Ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (KSC) ma fundamentalne znaczenie dla wielu sfer funkcjonowania państwa oraz krajowej gospodarki. Jednak jej procedowanie w parlamencie jest bardzo burzliwe. Po jej uchwaleniu 23 stycznia przez Sejm nowymi przepisami zajął się w ekspresowym tempie Senat.

We wtorek, 27 stycznia, odbyło się posiedzenie komisji infrastruktury, podczas którego Biuro Legislacyjne Senatu zwróciło uwagę na niekorzystny wpływ szybkości procedowania na prace nad dokumentem. „Ze względu na ograniczony czas na sporządzenie opinii w sprawie ustawy oraz szczegółowy i specjalistyczny charakter tego aktu prawnego, przedstawiona opinia nie stanowi pełnej i wszechstronnej analizy wszystkich techniczno-legislacyjnych i merytorycznych aspektów nowelizacji” – czytamy w opinii biura.

19 zignorowanych poprawek do nowych przepisów

Zespół legislatorów zgłosił szczegółowe uwagi, wskazując m.in. na błędne odesłania, niespójności terminologiczne i rozwiązania, które mogą czynić przepisy martwymi, ale też naruszać zasady techniki prawodawczej, a nawet konstytucyjne standardy pewności prawa. Przykładowo zauważono, że w ustawie są odesłania do nieistniejących przepisów. Co więcej pomylono też określenia „w terminie” oraz „w ciągu”, co ma fundamentalne znaczenie dla podmiotów zobowiązanych do raportowania incydentów w określonych godzinach. Tego typu nieścisłości mogą prowadzić do arbitralności w nakładaniu kar przez organy nadzorcze.

Zwrócono przede wszystkim uwagę na naruszenia podstaw techniki prawodawczej. Pierwsza uwaga dotyczyła konieczności przygotowania ustawy od początku, gdyż jej objętość znacznie wykracza poza nowelizowany akt. „Zgodnie z § 84 Zasad techniki prawodawczej, jeżeli zmiany wprowadzane w ustawie miałyby być liczne albo miałyby naruszać konstrukcję lub spójność ustawy (…) opracowuje się projekt nowej ustawy. Biorąc pod uwagę szeroki i wieloaspektowy zakres zmian wprowadzanych nowelą do ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, obejmujący w szczególności modyfikację zakresu przedmiotowego i podmiotowego, istotne zmodyfikowanie katalogu definicji określeń ustawowych, wprowadzenie nowych mechanizmów nadzorczych, rozszerzenie kompetencji organów administracji publicznej i modyfikację relacji pomiędzy kluczowymi instytucjami systemu cyberbezpieczeństwa, prowadzący w istocie do zmiany modelu regulacyjnego, właściwym rozwiązaniem byłoby przygotowanie projektu nowej ustawy w miejsce nowelizacji” – czytamy w opinii Biura Legislacyjnego Senatu.

Na niedoskonałość przepisów zwracali również uwagę prawnicy oraz przedstawiciele biznesu. Doktor Paweł Marcisz występujący w imieniu Polskiego Towarzystwa Gospodarczego zauważył, że mechanizm dotyczący dostawców wysokiego ryzyka jest przepisem technicznym wymagającym notyfikacji Komisji Europejskiej, a przez jej brak Polskę czeka kilka lat chaosu prawnego. Zgodnie z orzecznictwem Trybunału Sprawiedliwości UE nienotyfikowane przepisy techniczne są bezskuteczne, w związku z tym przedsiębiorcy będą mogli skutecznie podważać decyzje ministra właściwego ds. informatyzacji (obecnie ministra cyfryzacji) przed sądami, co doprowadzi do paraliżu systemu bezpieczeństwa.

Andrzej Dulka, prezes Polskiej Izby Informatyki i Telekomunikacji, wskazał na konieczność proporcjonalności przepisów i unikania nadregulacji wykraczającej poza rozwiązania przyjmowane w innych państwach UE, co mogłoby osłabić konkurencyjność polskiego sektora ICT.

Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej, zwrócił natomiast uwagę, że ustawa obejmuje aż 18 sektorów gospodarki, nad którymi resort cyfryzacji nie ma merytorycznego nadzoru. Zaznaczył, że decyzje o wykluczeniu konkretnych dostawców technologii będą podejmowane bez wiążącego udziału ministerstw odpowiedzialnych za poszczególne sektory. Może to prowadzić do sytuacji, w której urzędnicy nie do końca rozumiejący specyfikę danej branży będą podejmować arbitralne decyzje o gigantycznych skutkach finansowych. Profesor Marek Chmaj podkreślił z kolei, że każda regulacja ograniczająca swobodę działalności musi się opierać na konstytucyjnej przesłance konieczności w demokratycznym państwie, a nie jedynie na ogólnym celu ochrony bezpieczeństwa. Podobne zastrzeżenia zgłaszano wcześniej podczas obrad komisji sejmowych. Ostatecznie, mimo licznych zastrzeżeń, komisja senacka przyjęła ustawę bez żadnych poprawek.

