Posiedzenie senackiej Komisji Infrastruktury pod przewodnictwem senatora Ryszarda Świlskiego z Koalicji Obywatelskiej, który podkreślił na wstępie pilny tryb procedowania ustawy, okazało się po raz kolejny areną starcia między kwestiami związanymi z bezpieczeństwem narodowym, a obawami o stabilność obrotu gospodarczego. Debatę nad projektem ustawy o KSC otworzył Paweł Olszewski sekretarz stanu w Ministerstwie Cyfryzacji, który przekonywał do rządowego projektu, dodając, że wszyscy uczestnicy procesu legislacyjnego znają się już „jak łyse konie”, odnosząc się tym samym do wieloletnich prac nad tą regulacją. Przedstawił ustawę jako kluczową dla przetrwania państwa w dobie narastającej agresji hybrydowej. Wskazywał, że Polska jest przedmiotem intensywnych działań cybernetycznych ze strony Rosji i Białorusi. Podkreślił, że projekt był jedną z najbardziej konsultowanych ustaw tej kadencji, po przejściu przez szereg rządowych gremiów, komisji sejmowych oraz szerokich konsultacji z rynkiem, które zaowocowały ponad tysiącem stron uwag. Dodał, że ustawa ma nie tylko wzmacniać odporność Polski, ale też uchronić budżet przed potencjalnymi karami Komisji Europejskiej, które mogą sięgnąć nawet 2 mld zł w razie niewdrożenia NIS2.

Szereg zastrzeżeń Biura Legislacyjnego Senatu

Biuro Legislacyjne Senatu, zwróciło jednak uwagę, że szybkie tempo prac w ostatnich dniach przełożyło się na ograniczoną możliwości analizy bardzo obszernych przepisów, bo ustawa trafiła do niego niespełna 24 godziny wcześniej. Mimo to zespół legislatorów zidentyfikował 19 szczegółowych uwag, w tym liczne błędne odesłania, niespójności terminologiczne i rozwiązania, które mogą czynić przepisy martwymi, ale też naruszać zasady techniki prawodawczej, a nawet konstytucyjne standardy pewności prawa. Przykładowo zauważono, że ustawa miesza pojęcia „w terminie” oraz „w ciągu”, co ma fundamentalne znaczenie dla podmiotów zobowiązanych do raportowania incydentów w określonych godzinach. Takie nieścisłości, mogą natomiast prowadzić do arbitralności w nakładaniu kar przez organy nadzorcze. Zwrócono też uwagę na konstrukcje, w których organy administracji otrzymują szerokie uprawnienia, ale kluczowe standardy mają być dopiero doprecyzowane w niejawnych metodach nadzoru. Biuro Legislacyjne oceniło, że skala i charakter poprawek koniecznych do uporządkowania ustawy jest znacząca, a liczba samych uwag – zatrważająca. Eksperci biura wskazali, że w związku z tym rząd powinien przygotować zupełnie nową ustawę.

Minister Olszewski nie zgodził się jednak z tymi uwagami, twierdząc, że projekt był szlifowany latami i dalsze doprecyzowanie techniczne nie powinno wstrzymywać procesu legislacyjnego. Powiedział, że przyjęto szereg poprawek, jako choćby tę w sprawie wydłużenia okresu dostosowawczego dla firm do 12 miesięcy, wydłużenia terminu z 12 miesięcy do 24 miesięcy, jeśli chodzi o możliwość nakładania kar czy zapewnienia możliwości udziału przedstawiciela prezydenta w kluczowych dla cyberbezpieczeństwa procesach.

