Przedsiębiorcy upominają się o etapy pominięte w pracach nad przepisami o cyberbezpieczeństwie

Konfederacja Lewiatan uważa, że projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC) powinien być rozpatrzony przez Komitet Ekonomiczny Rady Ministrów i Komitet Rady Ministrów ds. Bezpieczeństwa Narodowego, a także zaopiniowany przez Radę Legislacyjną.

Co się dzieje z nowelizacją KSC?
Jakie są merytoryczne uwagi Konfederacji Lewiatan?

Organizacja przedsiębiorców, której członkami bezpośrednimi są m.in. Huawei i wszyscy czterej najwięksi operatorzy telekomunikacyjni, zgłosiła uwagi, choć konsultacje projektu zakończyły się w maju ub.r., gdyż – jak stwierdza – dotychczasowy przebieg prac nad nowelą KSC „budzi wątpliwości co do zgodności ze standardami obowiązującymi w procesie legislacyjnym”. Ponawia przy tym apel z końca ub.r. o ponowne konsultacje, ponieważ od ich pierwszej tury Ministerstwo Cyfryzacji wprowadziło daleko idące, istotne zmiany.

Co się dzieje z nowelizacją KSC?

Projekt KSC został 13 lutego br. przyjęty przez Komitet do Spraw Europejskich i rekomendowany Stałemu Komitetowi Rady Ministrów (SKRM), wraz z protokołem rozbieżności, uwzględniającym uwagi kilku ministerstw. Zdaniem Lewiatana przed SKRM nowelą powinien się zająć KERM – ze względu na potencjalne skutki gospodarcze nowych przepisów i „brak rzetelnego oszacowania kosztów” ich wprowadzenia w ocenie skutków regulacji. Z kolei rozpatrzenie KSC przez Komitet Rady Ministrów do spraw Bezpieczeństwa Narodowego jest konieczne, bo zajmuje się on projektami aktów prawnych o istotnym wpływie m.in. na bezpieczeństwo cyberprzestrzeni. Ponadto według Lewiatana projekt powinien zostać zaopiniowany przez Radę Legislacyjną – m.in. dlatego, że „zawiera przepisy wykraczające poza zakres” dyrektywy 2022/2555 (NIS2), którą KSC ma implementować.

Jakie są merytoryczne uwagi Konfederacji Lewiatan?

Wykraczanie poza NIS2 jest jedną z podstawowych uwag merytorycznych do projektu. W opinii Lewiatana jest to nadimplementacja prawa unijnego. Najjaskrawszym przykładem mają być rozwiązania uprawniające organ właściwy ds. cyberbezpieczeństwa do wstrzymania lub ograniczenia przedsiębiorcom koncesji lub zezwolenia na prowadzenie działalności gospodarczej, a także wstrzymania działalności firmy w całości albo w części. Takie sankcje mogą być konsekwencją niezastosowania się do nakazu lub decyzji organu cyberbezpieczeństwa.

Ich propozycje pojawiły się długo po konsultacjach. MC podkreśla, że wynikają z NIS2 (art. 32 ust. 5). Izba gospodarcza stwierdza jednak, że dyrektywa pozostawia państwom członkowskim swobodę wyboru, czy organ cyberbezpieczeństwa będzie działać samodzielnie (jak w projekcie KSC), czy też za pośrednictwem organu koncesyjnego lub sądu. Lewiatan uważa, że projekt MC „błędnie i nietrafnie wprowadza nieznaną prawu polskiemu instytucję, której nie przewiduje prawo przedsiębiorców ani regulacje sektorowe”, sprawiając, że organ cyberbezpieczeństwa może „wkroczyć w kompetencje organu merytorycznego”, właściwego w sprawie danej koncesji czy zezwolenia, „co nie jest ani celem, ani wymogiem” dyrektywy. ©℗