Ustawa o KSC znowu do poprawki

Drugie czytanie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa w Sejmie nie przyniosło ostatecznego rozstrzygnięcia, a projekt, zamiast trafić pod głosowanie, został ponownie odesłany do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. Choć rząd przekonuje, że nowe przepisy to konieczna tarcza przed rosyjskimi cyberatakami i realizacja dyrektywy NIS2, opozycja punktuje przeregulowanie względem unijnego prawa, ryzyko korupcji oraz zagrożenie dla funkcjonowania polskich firm, zarzucając koalicji rządzącej brak realnego dialogu ze stroną społeczną.

Obrady nad projektem ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa rozpoczęło wystąpienie Pawła Bliźniuka, posła z Koalicji Obywatelskiej, który przekonywał, iż jest on efektem konsensusu, rzetelnej pracy legislacyjnej opartej na dialogu. Jako dowód na otwartość koalicji rządzącej i uwzględnienie postulatów rynku, wskazał na przyjęcie poprawki wydłużającej okres dostosowawczy dla podmiotów objętych ustawą z sześciu do dwunastu miesięcy. Podkreślał też, że projekt jest absolutnie kluczowy z punktu widzenia bezpieczeństwa państwa, obywateli i gospodarki, argumentując, że zmiany legislacyjne w tym zakresie są potrzebne „na wczoraj”. Zwracał uwagę, że ustawa porządkuje system, wprowadzając jasny podział na podmioty kluczowe i ważne, co ma fundamentalne znaczenie dla funkcjonowania newralgicznych obszarów, takich jak szpitale, sieci energetyczne czy bankowość. Dlatego zaapelował o uchwalenie projektu, nazywając go wyważonym, przemyślanym i koniecznym krokiem w stronę ujednolicenia standardów bezpieczeństwa na poziomie europejskim.

Opozycja punktuje przeregulowanie

Obraz nakreślony przez sprawozdawcę zderzył się jednak z krytyką przedstawicieli klubów opozycyjnych. Jako pierwszy głos zabrał Sebastian Łukasiewicz z PIS, który wprost zarzucił mijanie się z prawdą. Według niego, dyskusja na komisji była iluzoryczna, a głos przedsiębiorców systematycznie ignorowany, m.in. poprzez składanie wniosków formalnych ucinających debatę. Ocenił, że ustawa jest procedowana w trybie „walca legislacyjnego”, a w porównaniu do unijnej dyrektywy NIS2, polski projekt jest rażąco przeregulowany. Głównym punktem zapalnym okazała się kwestia dostawców wysokiego ryzyka, która według opozycji jest „wtyczką”, pozwalającą administracji rządowej arbitralnie decydować o tym, który dostawca technologii jest bezpieczny, a który nie, co może prowadzić do strat finansowych. Klub PiS zgłosił poprawki, domagając się wydłużenia okresu karencji dla kar nakładanych na przedsiębiorców do dwóch lat, argumentując to troską o kondycję szpitali samorządowych, które mogą nie udźwignąć kosztów wdrażania nowych wymogów.

W obronie projektu i procedowania stanęli przedstawiciele koalicji rządzącej. Izabela Bodnar z Polski 2050 zdecydowanie zaprzeczyła tezie, jakoby strona społeczna została zignorowana. Posłanka argumentowała, że odbyły się konsultacje, a resort cyfryzacji odpowiadał na każdą wątpliwość zgłaszaną przez rynek. W jej ocenie straszenie przedsiębiorców drastycznymi skutkami ustawy jest manipulacją, a same regulacje są niezbędne w obliczu tysięcy ataków na polską infrastrukturę.

Z kolei Michał Gramatyka, również reprezentujący Polskę 2050 (poseł i wiceminister cyfryzacji), chwalił nowelizację jako „dobre prawo z dobrym nadzorem”, przywołując przykłady zagrożeń, takie jak blackouty czy paraliż systemów transportowych, które mogą być skutkiem zaniedbań w cyberprzestrzeni. Bronił także koncepcji Toolbox 5G, uznając ją za konieczne narzędzie w dobie zagrożeń hybrydowych. O zaletach regulacji mówiła także Joanna Wicha, posłanka Lewicy, zwracając uwagę, że cyfrowa infrastruktura jest dziś tak samo krytyczna jak ta fizyczna, a jedno włamanie może zatrzymać całą linię kolejową, co uzasadnia konieczność posiadania przez państwo twardych narzędzi reakcji.

Widmo korupcji

Debata nabrała temperatury, gdy na mównicę weszli pozostali przedstawiciele opozycji. Jarosław Sachajko z koła Kukiz’15 skrytykował projekt za tworzenie „iluzji bezpieczeństwa” opartej na biurokracji, segregatorach z procedurami i centralizacji, a nie na realnych kompetencjach. Włodzimierz Skalik z Konfederacji Korony Polskiej, wniósł o odrzucenie projektu w całości, wyliczając, że ustawa niepotrzebnie rozciąga rygory NIS 2 na aż 18 sektorów gospodarki, co jest ewenementem na skalę Unii Europejskiej i może dotknąć 40-60 tys. podmiotów. Poseł alarmował, że tak szeroki zakres regulacji stwarza ogromne pole do nadużyć i korupcji przy rozstrzyganiu przez urzędników, kto jest, a kto nie jest dostawcą wysokiego ryzyka. W jego ocenie, nowela naraża polskie firmy na konieczność wymiany sprawnego sprzętu o wielomiliardowej wartości, co uderzy w konkurencyjność gospodarki.

Przypomniał, że posłowie zgłosili poprawki do noweli uwzględniające również wspomniane liczne zastrzeżenia strony społecznej. Niestety niemalże wszystkie zostały odrzucone.

