„Służby Komisji otrzymały informację, że polskie władze omawiają projekt ustawy o cyberbezpieczeństwie” – zwraca się do Ministerstwa Rozwoju i Technologii jeden z departamentów Komisji Europejskiej. „Chcielibyśmy przypomnieć, że jeżeli projekt” przewiduje przepisy techniczne, to „muszą one zostać zgłoszone Komisji” – czytamy dalej w mailu, który DGP otrzymał nieoficjalnie.

Sprawa trafiła z MRiT do Ministerstwa Cyfryzacji, bo ten resort odpowiada za projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2022 r. poz. 1863 ze zm.; dalej: KSC), o który chodzi Brukseli. „Otrzymaliśmy przypomnienie Komisji Europejskiej o konieczności notyfikowania wszelkich projektów aktów prawnych zawierających przepisy techniczne” – potwierdza nam biuro prasowe MC.

O co chodzi Komisji Europejskiej?

Komisja Europejska powołuje się na dyrektywę ustanawiającą procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego (dalej: dyrektywę 2015/1535). Przewiduje ona obowiązek notyfikowania projektów aktów prawnych, które zawierają przepisy techniczne (patrz ramka).

W uzasadnieniu projektu noweli KSC stwierdzono, że nie zawiera on takich przepisów, więc nie podlega notyfikacji. W odpowiedzi na nasze pytania MC podtrzymuje to stanowisko. „Również Minister do Spraw Unii Europejskiej w swoich opiniach dotyczących tego projektu ustawy nie wskazywał na konieczność jego notyfikacji” – dodaje.

Czy nowelizacja KSC zawiera przepisy techniczne?

Z opinią MC nie zgadza się prof. dr hab. Maciej Rogalski, rektor Uczelni Łazarskiego i partner w kancelarii prawnej Rogalski i Wspólnicy. - Projekt zawiera przepisy techniczne i powinien być notyfikowany Komisji Europejskiej – mówi.

Nowela stanowi przede wszystkim implementację unijnej dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (tj. 2022/2555; dalej: NIS2). Ale przewiduje też rozwiązania umożliwiające ministrowi cyfryzacji wydawanie decyzji o uznaniu dostawcy produktów, usług lub procesów ICT (związanych z technologiami informacyjno-telekomunikacyjnymi) za dostawcę wysokiego ryzyka (HRV). Konsekwencją będzie zakaz wprowadzania do obrotu i obowiązek wycofania przez podmioty KSC produktów, usług lub procesów takiego dostawcy. - Z tego względu projekt wymaga notyfikacji – uważa Maciej Rogalski.

Nowelizację KSC próbował przeprowadzić już poprzedni rząd. Początkowo zamierzał zgłosić Komisji przepisy o HRV, ale w końcowej wersji projektu (z czerwca 2023 r.) od tego odstąpił. Dr Michał Krotoszyński, radca prawny w Kancelaria Prawna Media, w opracowaniu na zlecenie Polskiej Izby Komunikacji Elektronicznej przedstawił wtedy argumenty za tym, że przepisy o HRV stanowią przepisy techniczne. Dowodził, że w odniesieniu do produktów ICT ustanawiają one „inne wymagania” w rozumieniu dyrektywy 2015/1535, a do usług i procesów - „zasady dotyczące usług społeczeństwa informacyjnego”.

- W zakresie przesłanek i skutków uznania dostawcy sprzętu i oprogramowania ICT za dostawcę wysokiego ryzyka obecny projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa jest w swojej konstrukcji niemal tożsamy z poprzednim projektem - opracowanym, gdy ministrem cyfryzacji był Janusz Cieszyński. Z tego powodu opinia dotycząca potrzeby notyfikacji technicznej, przygotowana w 2023 roku przez dr. Michała Krotoszyńskiego dla PIKE, pozostaje aktualna – stwierdza Kinga Pawłowska-Nojszewska, radca prawny w Kancelarii Prawnej Media.

Konsekwencją notyfikacji będzie opóźnienie noweli KSC

- Część opinii wskazuje, że notyfikacja tych przepisów jest konieczna. Ministerstwo uważa, że nie. Myślę, że decydujące będzie zdanie Komisji – mówi Marcin Serafin, partner w kancelarii Rymarz Zdort Maruta. W razie podejrzenia ominięcia procedury notyfikacji Komisja może nawet skierować sprawę do Trybunału Sprawiedliwości Unii Europejskiej. Póki co nie wiemy, czy to zrobi. „Wygląda na to, że polskie władze oceniły potrzebę zgłoszenia i stwierdziły, że projekt nie zawiera przepisów technicznych podlegających zgłoszeniu” – zdawkowo informuje nas biuro prasowe KE.

