Za naruszenie przepisów o cyberbezpieczeństwie firmom będzie groziła utrata koncesji czy zezwolenia na prowadzenie działalności. Procedura nie pozostawi organom wyboru.

Projektowana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC) przewiduje objęcie obowiązkami 18 sektorów gospodarki i administracji publicznej. W rezultacie nowe wymogi obejmą ok. 38 tys. podmiotów. Będą wśród nich takie, które prowadzą działalność koncesjonowaną lub na podstawie zezwolenia. Ewentualne sankcje mogą być dla nich wyjątkowo bolesne – projekt pozwala organowi właściwemu ds. cyberbezpieczeństwa (będzie nim zależnie od sektora: np. minister energii czy minister cyfryzacji) wejść w rolę superorganu koncesyjnego.

Ryzyko paraliżu

– W przypadku niezastosowania się do nakazu lub decyzji organu właściwego ds. cyberbezpieczeństwa organ ten może spowodować zawieszenie koncesji lub cofnięcie zezwolenia – i to bez odrębnego ostrzeżenia. Może też spowodować nałożenie na osoby zarządzające czasowego zakazu zajmowania stanowiska kierowniczego lub pełnienia funkcji zarządczych – mówi dr Mariusz Rypina, radca prawny, associate partner w kancelarii Prof. Marek Wierzbowski i Partnerzy.

Wskazuje, że tworzy to ryzyko paraliżu działalności reglamentowanej koncesją lub zezwoleniem – groźne ekonomicznie i społecznie. W grę wchodzą takie sektory, jak górnictwo węgla, gazu, ropy naftowej, rud metali; wytwarzanie i przesyłanie energii elektrycznej i cieplnej; gospodarowanie odpadami; apteki i hurtownie farmaceutyczne oraz przewozy lotnicze.

Powodem sankcji może być np. niewykonanie w określonym terminie zaleceń z audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi albo niepodjęcie nakazanych czynności dotyczących obsługi incydentu cyberbezpieczeństwa.

– Formalnie organ ds. cyberbezpieczeństwa występuje wtedy z wnioskiem do organu właściwego w sprawie koncesji lub zezwolenia albo do sądu. Ten jednak nie ma większego pola manewru – zgodnie z projektem jest związany tym, „czy informacje zawarte we wniosku nie budzą wątpliwości” – wyjaśnia dr Rypina.

Projektowany art. 53e przewiduje bowiem, że decyzja – np. o zawieszeniu koncesji – zostaje wydana, jeżeli informacje we wniosku „nie budzą wątpliwości”. To jedyna przewidziana w projekcie przesłanka.

– To rozwiązanie budzi duże wątpliwości – komentuje Mariusz Rypina. – Nie podważam samej możliwości wprowadzenia takiej sankcji do projektu, ale powinna być ona uregulowana z uwzględnieniem realnych kompetencji organów merytorycznych i sądów – dodaje.

Można by np. wprowadzić taką procedurę, w której organ cyberbezpieczeństwa składałby wniosek o wszczęcie postępowania w sprawie zawieszenia albo ograniczenia koncesji lub zezwolenia.

– Następnie organ merytoryczny, wydający koncesje lub zezwolenia, miałby realną możliwość zbadania, czy jest to zasadne i celowe. Natomiast według projektu nie ma on w tej kwestii wiele do powiedzenia – stwierdza mec. Rypina.

Odrębne przepisy

– To nie jest taka sytuacja, że można tylko podpisać wniosek o zawieszenie koncesji czy cofnięcie zezwolenia – uspokaja z kolei Marcin Serafin, partner w kancelarii Rymarz Zdort Maruta. – Wydaje mi się, że organ koncesyjny zachowuje swój obszar kompetencji. Zastosowany w projekcie tryb oznajmujący nie oznacza, że organ koncesyjny nie może odmówić – dodaje.

Jego zdaniem w razie wątpliwości organ koncesyjny może wszcząć postępowanie wyjaśniające (projektowany art. 53e ust. 4).

– Wtedy organ koncesyjny dokona własnej oceny sytuacji – stwierdza. – Zawieszanie czy ograniczanie koncesji to jest strzał z armaty. Dla przedsiębiorcy oznacza śmierć. Stosowanie takiego środka musi być uzasadnione. Jeśli organ koncesyjny uzna, że to zbyt surowa sankcja, to moim zdaniem postępowanie wyjaśniające może się zakończyć umorzeniem sprawy. Nie wydaje mi się, żeby niedostosowanie się do nakazu lub decyzji organu cyberbezpieczeństwa miało w każdym przypadku skutkować zawieszeniem koncesji – mówi Marcin Serafin.

