Nowelizacja ustawy o KSC ma implementować do polskiego porządku prawnego unijną dyrektywę NIS2. Zgodnie z nią przedsiębiorcy będą musieli sami się zgłosić do rejestru, który będzie prowadzony przez ministra cyfryzacji, i określić, czy są podmiotami ważnymi, czy kluczowymi.

Znowelizowana ustawa zawiera też przepisy wykraczające poza NIS2. Według przyjętych przez Sejm regulacji dostawcy sprzętu lub oprogramowania, które zagraża bezpieczeństwu publicznemu, dostaną miano dostawcy wysokiego ryzyka, a minister cyfryzacji będzie mógł wydać decyzję, w wyniku której podmioty kluczowe dla funkcjonowania państwa nie będą mogły korzystać z produktów tych dostawców. Nowelizacja wprowadza również narzędzie oceny ryzyka dostawców urządzeń i oprogramowania ICT (związanego z technologiami informacyjno-telekomunikacyjnymi – toolbox).

Prace nad ustawą zbiegły się w czasie z opublikowaniem przez Komisję Europejską propozycji nowego rozporządzenia, Cybersecurity Act 2.0 (CSA2). Dokument ten ma na celu harmonizację bezpieczeństwa łańcucha dostaw ICT i certyfikacji w całej Unii Europejskiej. I właśnie w nim jest też opisana procedura dotycząca dostawców wysokiego ryzyka.

Kiedy Polska może nowelizować ustawę o KSC po CSA2 i NIS2?

DGP zapytał ekspertów o to, czy w takim razie niebawem czeka nas kolejna nowelizacja ustawy o KSC.

Radczyni prawna Agnieszka Wachowska z kancelarii Traple Konarski, Podrecki i Wspólnicy na wstępie zauważa, że Cybersecurity Act 2 to, póki co, akt o dużym stopniu ogólności. Jej zdaniem przyjęcie nowych ram cyberbezpieczeństwa przez KE zapewne będzie wymagało nowelizacji ustawy o KSC, ale perspektywa ta jest raczej odległa. Mecenas Wachowska jest zdania, że będzie to konieczne tylko wówczas, gdy polski ustawodawca zdecyduje o wprowadzeniu w całości zmiany zaproponowanej w dyrektywie NIS2.

Prawnik Mariusz Busiło z Polskiej Izby Handlu uważa z kolei, że pytanie, czy należałoby nowelizować ustawę o krajowym systemie cyberbezpieczeństwa, jeżeli CSA2 wejdzie w życie, jest o tyle przewrotne, że gdyby nasza ustawa faktycznie wdrażała jedynie NIS2, to pewnie nie trzeba byłoby jej nowelizować.

– Polscy projektodawcy dołączyli jednak do ustawy wdrażającej NIS2 również przepisy dotyczące dostawców wysokiego ryzyka. NIS2 przewiduje co prawda badanie łańcucha dostaw w ramach oceny ryzyka, ale nie ma w niej instytucji dostawców wysokiego ryzyka (DWR). Przepisy dotyczące DWR są zapisane w Toolboxie 5G, który jednak dotyczył tylko dostawców sieci 5G, a w KSC zostały one rozszerzone na 18 sektorów – tłumaczy prawnik.

Zapisy dotyczące dostawców wysokiego ryzyka są również w projektowanym CSA2.

Różnice między polską ustawą o KSC a unijnym Cybersecurity Act 2.0

Nasi rozmówcy zwracają uwagę na niespójności między tym, co przyjął polski ustawodawca, a tym, co planuje KE. Chodzi o procedurę nadawania statusu DWR, którą zgodnie z CSA2 Komisja Europejska mogłaby wszcząć z własnej inicjatywy albo na wniosek trzech krajów.

– To dwuetapowa, uregulowana procedura. Natomiast w naszej nowelizacji ustawy o KSC ta procedura jest jednoosobowa, nieprzejrzysta. Decyzję o nadaniu statusu DWR podejmuje minister cyfryzacji. Co prawda jest też kolegium ds. cyberbezpieczeństwa, ale pełni ono jedynie funkcję doradczą i jest niereprezentatywne, bo składa się tylko z organów „siłowych” – mówi Busiło.

Nasz rozmówca wyjaśnia również, że CSA2 – w przeciwieństwie do polskich regulacji – ma jasno określone kryteria, np. takie dotyczące uznania państwa za stanowiące zagrożenie.