Chaos prawny w związku z KSC

W imieniu Polskiego Towarzystwa Gospodarczego wystąpił dr Paweł Marcisz, który skupił się na zgodności regulacji dotyczących dostawców wysokiego ryzyka z prawem UE. Ekspert podkreślił, że niedotykając nawet meritum przepisu o tzw. dostawcy wysokiego ryzyka, należy zwrócić uwagę na ryzyka proceduralne z nim związane. Wskazał, że mechanizm DWR jest przepisem technicznym w rozumieniu prawa unijnego i jako taki wymaga notyfikacji Komisji Europejskiej na etapie projektu. Wyjaśnił, że nie notyfikuje się prawa unijnego, natomiast status DWR nie jest implementacją unijnej dyrektywy NIS2, a wdrożeniem Toolbox 5G, który jest dokumentem niewiążącym i nie zwalnia z obowiązku notyfikacji do UE. Ponieważ rząd polski takiej notyfikacji nie dokonał, to Polskę czeka kilka lat chaosu prawnego. Wspomniał również o obowiązku notyfikacji przepisów do Światowej Organizacji Handlu, której Polska jest członkiem i wydaje się, że tam też nie dokonano analizy czy powinna zostać ona dokonana.

Zgodnie z orzecznictwem Trybunału Sprawiedliwości UE, nienotyfikowane przepisy techniczne są bezskuteczne wobec jednostek. Oznacza to, że przedsiębiorcy będą mogli skutecznie podważać decyzje ministra przed sądami, co doprowadzi do paraliżu systemu bezpieczeństwa, który ustawa miała rzekomo wzmocnić. Ekspert podkreślił, że oszczędność trzech miesięcy potrzebnych na notyfikację może skutkować dekadą sporów odszkodowawczych.

W opinii dr Marcisza przepisy o DWR należy wydzielić do osobnego aktu prawnego, którego projekt byłby notyfikowany i później wszedłby w życie, co nie spowoduje opóźnień w implementacji dyrektywy NIS2, gdyż nie zawiera ona przepisu o DWR.

Niemy głos rynku na temat projektu ustawy o KSC

Obawy wobec konstrukcji ustawy zgłaszali też przedstawiciele organizacji biznesowych. Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji, wskazał na konieczność proporcjonalności przepisów i unikania nadregulacji wykraczającej poza rozwiązania przyjmowane w innych państwach UE, co mogłoby osłabić konkurencyjność polskiego sektora ICT. Dodał, że branża czeka na te przepisy od lat i potrzebuje jasnych reguł gry, by móc planować inwestycje we współpracy z partnerami europejskimi

Z kolei Aleksandra Musielak, ekspertka Konfederacji Lewiatan, podziękowała za wydłużenie okresu dostosowawczego z sześciu do dwunastu miesięcy, co określiła jako zmianę przyjętą z dużym uznaniem przez przedsiębiorców. Jednocześnie zasygnalizowała, że w ustawie zabrakło zasady proporcjonalności. W obecnym kształcie przepisy obejmują wszystkie sektory działalności firmy, nawet te, które nie mają wpływu na cyberbezpieczeństwo usług kluczowych.

Kinga Pawłowska‑Nojszewska z Krajowej Izby Komunikacji Ethernetowej, podkreśliła natomiast, że branża nie kwestionuje samej potrzeby ochrony sieci przed podejrzanym sprzętem, ale sprzeciwia się formie, która wykracza poza standardy unijne. Podkreśliła, że polski model dostawcy wysokiego ryzyka (DWR) jest najbardziej restrykcyjny w Europie, co uderza w równe szanse polskich firm na wspólnym rynku. Dlatego postulowała o zmiany w przepisach dotyczących DWR.

Z kolei Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej, zwrócił uwagę na niebezpieczeństwo płynące z nadmiernej koncentracji uprawnień w rękach ministra cyfryzacji. Ustawa obejmuje aż 18 sektorów gospodarki, od energetyki po gospodarkę ściekami, nad którymi resort cyfryzacji nie ma merytorycznego nadzoru. Zaznaczył, że decyzje o wykluczeniu konkretnych dostawców technologii będą podejmowane bez wiążącego udziału ministerstw odpowiedzialnych za poszczególne sektory. Może to prowadzić do sytuacji, w której urzędnicy nie do końca rozumiejący specyfikę danej branży, będą podejmować arbitralne decyzje o gigantycznych skutkach finansowych. Prezes KIKE ostrzegł, że brak przejrzystości i oparcie procedury na uznaniowości, zamiast na twardych parametrach technicznych, tworzy pole do nadużyć i walk korporacyjnych. W jego opinii, zamiast ręcznego sterowania gospodarką, państwo powinno postawić na jasne kryteria zgodności z normami międzynarodowymi