Notyfikacja standardowo oznacza konieczność zawieszenia projektu na trzy miesiące, a w najczarniejszym scenariuszu na 18 miesięcy (patrz ramka). W takim wariancie jeszcze bardziej opóźniłaby się więc implementacja dyrektywy NIS2 – której termin minął 17 października ub.r.i Komisja wydała już wobec Polski uzasadnioną opinię.

- Nie chce mi się wierzyć, żeby Komisja miała zatrzymywać na 18 miesięcy wdrożenie NIS2, skoro jesteśmy prawie rok po terminie. Nawet trzy miesiące zwłoki to problem. Dodatkowo dla rządu byłaby to porażka wizerunkowa, gdyby po prawie 15 miesiącach procedowania projektu (pierwszą wersję w tej kadencji opublikowano w kwietniu ub.r. - red.) okazało się, że nie spełniono obowiązku notyfikacji, której brak może unieważnić część ustawy – analizuje Marcin Serafin.

Jakie mogą być skutki zaniedbania obowiązku notyfikacji?

Scenariusz, w którym KE odpuszcza i nowela zostaje uchwalona bez notyfikacji, też niesie ryzyko. Bo to wcale nie znaczy, że notyfikacja nie była konieczna. A jeżeli była i nie została dokonana, to – ostrzega Bruksela w mailu do MRiT - stanowi to „istotną wadę proceduralną w przyjęciu przedmiotowego przepisu technicznego”, zgodnie z orzeczeniem TSUE (sprawa C-194/94).

Konsekwencje? Przepisy o HRV mogą zostać uznane przez sądy krajowe za niemające zastosowania. Jak wyjaśnia prof. Rogalski, będzie tego mógł dochodzić każdy podmiot objęty przepisami noweli KSC. - Uznanie przepisów za nieobowiązujące będzie oznaczać, że przepisy te są niewykonalne zarówno w stosunku do przedsiębiorstw, jak i osób fizycznych – mówi Maciej Rogalski. Jego zdaniem więc skoro Komisja Europejska dopytuje o notyfikację należałoby bardzo dokładnie przeanalizować sprawę, zwłaszcza że w tym zakresie jest już ugruntowane orzecznictwo TSUE, np. sprawy Beca Engineering, Município de Palmela, VG Media czy Sapod Audic. Dodaje, że w podobnych sprawach notyfikacji dokonały Belgia, Bułgaria, Estonia, Finlandia, Francja, Hiszpania, Irlandia, Niderlandy, Niemcy i Szwecja.

Czy warto ryzykować sądowe podważanie noweli KSC z powodu trzech miesięcy?

- Od początku tylko ta część projektu, która dotyczy dostawców wysokiego ryzyka, sprawia kłopoty i spowalnia prace nad pozostałymi rozwiązaniami. Moim zdaniem należałoby więc wyłączyć te kłopotliwe przepisy i przyjąć nowelizację KSC wdrażającą dyrektywę NIS2. Natomiast przepisy o dostawcach wysokiego ryzyka można by potem procedować osobno i zadbać o ich notyfikację – uważa Marcin Serafin. - Źle to wygląda, gdy minister cyfryzacji z jednej strony podkreśla znaczenie cyberbezpieczeństwa, a z drugiej strony nie jest w stanie doprowadzić do przyjęcia implementacji NIS2 – dodaje.

Ministerstwo Cyfryzacji poinformowało DGP, że jego zdaniem „notyfikacji mogą podlegać decyzje wydane na podstawie znowelizowanej ustawy”.

- Zgodnie z dyrektywą notyfikacja dotyczy projektów przepisów – ustaw lub aktów wykonawczych - natomiast decyzja nie jest przepisem – wskazuje Maciej Rogalski. Dodaje, że ewentualna notyfikacja decyzji nie zastąpi braku notyfikacji przepisów technicznych ustawy. - Nie spowoduje też, że decyzja wydana w oparciu o wadliwe przepisy stanie się decyzją wydaną w sposób prawidłowy – stwierdza.