11 organizacji przedsiębiorców apeluje do prezydenta, aby ochronił ich przed „wywłaszczeniem” [materiał partnera]

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa stała się przedmiotem jednego z poważniejszych konfliktów na linii państwo-biznes w ostatnich latach. Szeroka koalicja organizacji zrzeszających przedsiębiorców zaapelowała do prezydenta Karola Nawrockiego o podjęcie kroków mających na celu ochronę polskich firm przed skutkami regulacji, którą określono mianem „wywłaszczenia”.

– W piśmie przedstawiamy argumenty, które przemawiają za niewprowadzaniem regulacji w życie, wskazując na negatywne konsekwencje, które będą wynikać z jej obowiązywania – tłumaczy Andrzej Szmigiel, członek Business Centre Club oraz Loży Warszawskiej BCC, dodając, że przedsiębiorcy zdają sobie sprawę, że zawetowanie ustawy może być niemożliwe, ponieważ za jej przyjęciem opowiedziały się dwa największe ugrupowania polityczne.

– Liczymy natomiast na skierowanie ustawy do Trybunału Konstytucyjnego, który w naszej ocenie zgodzi się ze stawianymi względem niej zarzutami– uzupełnia Andrzej Szmigiel.

Piotr Podgórski, radca prawny, wiceprezes Ogólnopolskiej Federacji Przedsiębiorców i Pracodawców Przedsiębiorcy.pl, zaznacza, że przedsiębiorcy w pełni popierają ideę walki z cyberzagrożeniami,, które mają służyć poprawie bezpieczeństwa Polski. Nie powinno to się jednak odbywać ich kosztem. Zwraca uwagę, że ustawa stanowi nadregulację w stosunku do dyrektywy NIS2, a część jej przepisów jest niezgodna z konstytucją.

– W żadnym kraju UE przepisy dotyczące cyberbezpieczeństwa nie są tak rygorystyczne. To może przełożyć się na utratę konkurencyjności przez polskie firmy, a w efekcie doprowadzić do bankructwa wielu z nich, bowiem koszty wdrożenia nowej ustawy oraz wydatki związane z koniecznością wyzbycia się sprzętu będą ogromne – podkreśla Piotr Podgórski, zaznaczając, że duża część przedsiębiorców wciąż nie jest świadoma nadejścia zmian i ryzyk z nimi związanych.

Utrata majątku bez odszkodowania

Przedsiębiorcy zwracają uwagę, że proponowane w ustawie rozwiązania w sposób drastyczny wręcz ingerują w prawo własności oraz wolność działalności gospodarczej, nie oferując przy tym żadnych mechanizmów kompensacyjnych, co stawia Polskę w pozycji wyjątkowej na tle innych państw UE, niestety w negatywnym tego słowa znaczeniu.

W centrum kontrowersji znajduje się wprowadzona w ustawie instytucja dostawcy wysokiego ryzyka (DWR). Przedsiębiorcy podkreślają, że jej kształt nie jest wymagany przez unijną dyrektywę NIS2, lecz stanowi nadgorliwą i wadliwą implementację wytycznych o charakterze pozaprawnym.

Zgodnie z przepisami minister cyfryzacji zyska uprawnienie do wydawania decyzji administracyjnych, które w praktyce eliminują z polskiego rynku sprzęt i oprogramowanie konkretnych producentów. Do tego, jak zauważają eksperci, zastosowano kryterium narodowości dostawców spoza NATO i UE. Jak wskazano w apelu, przesłanki oczywiście powinny być określone i mieć charakter przede wszystkim techniczny, a nie uznaniowy.

Dla tysięcy firm oznacza to konieczność natychmiastowego zaprzestania zakupów oraz obowiązek usunięcia na własny koszt posiadanej już infrastruktury w terminie 4 lub 7 lat. Autorzy apelu argumentują, że choć ustawa nie przewiduje formalnego transferu własności na rzecz Skarbu Państwa, to jej skutki są tożsame z wywłaszczeniem. I wskazują, że gwarantowana ochrona własności, o której mowa w art. 21 i art. 64 Konstytucji RP, nie może być fikcją, a państwo ma obowiązek powstrzymania się od przyjmowania regulacji, które tę ochronę nadmiernie ograniczają bez zapewnienia słusznego odszkodowania.

– Właściciel danej infrastruktury, który dotychczas legalnie z niej korzystał, zostanie zmuszony do pozbycia się sprzętu i do jego wymiany na nowy, niejednokrotnie droższy. I to wszystko na własny koszt – podkreśla Piotr Podgórski.

Ustawodawca nie przewidział żadnego programu subsydiowania wymiany sprzętu ani innych form rekompensaty finansowej. Jak zauważa Piotr Podgórski, przedsiębiorcy będą ponosić negatywne konsekwencje decyzji ministra cyfryzacji, mimo, że w chwili zakupu działali w oparciu o renomę danego dostawcy i jakość oferowanego sprzętu, spełniającego wysokie wymagania techniczne.

Reprezentanci MŚP wskazują z kolei na to, że usuniętego na własny koszt sprzętu nie będą mieli możliwości już w żaden sposób wykorzystać w wyniku wykluczenia danego producenta z rynku, co wiąże się z „utopieniem środków przeznaczonych na zakup” – jak mówi wprost jeden z mniejszych przedsiębiorców.

