Rządowy projekt nowelizacji ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC) wciąż nie został skierowany do Sejmu, choć termin na implementację dyrektywy NIS2 upłynął 10 miesięcy temu. Prace nad obszerną ustawą implementującą dyrektywę rozpoczął jeszcze rząd Mateusza Morawieckiego. Projekt spotkał się wówczas z gruntowną krytyką i został wycofany z Sejmu jeszcze przed końcem kadencji. Projektowana nowelizacja przewiduje istotne zwiększenie obszaru i intensywności nadzoru sprawowanego przez organy właściwe w sprawach cyberbezpieczeństwa. Pośród wielu zmian, w projekcie wprowadzono pojęcia podmiotów kluczowych i podmiotów ważnych, czyli podmiotów publicznych i prywatnych, funkcjonujących w różnych sektorach gospodarki, na których ciążyć będą dodatkowe obowiązki w zakresie zarządzania ryzykiem. Chodzi tu o blisko czterdzieści tysięcy podmiotów, w tym przedsiębiorców. Jednocześnie w projekcie przewidziano wprowadzenie nowych instrumentów nadzoru – i to właśnie zasady ich stosowania budzą najwięcej kontrowersji. Funkcjonowanie infrastruktury podmiotów będących elementami systemu cyberbezpieczeństwa wymaga korzystania przez nie ze sprzętu, oprogramowania i usług informatycznych, dostarczanych przez przedsiębiorców.

Nieproporcjonalne i kosztowne skutki decyzji

Jednym z najbardziej kontrowersyjnych rozwiązań jest kwestia obowiązku usuwania sprzętu od tzw. dostawcy wysokiego ryzyka (High Risk Vendor – HRV). Przyznanie takiego statusu następować ma w drodze decyzji, wydawanej przez ministra właściwego do spraw informatyzacji, po przeprowadzeniu jednoinstancyjnego, niejawnego postępowania administracyjnego. Jednocześnie kryteria określenia dostawcy jako HRV opierają się na przesłankach niemierzalnych i nietechnicznych, podyktowanych np. państwem pochodzenia danego producenta. Polskiej wersji transpozycji NIS2 zarzuca się nieproporcjonalność, gdyż obowiązek usuwania sprzętu nie ogranicza się wyłącznie do infrastruktury krytycznej ale obejmuje jakiekolwiek urządzenia lub oprogramowanie wskazane w decyzji Ministra Cyfryzacji. Rodzi to obawy o koszty, które spoczną na barkach polskiego biznesu.

Ponadto skutki wydania decyzji o HRV, nota bene natychmiast wykonalnej, będą dwojakie. Po pierwsze: podmioty kluczowe i podmioty ważne, a także część przedsiębiorców z branży komunikacji elektronicznej oraz podmioty finansowe, utracą możliwość wprowadzania do użytkowania produktów, usług lub procesów od określonego dostawcy. Po drugie: wszystkie te podmioty będą musiały, w określonym czasie, wycofać z użycia produkty (usługi, procesy) objęte decyzją. Nie będzie miała przy tym znaczenia indywidualna ocena ryzyka zagrożenia oraz potencjalnych konsekwencji dla bezpieczeństwa przeprowadzona przez dany podmiot korzystający z produktu czy usługi.

Nietransparentna procedura o uznaniu za HRV

Projektodawca przewidział osobliwą procedurę uznawania danego przedsiębiorcy za HRV. Kluczowe znaczenie dla wydania przez Ministra Cyfryzacji decyzji będzie miała opinia Kolegium do Spraw Cyberbezpieczeństwa. Jest to ciało doradcze o zróżnicowanym składzie, złożone głównie z członków rady ministrów, które nie ma charakteru organu administracji publicznej. Jakkolwiek minister będzie wydawał decyzję po zasięgnięciu opinii kolegium, to sama opinia nie tylko nie będzie podlegała procedurze weryfikacji, ale można się spodziewać, że jej treść będzie utajniona, albowiem jej przedmiotem będzie ocena dostawcy i oferowanych przez niego produktów (usług) przez pryzmat bezpieczeństwa państwa. Od decyzji, która będzie natychmiast wykonalna, a której treść w zasadzie będzie niejawna, dostawcy nie będzie przysługiwać wniosek o ponowne rozpatrzenie sprawy. Przedsiębiorca będzie mógł natomiast wnieść skargę do sądu administracyjnego, który rozpozna ją na posiedzeniu niejawnym i dostarczy stronie wyrok (oczywiście uzasadniony jedynie w tej części, która nie będzie zawierać informacji niejawnych). Do postępowań administracyjnych nie będą mogły dołączyć potencjalni zainteresowani (w tym zwłaszcza podmioty kluczowe i ważne), za wyjątkiem wybranych przedsiębiorców tylko z branży telekomunikacyjnej.

