Prof. dr hab. Maciej Rogalski z Uczelni Łazarskiego i kancelarii prawnej Rogalski i Wspólnicy ocenia najnowszą wersję projektu ustawy o krajowym systemie cyberbezpieczeństwa.
Projekt ustawy z dnia 20 stycznia 2020 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo telekomunikacyjne (Projekt), wprowadza szereg nowych i wcześniej nieznanych rozwiązań do ustawy o krajowym systemie cyberbezpieczeństwa (k.s.c.).
Przedstawiony projekt ustawy jest kolejną propozycją zmian do k.s.c. Poprzedni projekt zmian był z 7 września 2020 r. Spowodował on bardzo dużą liczbę uwag, gdyż zgłosiło ich ponad 750 w sumie 114 podmiotów. Świadczy to z jednej strony o bardzo dużym zainteresowaniu tym projektem, a z drugiej strony pokazuje konieczność dokonania kolejnych zmian w stosunku do zgłoszonych propozycji.
W najnowszej wersji projektu zmian do k.s.c., w Ocenie Skutków Regulacji, ale także ustosunkowując się do uwag zgłaszanych do projektu w wersji z 7 września 2020 r., nie odniesiono się merytorycznie do szeregu uwag zgłaszanych w zakresie zgodności proponowanych zmian z regulacjami unijnymi. Poprzestano na przywołaniu ogólnych regulacji obowiązujących w zakresie cyberbezpieczeństwa w UE oraz ogólnych informacji o regulacjach w tym zakresie w poszczególnych krajach UE.
Nadal więc istnieją wątpliwości i zastrzeżenia co do zgodności proponowanych w Projekcie rozwiązań z aktami prawa UE i regulacjami międzynarodowymi. Przede wszystkim co do zgodności tych rozwiązań z ważnym dokumentem UE w zakresie omawianej problematyki, tj. raportem pt. „Cybersecurity of 5G networks EU Toolbox of risk mitigating measures” („Cyberbezpieczeństwo sieci 5G UE. Zestaw narzędzi środków ograniczających ryzyko” – dalej „5G Toolbox”). Przykładowo w Projekcie dodano załącznik do ustawy, który zawiera kategorie funkcji krytycznych dla bezpieczeństwa sieci i usług. Treść tego załącznika odbiega od wytycznych zawartych 5G Toolbox. Inny jest także sposób tworzenia takiej listy w poszczególnych krajach członkowskich, przykładowo w Niemczech, to regulator ustala jej treść w porozumieniu z podmiotami odpowiedzialnymi za bezpieczeństwo, a następnie przedsiębiorcy telekomunikacyjni wyrażają swoje stanowisko. Lista jest publikowana na stronie internetowej i podlega modyfikacjom.
Powinna być także przeprowadzona rzetelna, merytoryczna analiza wproponowanych w Projekcie rozwiązań w zakresie możliwości wykluczenia z polskiego rynku niektórych dostawców produktów i usług ICT, w stosunku do zobowiązań Polski wynikających z przepisów prawa międzynarodowego, w szczególności Porozumienia o Wolnym Handlu GATT, a także bilateralnych porozumień inwestycyjnych (BIT). Na kwestie te także zwracano uwagę już na etapie konsultacji publicznych.
W Projekcie, zgodnie z postulatami zgłaszanymi w toku konsultacji publicznych, wprawdzie wprowadzono odesłanie do kodeksu postępowania administracyjnego (k.p.a.) w zakresie przeprowadzania oceny dostawcy ICT, ale jednocześnie wprowadzono szereg wyjątków od zasad postępowania określonych w k.p.a. oraz postępowania przed sądami administracyjnymi, co znowu może nas narażać na uznanie tych rozwiązań jako sprzecznych z regulacjami unijnymi. Chodzi w szczególności o możliwość odstąpienia od uzasadnienia decyzji, wprowadzenia niejawnego postępowania, braku możliwości wstrzymania wykonania wyroku przez sąd czy utajnienia uzasadnienia wyroku sądu dla strony.
Tego rodzaju rozwiązania mogą być uznane za sprzeczne z Europejską Konwencją Praw Człowieka czy Kartą Praw Podstawowych, które gwarantują każdemu rzetelne postępowanie, charakteryzujące się jawnością oraz dostępem do materiałów sprawy, a przede wszystkim zapewniają możliwość efektywnego zaskarżenia decyzji do sądu.
Zakładam także, że dopełniony zostanie obowiązek notyfikacji tego Projektu do Komisji Europejskiej. Obowiązek ten wynika z Rozporządzenia Rady Ministrów z dnia 23 grudnia 2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji norm i aktów prawnych. Zgodnie z tym rozporządzeniem, projekty aktów prawnych, które zawierają przepisy techniczne powinny zostać notyfikowane Komisji Europejskiej, w celu zgłoszenia do nich ewentualnych uwag i zmian. Nie ulega wątpliwości, że Projekt zawiera przepisy techniczne i w związku z tym podlegają notyfikacji.