Profesor Marek Chmaj, reprezentujący Ogólnopolską Federację Przedsiębiorców i Pracodawców – Przedsiębiorcy.pl podkreślił, że każda regulacja ograniczająca swobodę działalności musi opierać się na konstytucyjnej przesłance konieczności w demokratycznym państwie, a nie jedynie na ogólnym celu ochrony bezpieczeństwa.

Polskie firmy nie chcą być w gorszej sytuacji

Wiceminister Paweł Olszewski, odnosząc się do tych zarzutów, stwierdził kategorycznie, że nie widzi żadnej możliwości wycofania się z przepisów o dostawcach wysokiego ryzyka. Stwierdził, że każdy, kto sprzeciwia się tym przepisom, działa przeciwko bezpieczeństwu Polski. Wyjaśnił, że rząd opiera się na analizach służb specjalnych, a mechanizm DWR ma na celu wyeliminowanie sprzętu pochodzącego z krajów, które mogą wykorzystywać technologię do celów szpiegowskich lub sabotażowych. Minister porównał wycofywanie sprzętu DWR do działania Sanepidu wycofującego zepsutą żywność, argumentując, że państwo musi mieć prawo do natychmiastowej reakcji na zagrożenie, choć i tak przewidziano siedmioletni okres na wymianę urządzeń. Nie przekonało to jednak przedstawicieli małych i średnich przedsiębiorstw telekomunikacyjnych, którzy apelowali, by polscy przedsiębiorcy nie byli stawiani w gorszej sytuacji niż ich konkurenci z innych krajów UE, gdzie przepisy są mniej dotkliwe. Przedstawiciele biznesu podkreślali, że już dziś polscy operatorzy, szczególnie MSP, dźwigają rosnące koszty regulacyjne i inwestycyjne, a dodatkowe, krajowe nadbudowy ponad NIS2 tylko pogłębią tę dysproporcję. Przewodniczący Komisji Infrastruktury zamknął posiedzenie, pomimo dalszej chęci zabrania głosu ze strony społecznej.

Ustawa o KSC przyjęta bez poprawek

Mimo skali zastrzeżeń, komisja ostatecznie przyjęła ustawę bez poprawek. Senator Artur Dunin zaapelował do resortu cyfryzacji, by mimo przyjęcia ustawy pochylił się nad poprawkami zgłoszonymi przez Biuro Legislacyjne, sugerując, że rząd powinien szybko wrócić do części rozwiązań w kolejnej nowelizacji.

Członkowie komisji pozostali głusi na apel przedsiębiorców podpisany przez 8 organizacji zrzeszających polskich przedsiębiorców: Business Centre Club, Federację Przedsiębiorców Polskich, Polskie Towarzystwo Gospodarcze, Polską Izbę Handlu, Ogólnopolską Federację Przedsiębiorców i Pracodawców – Przedsiębiorcy.pl, Związek Firm Biotechnologicznych – Bioforum, Mediakom oraz Krajową Izbę Komunikacji Ethernetowej.

Z treścią pisma można zapoznać się na stronie Senatu RP: https://www.senat.gov.pl/download/gfx/senat/pl/senatinicjatywypliki/16943/4/5098organizacjipracodawcowprzedsiebiorcow.pdf

W kolejnym etapie nowelizacja ustawy o KSC trafi na plenarne posiedzenie Senatu, które odbędzie się 28 stycznia.

Materiał z serwisu partnerskiego "Cyfrowa Gospodarka"