduje brak możliwości stosowania przepisów technicznych wobec jednostek i rodzi równocześnie potencjalną odpowiedzialność Skarbu Państwa np. za bezprawie legislacyjne. O skutkach braku notyfikacji mogliśmy się przekonać w przypadku ustawy hazardowej, która wprowadzała ograniczenia w możliwości ustawiania automatów do gier hazardowych wyłącznie w kasynach – przez lata nie było jasne, czy przepisy te mogą być egzekwowane, procesy sądowe, w tym karne i karnoskarbowe, toczyły się w cieniu niepewności, a kwestia ta kilkukrotnie wracała do Sądu Najwyższego. Równocześnie nie musimy sięgać tak daleko w przeszłość, by wracać do problemów z notyfikacją – dyskusje co do zakresu zakazu procedowania w trakcie okresu standstill odżyły przy okazji nowelizacji ustawy kaucyjnej pod koniec 2024 r., w której wprowadzano zmiany na poziomie parlamentarnym mimo trwającego okresu zawieszenia (standstill).

Naprawianie błędów poprzedników

Po stronie rządowej istnieje świadomość wagi braku notyfikacji. Dowodem tego jest procedowany obecnie rządowy projekt ustawy o zmianie ustawy o zdrowiu publicznym (druk sejmowy nr 1107), który odnosi się do wprowadzonych w końcówce poprzedniej kadencji rządu przepisów ograniczających sprzedaż napojów energetycznych. Z perspektywy legislacyjnej projekt wydaje się osobliwy – usuwa obecnie obowiązujące przepisy i jednocześnie dodaje je w takim samym brzmieniu. Zabieg ten służy wyłącznie dokonaniu notyfikacji i naprawie błędów poprzedników.

Przepisy obejmujące m.in. zakaz sprzedaży napojów energetycznych w szkołach oraz osobom niepełnoletnim, a także obowiązek wprowadzenia na pojemnikach odpowiednich oznaczeń bezdyskusyjnie są przepisami technicznymi. TSUE wielokrotnie stwierdzał, że ograniczenia co do miejsc i sposobów sprzedaży, a także obowiązek znakowania produktu podlegają obowiązkowi notyfikacji. Jednak Ministerstwo Sportu w poprzedniej kadencji zdecydowało, po pierwsze, żeby procedować projekt jako poselski, po drugie, nie notyfikować go Komisji Europejskiej. Chodziło o to, by zdążyć przed końcem kadencji Sejmu i dyskontynuacją prac nad projektem. W praktyce spowodowało to, że mimo wprowadzenia kary np. za sprzedaż napojów energetycznych osobom niepełnoletnim, nie mogą one być skutecznie egzekwowane przed sądem, co jest konsekwencją braku notyfikacji. Dlatego też rząd przeprowadził, na pozór absurdalną, operację legislacyjną – by naprawić zaniechania swoich poprzedników i zapewnić realne stosowanie wprowadzonych przez nich przepisów.

Czy historia się powtórzy?

Z kolei wyraźnym przykładem braku notyfikacji technicznej, mimo jej obiektywnej konieczności, jest procedowany przez Ministerstwo Cyfryzacji projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (UC32). Formalnie implementuje on prawo unijne – Dyrektywę NIS2 dotyczącą ram prawnych cyberbezpieczeństwa dla podmiotów z tzw. sektorów ważnych i kluczowych, istotnych dla ciągłości funkcjonowania gospodarki, stąd nie powinien teoretycznie podlegać notyfikacji. Jednak dodatkowo przewiduje on wprowadzenie procedury „dostawców wysokiego ryzyka” niewynikające z NIS2 – firmy działające w tych sektorach (które polski ustawodawca znacząco rozszerza względem wymogów unijnych) miałyby obowiązek eliminowania produktów pochodzących od takich podmiotów. Decyzję o wpisaniu na listę dostawców wysokiego ryzyka podejmowałby w specjalnej procedurze minister cyfryzacji, kierując się nie tylko względami technicznymi, ale również pozatechnicznymi, jak kraj pochodzenia dostawcy. Choć pojęcie to nie występuje w Dyrektywie NIS2, obecne jest w tzw. Toolbox 5G – w dokumencie zawierającym rekomendacje dotyczące bezpieczeństwa sieci 5G i związanej z nią infrastruktury telekomunikacyjnej. Niemniej jednak w przypadku projektu zaproponowanego przez Ministerstwo Cyfryzacji każdy dostawca komponentów ICT, niezależnie od rodzaju produktu, może zostać uznany za „ryzykownego”. Dodatkowo rządowy projekt przewiduje rozszerzenie regulacji także poza sektor telekomunikacji, tj. na wszystkie 18 branż objętych Dyrektywą NIS2.

