Przedsiębiorcy obawiają się, że szef resortu cyfryzacji otrzyma zbyt duże uprawnienia i w praktyce będzie mógł samodzielnie decydować o być albo nie być wielu firm.

Z kilkunastu stanowisk izb gospodarczych z uwagami do projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC), z którymi zapoznał się DGP, wynika, że nowe przepisy budzą spore wątpliwości przedsiębiorców. Jednym z problemów w nich wskazywanych jest znaczące zwiększenie uprawnień ministra cyfryzacji – co Konfederacja Lewiatan nazwała „koncepcją superorganu ds. cyberbezpieczeństwa”.

Zgodnie z projektem minister właściwy ds. informatyzacji (tj. obecnie minister cyfryzacji) decyzją o uznaniu za dostawcę wysokiego ryzyka (HRV) będzie mógł usuwać z polskiego rynku dowolnych dostawców ICT (produktów, usług lub procesów związanych z technologiami informacyjno-telekomunikacyjnymi), przez rekomendacje decydować o losach zamówień publicznych we wszystkich branżach, a przez tzw. polecenia zabezpieczające – ograniczać i w praktyce zamykać działalność gospodarczą.

Jak stwierdza Lewiatan, proponowane uprawnienia dają ministrowi „znaczny wpływ na całą polską gospodarkę, co budzi obawy o nadmierne kompetencje i potencjalne konflikty z Konstytucją RP” – szczególnie w sytuacji, gdy jest on „organem jednoosobowym o charakterze politycznym”. Konfederacja podkreśla, że to prerogatywy „niespotykane w dotychczasowej legislacji”, a powody ich przyznania są nieznane. „Takie uprawnienia mogą prowadzić do nieproporcjonalnej kontroli” – ostrzega Lewiatan.

Także Pracodawcy RP obawiają się projektowanej koncentracji uprawnień ministra cyfryzacji. Wskazują przy tym, że skutki decyzji o HRV dotkną wiele sektorów – także zupełnie niezwiązanych ze zwykłą działalnością resortu cyfryzacji. Pracodawcy RP zwracają uwagę, że ministerstwo „nie posiada wystarczających zasobów lub specjalistycznej wiedzy na temat każdego sektora” i w rezultacie „ocena ryzyka może być chybiona, a wydawane decyzje – nietrafne”. Projekt przewiduje wprawdzie w procesie decyzyjnym wsparcie Kolegium ds. Cyberbezpieczeństwa, „lecz będzie to organ doradczy, którego zalecenia nie będą wiążące” – zaznaczają Pracodawcy RP.

– Rynek dostrzega to, że minister właściwy ds. cyfryzacji, na mocy omawianego projektu ustawy, zyskuje silniejsze umocowanie w stosunku do dotychczas przysługujących mu kompetencji – mówi dr Aleksandra Musielak, dyrektorka departamentu rynku cyfrowego w Konfederacji Lewiatan.

Lewiatan uznaje, że tak daleko idącym nowym instrumentom wpływania na rynek muszą towarzyszyć dodatkowe gwarancje. – Proponujemy rozważenie kwestii zapewnienia przedsiębiorcom, zgodnie z zasadą proporcjonalności, prawa do odwołania – w odniesieniu do rekomendacji i poleceń – i ponowne rozważenie konieczności obwarowania postanowień zabezpieczających czy decyzji o uznaniu za dostawcę wysokiego ryzyka rygorem natychmiastowej wykonalności – stwierdza ekspertka. – Przedsiębiorcy wierzą, że w duchu dialogu z Ministerstwem Cyfryzacji, które z szacunkiem podchodzi do głosu rynku, uda się wspólnie wypracować rozwiązania równoważące szersze uprawnienia ministra – dodaje Aleksandra Musielak.

Zdanie odrębne

Rynek nie mówi jednak w sprawie KSC jednym głosem. Sprawa projektu jest tak drażliwa, że wywołała nawet podział wewnątrz Polskiej Izby Informatyki i Telekomunikacji (PIIT), która w swoim stanowisku zaznaczyła zdanie odrębne firm: Ericsson, Nokia i Samsung.

Odnosi się ono do rozwiązań dotyczących dostawców wysokiego ryzyka. W uproszczeniu: po decyzji ministra firmy i administracja publiczna nie będą mogły stosować produktów czy aplikacji uznanych za ryzykowne dla bezpieczeństwa państwa. W zasadniczej opinii PIIT wskazano potrzebę modyfikacji projektowanych przepisów. Izba postuluje m.in. cykliczny przegląd decyzji o uznaniu za HRV. „Przegląd wydanej decyzji powinien się odbywać po okresie nie krótszym niż czas wynikający z decyzji”, a przeznaczony na obowiązkową wymianę sprzętu lub oprogramowania od HRV.

