Cień notyfikacji nad krajowym systemem cyberbezpieczeństwa

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), implementujący dyrektywę NIS2, znajduje się na końcowym etapie prac rządowych. Po latach dyskusji, analiz i konsultacji, przepisy, które mają m.in. uregulować procedurę uznawania tzw. dostawców wysokiego ryzyka, wkrótce trafią do Sejmu. Mimo strategicznego znaczenia ustawy, nad procesem legislacyjnym zawisła poważna wątpliwość proceduralna związana z rezygnacją z notyfikacji technicznej TRIS.

KSC z pominięciem unijnych reguł?
Deja vu z ustawy o zdrowiu publicznym
Notyfikacja jako standard w cyberbezpieczeństwie
Paraliżujące skutki
Kosztowne zaniechania

Decyzja ta, sprzeczna z wcześniejszymi założeniami i praktyką innych państw UE, rodzi realne ryzyko dla stabilności prawnej i skuteczności wdrażanych rozwiązań. Procedura TRIS (Technical Regulation Information System) jest mechanizmem zapewniającym przejrzystość na jednolitym rynku, która opiera się na obowiązku zgłoszenia przez państwo członkowskie projektowanych przepisów technicznych. Mogą być to na przykład: zakaz wprowadzania lub korzystania z określonych produktów lub usług na rynku krajowym. Celem jest zapobieganie wdrażaniu przez państwa członkowskie nieuzasadnionych barier w swobodnym przepływie towarów i usług. Dyrektywa (UE) 2015/1535 ustanawia system „wzajemnej przejrzystości i monitorowania w dziedzinie regulacji”, który ma charakter zapobiegawczy – informacje przekazuje się, gdy przepisy techniczne są jeszcze na etapie projektu i można je zmienić w celu zachowania zgodności z zasadami jednolitego rynku.

KSC z pominięciem unijnych reguł?

W obecnym przedłożeniu projektu nowelizacji KSC zakłada się brak przeprowadzenia notyfikacji technicznej, mimo że projektowane przepisy dotyczące dostawców wysokiego ryzyka zostały wstępnie uznane przez Komisję Europejską za przepisy techniczne, wskutek czego polski rząd został wezwany do złożenia wyjaśnień.

Projektowane przepisy dotyczące dostawców wysokiego ryzyka, wprowadzając mechanizmy oceny, które mogą skutkować wykluczeniem określonego sprzętu (produktów) z użytkowania w infrastrukturze krajowej, w sposób oczywisty wpływają na rynek wewnętrzny. Decydując o tym, jaki sprzęt może być stosowany w sieciach telekomunikacyjnych ponad 30 tys. podmiotów, wcale nie będących przedsiębiorcami telekomunikacyjnymi, państwo de facto wprowadza wymogi dotyczące użytkowania produktu. Tym samym, regulacje te spełniają kryteria przepisów technicznych.

Deja vu z ustawy o zdrowiu publicznym

Szczególnie interesujący kontekst dla sprawy KSC stanowi niedawny przypadek nowelizacji ustawy o zdrowiu publicznym, dotyczącej ograniczeń w sprzedaży napojów z dodatkiem kofeiny lub tauryny (tzw. energetyków). Przepisy te wprowadziły zakaz sprzedaży tych napojów osobom niepełnoletnim oraz wymogi dotyczące oznakowania opakowań.

W marcu 2025 r., rząd przedstawił projekt nowelizacji ustawy o zdrowiu publicznym, który ma charakter czysto techniczny. Celem zmiany jest uchylenie przepisów zawartych w rozdziale 3b dotyczącym sprzedaży i oznaczenia napojów z dodatkiem kofeiny lub tauryny oraz w rozdziale 4a dotyczącym przepisów karnych. Jednocześnie projekt wprowadza te same regulacje ponownie w nowym rozdziale 3c (i odpowiednio zmienia przepisy karne w rozdziale 4b). Zabieg ten jest wyłącznie prowizoryczny, gdyż notyfikacji można dokonać tylko w stosunku do projektowanych, a nie obowiązujących przepisów.

Linia Sieradz – Kalisz – Poznań. Spółka CPK przechodzi do opracowania projektu budowlanego

W przedłożeniu rządowym skierowanym do Marszałka Sejmu wprost wskazano, że „Projekt zostanie notyfikowany Komisji Europejskiej”. Konieczność dopełnienia procedury notyfikacji technicznej wynika więc wyłącznie z wcześniejszego zaniedbana.

Wymogi dotyczące etykietowania i ograniczenia sprzedaży napojów energetycznych uznano za przepisy techniczne wymagające naprawczego procesu legislacyjnego w celu notyfikacji. Dlatego tym trudniej argumentować, że znacznie bardziej restrykcyjne i skomplikowane przepisy mogące wykluczyć z rynku dostawców zaawansowanych technologii w 18 sektorach polskiej gospodarki, tego wymogu nie spełniają. Analogia w przypadku tych dwóch ustaw jest uderzająca.