- Odpowiedź strony rządowej jest przeważnie taka, że wymaga tego bezpieczeństwo państwa i zamyka dyskusję – dodał, zaznaczając, że stosowanie nowej ustawy będzie stanowić dodatkową trudność, gdyż będzie wymagać nie tylko interpretacji postanowień nowych, ale także aktu głównego nadal obowiązującego. Tymczasem projekt nie jest adresowany tylko do prawników, lecz też do osób, które nie mają takiego wykształcenia, a będą zobowiązane do stosowania tej regulacji w praktyce. Problem prac nad tą nowelą polega na tym, że dotychczas nie było realnej dyskusji merytorycznej nad postanowieniami nowel wywołującymi krytyczne uwagi.

Bartłomiej Pejo z Konfederacji, zwrócił uwagę na fakt, że Komisja Europejska pracuje już nad nowymi przepisami dostawców wysokiego ryzyka, które wejdą za 12 miesięcy, co sprawia, że polska nowelizacja może stać się nieaktualna niemal natychmiast po wejściu w życie. Zasugerował przyjęcie dyrektywy NIS2 w wersji „czystej”, bez kontrowersyjnych zapisów, w tym „zbędnego Toolbox’a”, skoro nadchodzą nowe unijne przepisy – by uniknąć konieczności szybkiej nowelizacji. Dodał, że wtedy będzie można dalej pracować nad innymi rozwiązaniami. Poseł przypomniał także o istotnej poprawce, którą zgłaszał, a dotyczącej stosowania Kodeksu Postępowania Administracyjnego w procedurze uznawania dostawcy za podmiot wysokiego ryzyka. Jego zdaniem, obecny kształt ustawy, wyłączając standardową ścieżkę administracyjną, oddaje los firm w ręce urzędniczej uznaniowości bez możliwości skutecznej obrony.

Lawina pytań

Po wystąpieniach klubowych nastąpiła seria pytań do przedstawicieli Ministerstwa Cyfryzacji, która pokazała skalę obaw posłów o praktyczne skutki wdrożenia ustawy. Dopytywano o przyczyny tak szerokiego katalogu podmiotów objętych ustawą, wskazując, że wciągnięcie w ten reżim jednostek samorządu terytorialnego czy uczelni wykracza poza wymogi unijnej dyrektywy. Pytano o finanse, w tym o to, czy rząd policzył koszty, jakie poniosą przedsiębiorcy i szpitale, oraz czy przewidziano jakikolwiek fundusz wsparcia lub rekompensat dla podmiotów zmuszonych do wymiany sprzętu. Obawy budziło ryzyko, że małe i średnie firmy, a także zadłużone placówki medyczne, mogą nie udźwignąć ciężaru nowych obowiązków audytowych i inwestycyjnych.

Wiele pytań dotyczyło samej procedury uznawania dostawców za niebezpiecznych. Poproszono o podania konkretnych, mierzalnych kryteriów, jakimi minister cyfryzacji będzie się kierował, wydając takie decyzje, aby uniknąć zarzutu uznaniowości. Pytano również, czy w ministerstwie istnieje już gotowa lista podmiotów, które zostaną uznane za dostawców wysokiego ryzyka. Przy okazji wskazano na ryzyko prawnego chaosu i dublowania się obowiązków nadzorczych dla sektora finansowego, który podlega już pod unijne rozporządzenie DORA. Posłowie pytali wprost, kto będzie organem wiodącym w przypadku kolizji kompetencji i jak rząd zamierza zapobiec paraliżowi decyzyjnemu.

Rząd odpowiada, ale ustawa wraca do prac

Na wątpliwości posłów odpowiadał sekretarz stanu w Ministerstwie Cyfryzacji Paweł Olszewski oraz Paweł Bliźniuk. Odrzucili zarzuty o nadregulację, przekonując, że kierunek obrany przez Polskę jest zbieżny z tym, co planuje Komisja Europejska w nowych aktach prawnych. Podkreślili, że w kwestii dostawców wysokiego ryzyka rząd przyjął twarde stanowisko. Paweł Olszewski zapowiedział, że Polska nie cofnie się ani o krok, a oprogramowanie i sprzęt pochodzące z Rosji czy Białorusi będą eliminowane bezwzględnie, również przy użyciu kryteriów politycznych, ze względu na realne zagrożenie dla bezpieczeństwa państwa.

Zapewnili, że nowe przepisy nie uderzą w małych przedsiębiorców, gdyż jej ostrze skierowane jest w podmioty kluczowe dla funkcjonowania państwa. Odnosząc się do kwestii lobbingu i nacisków, Paweł Olszewski wspomniał o niejawnej notatce Agencji Bezpieczeństwa Wewnętrznego, oferując posłom dostęp do niej w trybie niejawnym, co miało uciąć spekulacje na temat zakulisowych gier wokół ustawy.

Paweł Bliźniuk, powiedział, że stroną społeczną w tym procesie są przede wszystkim obywatele, których bezpieczeństwo jest priorytetem. Argumentował, że w przypadku cyberochrony szpitali czy sieci energetycznych nie ma miejsca na oszczędności, bo stawką jest życie i zdrowie ludzi. Odniósł się również do zarzutów o brak procedowania poprawek opozycji, tłumacząc, że część z nich nie została zgłoszona na etapie prac komisji, ale obiecał pochylenie się nad nowymi propozycjami.

W związku ze zgłoszeniem w drugim czytaniu kolejnego pakietu poprawek oraz dwóch wniosków o odrzucenie projektu w całości, Marszałek Sejmu podjął decyzję o ponownym skierowaniu ustawy do Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii.

Materiał z serwisu partnerskiego "Cyfrowa Gospodarka"