Przedsiębiorcy dostaną sześć miesięcy na dostosowanie się do nowelizacji ustawy o KSC

Wejście w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa zostanie skoordynowane z nowym prawem komunikacji elektronicznej. Przedsiębiorcy dostaną sześć miesięcy na dostosowanie się do niej.

W ocenie skutków regulacji do najnowszej wersji projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC) pojawił się zapis, że „ze względu na związki treściowe” ustawa „powinna wejść w życie w tym samym dniu co ustawa – Prawo komunikacji elektronicznej” (dalej: PKE). Obie regulacje przygotowuje resort cyfryzacji, obie będą podstawowymi ustawami dla rynku telekomunikacyjnego i obie mają prawie trzyletnią historię.

Profesor doktor habilitowany Maciej Rogalski, rektor Uczelni Łazarskiego i partner w kancelarii prawnej Rogalski i Wspólnicy, uważa taką synchronizację terminów za dobre rozwiązanie.

– W ten sposób projekt nowelizacji KSC uwzględnia uwagi prezesa Rządowego Centrum Legislacji, który wskazywał na potencjalne niezgodności wynikające z różnicy między siatką pojęciową w obecnej ustawie – Prawo telekomunikacyjne (dalej: Pt) i w projektowanym PKE (zastąpi Pt – red.) – mówi prof. Rogalski. Definicje w poprzednich wersjach projektu nowelizacji KSC opierały się na Pt. W najnowszej – już na PKE.

Sprzęt wysokiego ryzyka

Mozolne prace rządowe nad nowelizacją KSC toczą się od 2020 r. Oprócz połączenia jej losów z PKE do istotnych zmian, jakie wprowadza wersja projektu datowana na 5 maja br., należy przedłużenie vacatio legis z 30 dni do 6 miesięcy.

– To dobra zmiana, stanowi odpowiedź na postulaty biznesu. Dzięki temu podmioty objęte nowelizacją, w szczególności duża grupa włączonych do krajowego systemu cyberbezpieczeństwa mocą nowelizacji przedsiębiorców komunikacji elektronicznej, będzie miała więcej czasu na stworzenie nowych rozwiązań infrastrukturalnych, koniecznych dla dostosowania się do nowych obowiązków – ocenia Klaudia Radwańska z zespołu IP/TMT kancelarii WKB Lawyers.

Najwięcej kontrowersji od początku prac nad projektem KSC budzą zapisy dotyczące dostawców urządzeń i oprogramowania do budowy i utrzymania sieci telekomunikacyjnych. Będą oni badani pod kątem ewentualnego zagrożenia dla bezpieczeństwa. Sprzętu firm uznanych za dostawców wysokiego ryzyka nie będzie wolno kupować, a już posiadany trzeba będzie wymienić. Te przepisy miały być podstawą wymogów dotyczących cyberbezpieczeństwa sieci przy aukcji częstotliwości na ogólnopolską sieć komórkową piątej generacji (5G). Jednak z powodu przedłużających się prac nad KSC prezes Urzędu Komunikacji Elektronicznej opracował dokumentację aukcyjną bez nowelizacji.

Stanisław Wasilewski z zespołu IP/TMT kancelarii WKB Lawyers stwierdza, że procedura wciąż budzi wątpliwości.

– Przepisy ustawy nowelizującej zostały skonstruowane w taki sposób, że decyzja ministra ds. informatyzacji w sprawie uznania podmiotu za dostawcę wysokiego ryzyka może mieć w praktyce charakter uznaniowy, a wobec jej poważnych konsekwencji (co najmniej częściowe wyeliminowanie takiego podmiotu z rynku) oraz natychmiastowej wykonalności stanowi bardzo poważne zagrożenie dla stabilności i konkurencyjności obrotu w tym sektorze – argumentuje.

Przepisy na kilka miesięcy

Uzasadnieniem autorów projektu dla tej procedury i pozostałych zapisów KSC jest dążenie do zwiększenie poziomu cyberbezpieczeństwa. Czy jednak po prawie trzech latach prac projekt odpowiada na współczesne wyzwania w tej sferze?

Stanisław Wasilewski uważa, że nie w pełni.

– Przykładowo jedynym z istotnych aspektów nowelizacji jest kwestia stworzenia strategicznej sieci bezpieczeństwa przeznaczonej dla najważniejszych podmiotów publicznych, której celem ma być realizacja zadań na rzecz obronności, bezpieczeństwa państwa i porządku publicznego. W tym kontekście niezrozumiałe jest wyłączenie obowiązku korzystania z sieci przez służby specjalne, Siły Zbrojne RP oraz jednostki podległe lub nadzorowane przez MON. Uważam, że to właśnie te podmioty, ze względu na ich kluczową rolę dla szeroko rozumianego bezpieczeństwa RP, powinny być obowiązane do korzystania z bezpiecznej łączności wprowadzanej nowymi przepisami – stwierdza prawnik.

Z kolei Agnieszka Wachowska, radczyni prawna, co-managing partner kancelarii Traple Konarski Podrecki i Wspólnicy, zastrzega, że trudno jednoznacznie odpowiedzieć na to pytanie. Z jednej strony duża część przepisów dąży do wzmocnienia cyberbezpieczeństwa państwa. Z drugiej projekt rozszerza uprawnienia ministra ds. informatyzacji, nie zapewniając przy tym odpowiedniej kontroli.

– Wraz z publikacją kolejnych wersji projektu ustawodawca zaostrza lub nakłada nowe obowiązki na podmioty krajowego systemu cyberbezpieczeństwa oraz rozszerza katalog podmiotów, które wchodzą do tego systemu. Jednocześnie dość znacznemu rozszerzeniu ulegają kompetencje poszczególnych organów państwowych – komentuje prawniczka.

Obecna wersja projektu KSC jest już dziesiątą, lecz tak jak dziewięć poprzednich nie uwzględnia zapisów dyrektywy NIS2 (dyrektywa 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii). Państwa członkowskie muszą ją implementować do 17 października 2024 r.

– Można przypuszczać, że procedowana obecnie nowelizacja KSC wejdzie w życie najszybciej w końcu I kw. 2024 r. – ocenia Maciej Rogalski, biorąc pod uwagę jej powiązanie z projektem PKE i półroczne vacatio legis. – A to oznacza, że będzie obowiązywała zaledwie kilka miesięcy, bo zaraz trzeba będzie implementować NIS2. To nieracjonalne – przekonuje.

Jego zdaniem najlepszym rozwiązaniem byłoby poniechanie obecnego projektu KSC i przygotowanie nowej ustawy o cyberbezpieczeństwie, obejmującej zapisy planowanej nowelizacji i wdrożenie NIS2. ©℗