Notyfikacja jako standard w cyberbezpieczeństwie

Analiza zgłoszeń TRIS potwierdza, że państwa członkowskie wdrażające regulacje dotyczące bezpieczeństwa sieci konsekwentnie poddają swoje projekty notyfikacji. Hiszpania w 2023 roku notyfikowała projekt dekretu królewskiego zatwierdzającego Krajowy System Bezpieczeństwa Sieci i Usług 5G. Przepisy te obejmowały kompleksowe zarządzanie bezpieczeństwem, w tym dywersyfikację dostawców i procedury ich klasyfikacji jako wysokiego lub średniego ryzyka. Belgia również przeszła ścieżkę notyfikacji, zgłaszając zarówno projekt ustawy ramowej wprowadzającej środki bezpieczeństwa dla 5G, jak i przepisy wykonawcze dotyczące wymogów lokalizacyjnych. W 2020 roku. Portugalia także notyfikowała projekt regulacji w zakresie środków zarządzania ryzykiem zawarty w transpozycji dyrektywy NIS2.

Paraliżujące skutki

Zaniechanie obowiązku notyfikacji technicznej nie jest jedynie uchybieniem formalnym. Niesie ze sobą daleko idące konsekwencje prawne, które mogą całkowicie sparaliżować skuteczność nowelizacji KSC.

Po pierwsze, jeśli zachodzi podejrzenie ominięcia procedury notyfikacji, Komisja Europejska może wszcząć postępowanie w sprawie uchybienia zobowiązaniom państwa członkowskiego na podstawie art. 258 Traktatu o funkcjonowaniu Unii Europejskiej. W skrajnym przypadku może to prowadzić do skierowania sprawy do Trybunału Sprawiedliwości UE (TSUE) i nałożenia znaczących kar finansowych.

Po drugie, i co najważniejsze z perspektywy podmiotów gospodarczych i pewności obrotu prawnego, TSUE w wyroku w sprawie C-194/94 ustanowił fundamentalną zasadę, że niedopełnienie obowiązku notyfikacji powoduje, że dane przepisy techniczne stają się nieważne, a zatem nie mają one mocy obowiązującej w stosunku do osób fizycznych.

Oznacza to, że przepisy techniczne przyjęte z naruszeniem procedury TRIS są bezskuteczne. Sądy krajowe są zobowiązane odmówić ich stosowania w sporach między jednostkami lub między jednostką a państwem. Zainteresowane podmioty – na przykład potencjalni dostawcy wysokiego ryzyka będą mogli skutecznie dochodzić swoich praw przed sądem krajowym, powołując się na wadliwość proceduralną ustawy.

W praktyce, nowelizacja KSC, choć uchwalona i opublikowana, mogłaby okazać się martwym prawem w kluczowym zakresie dotyczącym dostawców wysokiego ryzyka. Decyzje administracyjne wydane na jej podstawie byłyby podatne na uchylenie, co wprowadziłoby chaos regulacyjny i naraziło Skarb Państwa na roszczenia odszkodowawcze.

Kosztowne zaniechania

W dyskursie publicznym pojawia się argument, że przepisy te wdrażają zalecenia dotyczące bezpieczeństwa sieci 5G (EU Toolbox), czy dyrektywy NIS2. Jednakże analiza aktualnego kształtu projektu KSC przeczy tej tezie. Przepisy dotyczące procedury uznawania dostawców wysokiego ryzyka mają znacznie szersze odziaływanie na inne sektory. Nie ograniczają się one do infrastruktury telekomunikacyjnej 5G. Mają one zastosowanie do szerokiego katalogu podmiotów krajowego systemu cyberbezpieczeństwa, obejmując kilkadziesiąt sektorów gospodarczych – od energetyki, przez transport, bankowość, po ochronę zdrowia.

Podsumowując: projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa jest aktem niezbędnym dla bezpieczeństwa państwa. Jednak obecna droga legislacyjna, polegająca na rezygnacji z notyfikacji technicznej, jest obarczona ogromnym ryzykiem prawnym. W świetle definicji przepisów technicznych, ugruntowanego orzecznictwa TSUE, praktyki innych państw członkowskich, publicznych informacji o zainteresowaniu sprawą przez Komisję Europejską oraz niedawnego precedensu dotyczącego ustawy o zdrowiu publicznym, obowiązek notyfikacji wydaje się bezsporny. Zaniechanie tej procedury grozi tym, że kluczowe przepisy dotyczące dostawców wysokiego ryzyka będą w praktyce niemożliwe do wyegzekwowania, podważając tym samym cel całej reformy i narażając Polskę na niepewność prawną oraz nieuzasadnione koszty.