Ministerstwo Cyfryzacji nie zamierza, mimo wykroczenia poza regulacje UE i wprowadzenia rozwiązań krajowych odnoszących się do warunków obrotu komponentami ICT, tego projektu notyfikować. Inne państwa członkowskie, które wdrażały przepisy wykraczające poza NIS2, notyfikowały je do Komisji Europejskiej – zrobiły to m.in. Niemcy, Hiszpania, Finlandia czy Portugalia. W przypadku KSC mamy klasyczną sytuację, gdy Ministerstwo Cyfryzacji jest pod presją i nie zamierza tracić czasu na okres zawieszenia wynikający z notyfikacji. Implementacja Dyrektywy NIS2 jest opóźniona, Komisja Europejska jest na ostatnim etapie postępowania naruszeniowego – kolejnym będzie złożenie skargi do TSUE przeciwko Polsce, a wdrożenie NIS2 jest jednym z kamieni milowych w KPO.

Jest to jednak, nomen omen, wysokie ryzyko ze strony rządu. Komisja Europejska – już ściśle monitorując ten proces legislacyjny ze względu na opóźnienia w implementacji NIS2 – nie omieszka zwrócić uwagi na brak notyfikacji, w szczególności mając doświadczenia dotyczące analogicznych przepisów z innych państw członkowskich. Nie ulega wątpliwości, że procedura dostawców wysokiego ryzyka przyczyni się do zwiększenia cyberbezpieczeństwa naszego kraju, lecz pytanie brzmi, czy powinna być przedmiotem osobnej inicjatywy. Pozwoliłoby to na dostosowanie tego rodzaju rozwiązań do nowych regulacji unijnych w zakresie cyberbezpieczeństwa, jak rozporządzenie 2024/2847 (czyli Akt o cyberodporności), umożliwiając jednocześnie szybką realizację zobowiązań unijnych wynikających z konieczności implementacji Dyrektywy NIS2. Zwłaszcza że wdrożenie rozwiązań w zakresie dostawców wysokiego ryzyka nie jest kamieniem milowym polskiego KPO. Uniknięto by także powtórnej nowelizacji ustawy o KSC w przyszłości tylko po to, by notyfikować te rozwiązania – tak jak w przypadku przepisów o napojach energetycznych.

Potrzebna właściwa identyfikacja nadregulacji

Ze względu na poważne konsekwencje naruszenia obowiązków notyfikacyjnych niezwykle istotne jest funkcjonowanie sprawnego, szczelnego i przewidywalnego systemu identyfikowania przepisów technicznych oraz ich zgłaszania. Trudno to jednak osiągnąć, gdy odpowiedzialność za te kwestie spoczywa wyłącznie na właściwym ministrze – a więc decyzja ma charakter stricte polityczny, często jest nastawiona na szybki efekt i ograniczona horyzontem jednej (często niecałej) kadencji. Wynikają one też z presji czasu, niekiedy z zaniedbań poprzedników. Niestety, niezależnie od powodów, niejednokrotnie pomijane są przy tym opinie nawet rządowych urzędników specjalizujących się w tej tematyce oraz ekspertów. Jak pokazują powyższe przykłady, podejście do notyfikacji jest instrumentalne i zmieniane w sposób doraźny.

Z perspektywy przedsiębiorców taki przewidywalny system identyfikacji nadregulacji wymagającej zgłoszenie KE umożliwiłby dokładniejsze szacowanie czasu procedowania poszczególnych regulacji (co bezpośrednio przekłada się na koszty operacyjne) i dawałby większą pewność, że nie będą musieli się mierzyć z wieloletnimi postępowaniami co do obowiązywania tych przepisów. Z kolei administracja publiczna – unikając potencjalnych skutków finansowych i chaosu prawnego – mogłaby, poprzez stworzenie bardziej szczelnego systemu identyfikacji przepisów technicznych, skuteczniej eliminować nadregulacje niewynikające z prawa unijnego, które stanowią bariery w handlu i dodatkowe obciążenia dla polskich przedsiębiorców. W rezultacie lepsze wdrażanie obowiązków wynikających z unijnej Dyrektywy TRIS przyczyniłoby się do realizacji istotnej zarówno dla rządu, jak i biznesu zasady „Unia Europejska + zero”.