Niestandardowy krok senatorów

W środę, podczas posiedzenia plenarnego Senatu, Ryszard Świlski, senator Koalicji Obywatelskiej, przedstawił obraz prac nad dokumentem w komisji (kierował posiedzeniem) oraz zaapelował o szybkie zakończenie prac, przypominając, że debata trwa od pięciu, a nawet sedmiu lat. Poinformował także, że podczas posiedzenia komisji senatorowie zdecydowali się na niestandardowy krok, rezygnując z rozpatrywania poszczególnych przepisów projektu ustawy. Uzasadnieniem była z jednej strony gigantyczna objętość dokumentu, a z drugiej – to, że projekt jest szeroko znany wszystkim uczestnikom debaty publicznej. Przytoczył też dane, które miały przekonać do jej szybkiego uchwalenia.

– W 2024 r. polskie systemy padły ofiarą prawie 120 tys. ataków, natomiast w roku 2025 liczba ta wzrosła lawinowo do poziomu ponad 260 tys. incydentów – dodał. Każdy z tych ataków, jak powiedział, uderza w drażliwe i kluczowe elementy gospodarki, takie jak: ochrona zdrowia, systemy bankowe czy bezpieczeństwo żywnościowe obywateli. Wskazał również, że nowelizacja nie tylko dotyczy świata technologii, lecz także głęboko ingeruje w funkcjonowanie samorządu terytorialnego oraz sądownictwa, co czyni ją jednym z najbardziej wielowymiarowych projektów ostatnich miesięcy.

Głos zabrał również Paweł Olszewski, sekretarz stanu w Ministerstwie Cyfryzacji, który podkreślił, że jest to kluczowy projekt z punktu widzenia bezpieczeństwa. Ostrzegł też, że jego nieuchwalenie grozi Polsce gigantycznymi kosztami. Ujawnił, że Komisja Europejska już wstrzymała procedurę nałożenia kary na nasz kraj za niewdrożenie dyrektywy NIS2, która może sięgnąć nawet 2 mld zł. Paweł Olszewski stwierdził, że dokument jest efektem szerokiego kompromisu, w którym uwzględniono uwagi strony społecznej oraz większości klubów opozycyjnych w Sejmie. Zaapelował o przyjęcie ustawy bez poprawek, aby natychmiast mogła trafić do podpisu Prezydenta RP.

Rażące błędy legislacyjne

Inny ton debacie nadał senator Wiesław Dobkowski z PiS, który choć przyznał, że ustawa jest potrzebna, bo oznacza wdrożenie dyrektywy UE, i z tego względu jego klub popiera kierunek zmian, to jednocześnie poddał ostrej krytyce rzetelność przygotowanego dokumentu. Powołując się na opinie fachowców i prawników z Biura Legislacyjnego Senatu, stwierdził, że przy tak ogromnej objętości zmian rząd powinien przygotować nową ustawę zamiast nowelizacji. Senator wyraził irytację tym, że mimo pośpiechu i zagrożenia karami do Senatu trafia dokument zawierający błędy, których nie można ignorować.

Wskazał m.in. na rażące błędy w odesłaniach do innych przepisów – w projekcie miały się znajdować odnośniki do paragrafów, które nie istnieją lub dotyczą zupełnie innych materii. Wiesław Dobkowski argumentował, że ich naprawienie jest obowiązkiem Senatu, a czas na to jest, gdyż termin przekazania ustawy prezydentowi upływa 25 lutego. Apelował, aby nie ulegać presji pośpiechu kosztem jakości prawa.

Zgłoszenie wniosków o charakterze legislacyjnym przez Wiesława Dobkowskiego spowodowało, że 28 stycznia projekt ponownie trafił do komisji infrastruktury. Jej posiedzenie w trybie pilnym odbyło się w trakcie przerwy obrad w Senacie i trwało zaledwie kilka minut. Dwóch senatorów reprezentujących Koalicję Obywatelską, podobnie jak dzień wcześniej, przychyliło się do prośby Ministerstwa Cyfryzacji i odrzuciło wniosek o poprawki senatora reprezentującego Prawo i Sprawiedliwość, rekomendując przyjęcie ustawy. Nowelizacja trafiła pod głosowanie w Senacie, gdzie przyjęto ją bez poprawek. „Za” głosowało 75 senatorów, „przeciw” 5 senatorów z Prawa i Sprawiedliwości.

Materiał z serwisu partnerskiego "Cyfrowa Gospodarka"