Wprowadzona w ustawie instytucja dostawcy wysokiego ryzyka jest niezgodna z Konstytucją i prowadzi do wywłaszczenia podmiotów wykorzystujących sprzęt elektroniczny lub oprogramowanie wskazane w decyzji ministra – twierdzą przeciwnicy nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. - Te przepisy są warunkiem bezpieczeństwa państwa – przekonują inni. W oczekiwaniu na decyzję prezydenta, organizacje biznesowe przerzucają się argumentami.
Za ustawą o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw implementującą dyrektywę NIS 2 głosowało 407 posłów, 10 było przeciw, a 17 wstrzymało się od głosu. Podobny wynik miało głosowanie w Senacie: 75 „za”, 5 „przeciw”.
Zupełnie inaczej rozkładają się głosy tych, których regulacje dotkną w pierwszej kolejności, czyli środowisk biznesowych. Poszczególne organizacje – i to wcale nie anonimowe - głośno opowiadają się „za” lub „przeciw”. Z apelem do prezydenta Karola Nawrockiego o skierowanie ustawy do Trybunału Konstytucyjnego wystąpiło 11 organizacji, w tym m.in. Związek Pracodawców Business Centre Club, Federacja Przedsiębiorców Polskich, Polska Izba Handlu oraz mniejsze organizacje branżowe. Po przeciwnej stronie barykady znalazły się Związek Przedsiębiorców i Pracodawców oraz Związek Cyfrowa Polska. Oba obozy podpierają się autorytetami naukowców.
Główną osią niezgody są przepisy o dostawcach wysokiego ryzyka (DWR).
Ustawa przewiduje, że minister właściwy do spraw informatyzacji, w drodze decyzji, uznaje dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli „dostawca ten stanowi zagrożenie dla podstawowego interesu bezpieczeństwa państwa”. Tak nieostry przepis może dać podstawy do wykluczenia dostawców z takich państw jak Rosja czy Chiny.
Decyzja ta ma rygor natychmiastowej wykonalności. Oznacza ona, że podmioty zobowiązane do stosowania ustawy o KSC (tj. uznane za ważne lub kluczowe, przedsiębiorcy komunikacji elektronicznej, a także podmioty finansowe) nie mogą wprowadzać produktów, usług i procesów objętych decyzją dotyczącą DWR. Posiadane już produkty, usługi lub procesy muszą zaś wycofać z użytkowania w terminie czterech lub siedmiu lat.
Przeciwnicy regulacji podnoszą, że jest to forma wywłaszczenia bez odszkodowania, którego zabrania Konstytucja RP (art. 21 ust. 2). Dalsze argumenty: decyzja ministra o DWR będzie jednoinstancyjna, co wprost kłóci się z zasadą dwuinstancyjności postępowania wyrażoną w art. 78 Konstytucji. Przeciwnicy ustawy zarzucają jej iluzoryczność ochrony sądowej, bowiem skargi do sądu administracyjnego na decyzje będą rozpatrywane niejawnie i uzasadniane w ograniczonym zakresie. Jak często bywa, padają też zarzuty o nadregulację w stosunku do wymogów prawa UE i brak związanej z tym notyfikacji.
- Taka regulacja jest nie do zaakceptowania w państwie prawa, tym bardziej, że jej skutki obejmują największą liczbę sektorów i przedsiębiorców w całej Unii Europejskiej – stwierdził Andrzej Szmigiel, radca prawny, ekspert BCC.
Przeciw proponowanym przepisom wypowiadali się też znani przedstawiciele nauki prawa, m.in. prof. Marek Chmaj, prof. Ryszard Piotrowski, prof. Paweł Wajda.
Z drugiej strony barykady padają argumenty odnoszące się do bezpieczeństwa narodowego. ZPP i Związek Cyfrowa Polska przekonywały, że proces uznawania dostawcy za DWR siłą rzeczy musi być polityczny, aby wyeliminować firmy z określonych państw. Zwolennicy regulacji usprawiedliwiają nawet ewentualną nadregulację położeniem geograficznym Polski.
- Mechanizmy identyfikacji i wykluczania dostawców wysokiego ryzyka nie są przejawem dyskryminacji czy protekcjonizmu, lecz elementem racjonalnej polityki bezpieczeństwa – mówi Michał Kanownik, prezes Związku Cyfrowa Polska.
Jego zdaniem państwo ma prawo i obowiązek eliminować rozwiązania, które mogą stanowić zagrożenie dla bezpieczeństwa narodowego.
- Dotyczy to zwłaszcza systemów, które są głęboko zintegrowane z siecią i mają dostęp do wrażliwych danych lub mechanizmów sterujących. Nowelizacja KSC tworzy transparentne, oparte na obiektywnych kryteriach ramy do podejmowania takich decyzji, zgodnie z unijnymi standardami i praktyką innych krajów – przekonuje prezes Związku.
O podpisanie ustawy zaapelowała do prezydenta prof. Bogumiła Kaniewska, przewodnicząca Konfederacji Rektorów Akademickich Szkół Polskich, komentując atak hakerski na Uniwersytecie Warszawskim. Uznała go za sygnał, że infrastruktura cyfrowa polskich uczelni i instytutów badawczych stała się realnym polem zagrożeń. - To przykład regulacji, która łączy bezpieczeństwo państwa z poszanowaniem autonomii akademickiej. Dzięki otwartej dyskusji w toku procesu legislacyjnego zostały wypracowane standardy adekwatne do ryzyka, proporcjonalne i możliwe do wdrożenia – oceniła prof. Kaniewska.
- Ja opowiadam się za tym, aby państwo posiadało realną możliwość podjęcia jednoznacznej decyzji – tak jak dzieje się to w innych sektorach wysokiego ryzyka – włącznie z usuwaniem sprzętu, jeżeli istnieją twarde dowody na inwigilację lub poważną podatność – komentuje Mikołaj Otmianowski, radca prawny z RED INTO GREEN.
Jak wyjaśnia, jeśli państwo ma pełnić swoje funkcje ochronne, musi mieć narzędzia do reagowania na zagrożenia bezpieczeństwa – również wtedy, gdy zagrożenie pochodzi z technologii, na których opiera się cały sektor publiczny i duża część prywatnego rynku. Projektowane przepisy o wycofywaniu sprzętu porównuje do sytuacji, w której główny inspektor farmaceutyczny wstrzymuje obrót lekiem albo wycofuje go z aptek.
- To, co budzi moje wątpliwości, to obecna konstrukcja, w której ryzyko przenosi się z produktu na podmiot – dodaje mec. Otmianowski, komentując polski projekt ustawy.
Wskazuje przykład Niemiec, gdzie decyzja o zablokowaniu dotyczy nie producenta, a konkretnego urządzenia.
Według projektu polskiej ustawy, decyzja będzie wydawana w stosunku do dostawcy lub nawet całej grupy kapitałowej, do której on przynależy. Jej obligatoryjnym elementem będzie wskazanie typów produktów ICT, rodzajów usług ICT lub konkretnych procesów ICT pochodzących od dostawcy sprzętu lub oprogramowania uwzględnionych w postępowaniu w sprawie uznania za DWR.
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