Pod względem terminów PIIT też proponuje zmiany – m.in. polegające na wydłużeniu minimalnego czasu z czterech do pięciu lat.

Natomiast Ericsson, Nokia i Samsung odcinają się od tej części stanowiska izby, stwierdzając, że „nie do przedsiębiorstw sektora prywatnego należy kwestionowanie środków podjętych przez rząd w celu ochrony bezpieczeństwa narodowego”. Ich zdaniem polska propozycja przepisów o HRV „nie odbiega od tego, co zaproponowała większość krajów, które podjęły środki do tej pory, i odzwierciedlają one zrównoważone i rozsądne podejście oparte na ocenie ryzyka”.

Powodu rozłamu w PIIT nie podano, ale nie jest tajemnicą, że za dostawców wysokiego ryzyka mogą zostać uznane firmy chińskie – na czele z Huawei. Natomiast Ericsson i Nokia to dostawcy europejscy, a Samsung – południowokoreański, czyli naturalni konkurenci.

Pracodawcy RP wprost wskazują w konsultacjach, że do oceny będącej podstawą uznania za HRV „wprowadzone zostały niemierzalne kryteria, wyraźnie adresowane do chińskich dostawców, co dotknie również wszystkie podmioty korzystające z ich usług”.

Wątpliwości konstytucyjne

Profesor Marek Chmaj w analizie wykonanej na zlecenie Federacji Przedsiębiorców Polskich wskazuje, że w zakresie HRV projekt powiela rozwiązania proponowane w poprzedniej kadencji parlamentu – oraz zawarte w nich wady. „Zdziwienie musi budzić brak odpowiedniej refleksji projektodawcy, albowiem projektowane regulacje szczególnie dotkliwie ingerują w te prawa i wolności jednostek, które są fundamentem demokratycznego państwa prawnego” – stwierdza prof. Chmaj.

W analizie zwraca on uwagę m.in. na wyłączenie możliwości udziału w postępowaniu HRV w charakterze stron podmiotów kluczowych i ważnych, czyli firm, które potem będą musiały usuwać sprzęt uznany za ryzykowny. Jego zdaniem budzi to „wątpliwości co do zgodności z zasadą sprawiedliwości społecznej i prawem do dobrej administracji (art. 2 konstytucji), jak również prawem tych podmiotów do zaskarżania decyzji (art. 78 konstytucji) i prawem do sądu administracyjnego (art. 45 ust. 1 w zw. z art. 184 konstytucji)”.

Zastrzeżenia wobec procedury HRV zgłosiła też m.in. Polska Izba Komunikacji Elektronicznej (PIKE). Jak zaznacza, to rozwiązanie nie ogranicza się do producentów, obejmuje też przedstawicieli, importerów lub dystrybutorów ICT. „Obawiamy się, że tak szeroki zakres podmiotów, które mogą być uznane za dostawcę wysokiego ryzyka, w niedługim czasie ograniczy dostępność sprzętu i usług ICT w Polsce” – alarmuje PIKE.

Wojewódzka Rada Dialogu Społecznego w woj. mazowieckim – w stanowisku zaakceptowanym przez stronę pracodawców, stronę pracowników oraz stronę samorządową – stwierdza zaś, że dla dostawcy wysokiego ryzyka projekt „nie zakłada nawet możliwości poprawy” w zakresie zabezpieczeń. „To wręcz niedopuszczalne, żeby nie przewidzieć jakiegokolwiek postępowania sanacyjnego dla takiego dostawcy” – podkreśla rada. „Sam już proces, w ramach którego rozstrzygane będzie, czy dany dostawca jest dostawcą wysokiego ryzyka, będzie wiązał się dla niego ze swoistego rodzaju ostracyzmem ze strony jego klientów, niezależnie od wyniku” – dodaje.

Rozmowy w toku

W wielu stanowiskach podniesiono ponadto konieczność uzupełnienia oceny skutków regulacji. Między innymi Federacja Konsumentów wskazuje potrzebę dodania analizy konsumenckich kosztów wymiany sprzętu od HRV – podkreślając, że obowiązek dotknie sektory „newralgiczne” dla konsumentów – jak produkcja i przetwarzanie żywności, ścieki i woda.

Jak nas informuje dr Aleksandra Musielak, mimo zakończenia konsultacji trwają rozmowy przedstawicieli przedsiębiorców z resortem w sprawie dalszych prac nad KSC. ©℗

ikona lupy />
Nowe przepisy mają zwiększyć cyberbezpieczeństwo / Dziennik Gazeta Prawna - wydanie cyfrowe