– W CSA2 kryterium to jest oparte na rzeczywistych przesłankach. Istnieje regulacja, która np. nakazuje przedsiębiorcom, którzy wykryją u siebie podatność, najpierw zaraportować tę podatność do rządu. I to jest konkret. Jeżeli jest taki obowiązek, to nie można założyć, że on nie będzie realizowany. Natomiast w polskim KSC użyto sformułowania „prawdopodobieństwo” – analiza ryzyka oparta jest nie na faktach, tylko na prawdopodobieństwie. Prawdopodobieństwo może wynosić 1 proc. i też istnieje. Ponadto w projekcie CSA2 jest też szczegółowa procedura wyłączeń, z której mogą korzystać firmy z państw uznanych za stanowiące zagrożenie, a także procedura odwołań – tłumaczy prawnik.

Ekspert zwraca też uwagę, że sama procedura uznania za DWR polega na tym, że najpierw KE identyfikuje kraj, potem identyfikuje wszystkich dostawców z tego kraju, a potem tych dostawców i ich produkty bada. W Polsce tego nie ma, wszystko jest zależne od jednej decyzji ministra cyfryzacji.

Kolejnym problemem może być to, że nowelizacja ustawy o KSC wyłącza wiele przepisów kodeksu postępowania administracyjnego, a to, jak podnosili m.in. legislatorzy sejmowi, narusza już prawa podstawowe. Zwraca na to uwagę Mariusz Busiło. Ale nie tylko on.

Podobnego zdania jest prof. dr hab. Maciej Rogalski z kancelarii Rogalski i Wspólnicy Kancelaria Prawna, który ostrzega, że w efekcie tego typu zabiegu legislacyjnego dojdzie do naruszenia prawa do korzystania z uprawnień strony oraz prawa do czynnego udziału w postępowaniu podmiotów, które są adresatami decyzji w sprawie dostawcy wysokiego ryzyka. – To organ prowadzący postępowanie będzie decydował jednoosobowo, kto będzie uznany za stronę tego postępowania. Na opinię kolegium ds. cyberbezpieczeństwa nie będzie można złożyć zażalenia, a od decyzji w sprawie uznania za DWR nie będzie przysługiwać wniosek o ponowne rozpoznanie sprawy. Wprawdzie będzie przysługiwać skarga do sądu na decyzję w sprawie DWR, ale sąd będzie rozpatrywał sprawę niejawnie, a uzasadnienia wyroku będą tajne – zauważa nasz rozmówca.

Czy nowelizacja ustawy o KSC wprowadza nadregulację wobec NIS2

Profesor Rogalski zauważa również, że CSA2 wprost stanowi w art. 98 ust. 3, że regulacje krajowe nie mogą być sprzeczne z prawem unijnym, a takie niezgodności występują, choćby właśnie w zakresie zapewnienia prawa do obrony oraz sprawiedliwego i przejrzystego procesu. Co więcej, dodanie do ustawy wdrażającej NIS2 przepisów dotyczących DWR stanowi wyjście poza wymagania określone w art. 5 NIS2, który przewiduje harmonizację minimalną i stanowi nadregulację. Dlatego też, zdaniem naszego rozmówcy, zaproponowany przez polskiego ustawodawcę sposób ukształtowania postępowania w sprawie DWR w zakresie zgodności zarówno z regulacjami unijnymi, jak i krajowymi, musi budzić poważne wątpliwości z punktu widzenia zapewnienia prawa do obrony dla podmiotu, którego będzie dotyczyć to postępowanie, oraz z punktu widzenia zapewnienia sprawiedliwego i rzetelnego procesu.

Aby się przekonać, jak poważny może to być problem, wystarczy sięgnąć do orzecznictwa Trybunału Konstytucyjnego.

– W orzecznictwie TK podkreśla się, że jeżeli zakres ograniczeń danego konstytucyjnego prawa lub wolności przybierze taki rozmiar, że dojdzie do „zniweczenia” podstawowych składników danego konstytucyjnego prawa, do „wydrążenia ich z rzeczywistej treści” i „przekształcenia ich w pozór” tego prawa, to wówczas naruszona zostanie podstawowa treść („istota”) danego konstytucyjnego prawa, co jest konstytucyjnie niedopuszczalne – ostrzega prof. Rogalski.

We wtorek nad ustawą wdrażającą do polskiego porządku prawnego unijną dyrektywę NIS2 pracowała senacka komisja infrastruktury. ©℗

Podstawa prawna

Etap legislacyjny

Ustawa w pracach Senatu