Przedsiębiorcy wskazują, że koszty te mogą być liczone w miliardach złotych, a w dołączonej do ustawy ocenie skutków regulacji całkowicie pominięto ich kalkulację. Nie wskazano konsekwencji finansowych dla 40 tysięcy podmiotów z kategorii kluczowych i ważnych. Podkreślają, że brak odszkodowania przy jednoczesnym nakazie usuwania mienia jest rażącym naruszeniem zasady proporcjonalności wywodzonej z art. 31 ust. 3 Konstytucji RP. Istnieją alternatywne metody zapewnienia cyberbezpieczeństwa, takie jak certyfikacja, audyty czy dywersyfikacja dostawców, które nie niosą za sobą tak niszczycielskich skutków ekonomicznych.

Koszty poniosą jednak nie tylko przedsiębiorcy, ale również użytkownicy końcowi, czyli konsumenci, którzy będą musieli zapłacić więcej za usługi takie jak dostęp do internetu, wywóz śmieci czy usługi farmaceutyczne. Rodzi to z kolei pytanie czy ustawodawca przewidział również te dodatkowe obciążenia finansowe, które poniesie przysłowiowy „Kowalski”.

Utopione koszty i ograniczenie prawa odwołania

Przedsiębiorcy zwracają też uwagę na naruszenie w ustawie konstytucyjnych standardów proceduralnych. Nowelizacja ogranicza bowiem gwarancje procesowe stron postępowania w sprawie uznania za dostawcę wysokiego ryzyka.

– Poprzez wyłączenie kluczowych przepisów Kodeksu postępowania administracyjnego, ustawodawca de facto zamknął drogę do obrony interesów ogromnej większości firm – mówi Andrzej Szmigiel.

Do tego wprowadza się cenzus majątkowy, zgodnie z którym w postępowaniu przed ministrem mogą uczestniczyć jedynie najwięksi gracze rynkowi i tylko z sektora telekomunikacyjnego, osiągający przychody przekraczające wielokrotność przeciętnego wynagrodzenia. Nowelizacja obejmuje jednak 18 sektorów gospodarki, a więc nie daje możliwości odwołania dla mniejszych przedsiębiorców telekomunikacyjnych i wszystkich innych podmiotów z 17 pozostałych sektorów.

Pozostali przedsiębiorcy, mimo że wynik postępowania bezpośrednio wpłynie na ich sytuację prawną i finansową, zostają pozbawieni statusu strony. Taka asymetria proceduralna jest trudna do pogodzenia z zasadą równości wobec prawa, zwłaszcza że decyzje o uznaniu dostawcy za podmiot wysokiego ryzyka mają rygor natychmiastowej wykonalności. Oznacza to, że nawet jeśli przedsiębiorca po latach wygra spór przed sądem administracyjnym, infrastruktura będzie już dawno wymieniona, a poniesione koszty nie do odzyskania.

Niejawny proces i wykluczenie z udziału w postępowaniu

Przedsiębiorcy zwracają również uwagę na problematykę skarg do sądów administracyjnych, które według nowej ustawy mają być rozpatrywane na posiedzeniach niejawnych. Co więcej, skarżący może otrzymać jedynie okrojoną wersję uzasadnienia wyroku, pozbawioną informacji niejawnych, co w praktyce uniemożliwia skuteczne sformułowanie skargi kasacyjnej do Naczelnego Sądu Administracyjnego. Takie ukształtowanie procesu sądowego, zdaniem organizacji przedsiębiorców, narusza art. 45 Konstytucji RP oraz normy międzynarodowe zawarte w Europejskiej Konwencji Praw Człowieka i Karcie Praw Podstawowych UE.

Wadliwa legislacja w świetle wyroków TSUE

W apelu wykazano również błędy w procesie legislacyjnym, które mogą uczynić ustawę martwym prawem. Chodzi o brak notyfikacji przepisów technicznych w Komisji Europejskiej, co jest obowiązkiem wynikającym z Dyrektywy 2015/1535. Autorzy apelu przypominają, że inne kraje unijne, jak Niemcy czy Francja, dopełniły tej staranności. Polska natomiast zignorowała ten wymóg, co według ustalonego orzecznictwa Trybunału Sprawiedliwości UE powoduje bezskuteczność takich przepisów w sporach przed sądami krajowymi. W praktyce może to doprowadzić do paraliżu stosowania ustawy, a każda próba wyegzekwowania nakazu usunięcia sprzętu na podstawie nienotyfikowanych przepisów będzie skutkowała masowymi roszczeniami odszkodowawczymi przeciwko Skarbowi Państwa. W ten sposób, zamiast realnie wzmacniać cyberbezpieczeństwo, nowa regulacja może narazić budżet państwa i podatników na gigantyczne obciążenia.

Przedsiębiorcy mają nadzieję na interwencję prezydenta i wypracowanie rozwiązań, które skutecznie ochronią państwo przed cyberatakami, nie czyniąc jednocześnie z polskich firm ofiar nieprzemyślanej polityki regulacyjnej.