Postępowanie bez wiedzy i udziału stron

W praktyce może się jednak okazać, że w postępowaniach nie będą uczestniczyć nawet sami dostawcy. Ministerstwo Cyfryzacji przewidziało, że w przypadku dostawców posiadających siedzibę poza UE, doręczenie zawiadomienia o wszczęciu postępowania nastąpi poprzez opublikowanie go w Biuletynie Informacji Publicznej. Mając na uwadze to, że rynek technologii informatycznych rozwija się przede wszystkim w USA oraz krajach azjatyckich – i to z tych obszarów pochodzą wykorzystywane na co dzień produkty i usługi, skala problemu prowadzenia postępowań bez czynnego udziału stron może okazać się bardzo poważna.

Projektodawca przedstawił instytucję, która tworzy ledwie iluzję postępowania odpowiadającego wymogom demokratycznego państwa prawnego. Zarówno dostawcy, jak i podmioty wykorzystujące produkty i usługi objęte obowiązkiem wycofania zostały pozbawione możliwości efektywnego czynnego udziału w postępowaniu. Jeżeli dostawca lub użytkownik w ogóle dowie się o wszczęciu procedury, to wciąż jego wpływ na wydawane rozstrzygnięcie będzie znikomy. Skoro nie będzie mógł poznać zasadniczych tez opinii kolegium, nie będzie mógł ani przedstawiać argumentów przeciwnych, ani też dostosować oferowanych produktów i usług do stawianych im wymogów.

Brak poznania rzeczywistych motywów rozstrzygnięcia uniemożliwia również wniesienie efektywnego środka zaskarżenia i rozpoznania go przez właściwy sąd. Zaprojektowany mechanizm daje organom władzy publicznej pole do wydawania decyzji w zasadzie uznaniowych, nie podlegających merytorycznej kontroli. Jednocześnie skutki takich decyzji oddziaływać będą nie tylko na dostawców, ale przede wszystkim na olbrzymie grono odbiorców (szeroko zakreślone grono podmiotów kluczowych i ważnych), które będą musiały zrezygnować z dotychczasowych kontrahentów. Arbitralna decyzja ministra w postępowaniu prowadzonym bez ich udziału będzie wywierać poważne skutki w ich sferze majątkowej. Jako że zasadniczą część podmiotów kluczowych i ważnych stanowi polski biznes, decyzje będą wpływać na sposób korzystania ze swobody działalności gospodarczej.

Bezpieczeństwo kosztem Konstytucji?

Tak daleko idące odstąpienie od zasad rządzących postępowaniami przez organami władzy publicznej (zasady czynnego udziału strony, dwuinstancyjności postępowania, prawa do efektywnej kontroli sądowej) oraz ingerencja we własność swobodę prowadzenia działalności gospodarczej wymaga nie tylko bardzo skrupulatnego uzasadnienia, ale przede wszystkim musi zostać poprzedzone testem proporcjonalności regulacji. Niestety, projektodawca tłumaczy regulacje w sposób zdawkowy, odwołując się do nadrzędnej wartości, jaką jest bezpieczeństwo państwa. Wartość ta jednak – jak wszystkie inne wartości konstytucyjne – podlega obowiązkowemu ważeniu i ocenie możliwości realizacji podporządkowanych jej celów przy pomocy mniej inwazyjnych rozwiązań. Bezpieczeństwo nie powinno przesłaniać fundamentalnych zasad demokratycznego państwa prawa.

Determinacja, z jaką forsowane są wątpliwe konstytucyjnie rozwiązania zaprojektowane przez poprzednią władzę budzi niepokój. Ministerstwo Cyfryzacji ignoruje nie tylko alarmy ekspertów. Bez merytorycznej odpowiedzi pozostało również stanowisko Ministra Rozwoju i Technologii, który zasygnalizował, że rozwiązania w obszarze procedury uznawania za HRV wykraczają daleko poza dyrektywę NIS2 i stanowią tzw. nadregulację. Procedury konsultacji, opiniowania i uzgodnień mają służyć jak najwcześniejszemu wykryciu wad projektów. Rząd musi jak najlepiej wykorzystać ten czas, bo odwrócenie negatywnych skutków niekonstytucyjnych regulacji prawnych może być nie tylko trudne, ale i bardzo kosztowne. Jeszcze trudniejsze może być jednak odwrócenie trendu przyznawania organom władzy wykonawczej dowolności ingerowania w prawa jednostek.