Podkreśla, że odpowiedzialność za decyzje będzie ponosił organ koncesyjny.

– Każda taka decyzja musi mieć faktyczne i prawne uzasadnienie doboru sankcji i musi być kontrolowalna przez sąd – nie tylko od strony formalnej. Organ musi więc być przekonany, że jest ona słuszna. Dlatego jestem przekonany, że jeśli sprawa nie będzie oczywista, to organ koncesyjny będzie prowadził postępowanie we własnym zakresie – stwierdza Marcin Serafin.

Z kolei Mikołaj Prochownik, radca prawny i senior associate w kancelarii KWKR Konieczny Wierzbicki i Partnerzy, zwraca uwagę, że w zakresie nieuregulowanym w projekcie będą miały zastosowanie przepisy odrębne, właściwe dla danego rodzaju działalności: np. prawo energetyczne.

– Decyzję w sprawie podejmie więc właściwy organ decydujący o koncesji lub zezwoleniu – zaznacza Mikołaj Prochownik. – Ale należy się spodziewać, że wniosek organu właściwego ds. cyberbezpieczeństwa będzie potraktowany bardzo poważnie – przyznaje.

Jak podkreśla, wymóg uzyskania koncesji podyktowany jest m.in. względami bezpieczeństwa państwa lub obywateli albo innym ważnym interesem społecznym.

– Dlatego też w razie poważnego naruszenia norm cyberbezpieczeństwa przez podmiot kluczowy uzasadnione może być nawet zawieszenie koncesji, właśnie ze względu na bezpieczeństwo państwa lub obywateli – wskazuje Mikołaj Prochownik. – Nie oznacza to jednak, że środki te mogą być stosowane dowolnie – zastrzega.

Przywołuje uzasadnienie projektu, w którym resort cyfryzacji zaznaczył, że w takiej sytuacji organ cyberbezpieczeństwa powinien brać pod uwagę wiele okoliczności – m.in. wagę i częstotliwość naruszenia oraz spowodowane szkody.

Ten ostatni argument wysuwa też Ministerstwo Cyfryzacji. Dodaje, że zawieszenie koncesji czy cofnięcie zezwolenia „ma być środkiem ostatecznym”, gdyby inne środki nadzoru okazały się nieskuteczne. Ponadto zanim zapadnie decyzja, „podmiot kluczowy będzie miał możliwość przedstawienia swojego stanowiska”.

Uwzględnić realia

Autorzy projektu nie są w stanie przewidzieć, jak często może dochodzić do zawieszania koncesji ze względów cyberbezpieczeństwa. Zdaniem MC można założyć, że środek ten będzie stosowany rzadko.

Opublikowana w piątek po południu najnowsza wersja projektu przewiduje jeszcze poszerzony zakres sankcji. Organ cyberbezpieczeństwa będzie mógł się zwrócić do organu, który dokonał wpisu podmiotu kluczowego do rejestru działalności regulowanej lub do organu, który prowadzi Centralną Ewidencję i Informację o Działalności Gospodarczej – o zawieszenie działalności do czasu usunięcia uchybień lub zaprzestania naruszeń.

Ministerstwo zaznacza, że firmom zagrożonym paraliżem działalności będzie przysługiwała skarga do sądu administracyjnego. Jej „wniesienie spowoduje zawieszenie stosowania dalej idących środków”.

Jak podkreśla MC, projektowane rozwiązanie wynika z unijnej dyrektywy 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (dalej: NIS2), którą nowela KSC transponuje.

Jednak Mariusz Rypina wskazuje, że problemem nie jest dyrektywa, tylko sposób implementacji.

– Zastosowanie tego rozwiązania w projekcie ustawy wynika z bezrefleksyjnego i nieprecyzyjnego wdrożenia pewnych regulacji z dyrektywy NIS2, które nie przystają jednak w pełni do naszych realiów – wyjaśnia. ©℗

ikona lupy />
Unia pod cyberostrzałem / Dziennik Gazeta Prawna - wydanie cyfrowe