Prawo
KSC potrzebne, ale inaczej
Od marca br. trwa w Polsce krucjata deregulacyjna pod szyldem projektu SprawdzaMY. Nie byłaby ona potrzebna, gdyby polski prawodawca przestrzegał ustawy Prawo przedsiębiorców.
Obowiązki nakładane na podmioty prywatne przede wszystkim nie powinny wykraczać ponad to, co niezbędne dla osiągnięcia określonego celu. O tak rozumianej zasadzie proporcjonalności strona rządowa, niestety, nie zawsze pamięta, gdy projektuje nowe obowiązki, które mają spoczywać na przedsiębiorcach. KSC jest niechlubnym przykładem takich działań.
Nadregulacja, gold-plating i jeszcze raz nadregulacja
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC),
która wdraża dyrektywę NIS2 do polskiego prawa, od miesięcy budzi kontrowersje. Sama dyrektywa NIS2 już jest orzechem twardym do zgryzienia. Nakłada ona wiele kosztownych obowiązków na tzw. podmioty kluczowe i ważne. Wszystko w imię uporządkowania oraz zwiększenia poziomu cyberbezpieczeństwa w UE.
Dyskusja publiczna, dotycząca wdrożenia NIS2, w niewielkim stopniu dotyczy najlepszego sposobu realizacji ujętych w niej obowiązków. Najwięcej emocji budzi tzw. nadregulacja (‘gold-plating’), czyli przepisy KSC wykraczające poza wymogi NIS2. Nadregulacja oznacza, że polscy przedsiębiorcy będą musieli spełniać więcej wymogów i być surowiej karani niż przedsiębiorcy niemieccy, czescy czy francuscy.
W pierwszej wersji KSC zawierał znacznie więcej rozwiązań nadregulacyjnych niż najnowszy projekt tej ustawy. Niestety, KSC nadal zawiera szereg nadmiernych obowiązków: wyższe sankcje pieniężne niż wymagane w NIS2, niski próg nakładania rygoru natychmiastowej wykonalności na decyzje o karach pieniężnych, wstrzymanie działalności gospodarczej pomimo wniesienia skargi do sądu. Nadregulacja jest przy tym niezgodna z art. 67 pkt 4 Prawa przedsiębiorców, zgodnie z którym przy implementacji prawa UE należy dążyć do nakładania wyłącznie obowiązków administracyjnych niezbędnych do osiągnięcia celów wdrażanych przepisów.
Wywłaszczenie tysięcy podmiotów bez odszkodowania?
W centrum debaty nad KSC znajduje się procedura i skutki uznania dostawcy sprzętu i oprogramowania za dostawcę wysokiego ryzyka (DWR). Zaczynając od końca: skutkiem uznania dostawcy za DWR jest obowiązek wycofania z użytkowania listy typów sprzętu i oprogramowania pochodzących DWR w określonym czasie (4 lub 7 lat). Przez wszystkie podmioty kluczowe i ważne. Bez odszkodowania. Jak długa może być taka lista? Nie wiadomo. Czy lista obejmie sprzęt, który jest wadliwy i wywołał lub może wywołać poważny incydent cyberbezpieczeństwa? Być może. Lecz równie dobrze może zawierać sprzęt pochodzący od dostawcy pochodzącego z kraju spoza UE lub NATO, z którym UE nie zawarła umowy dotyczącej ochrony danych osobowych.
Największe kontrowersje na początku drogi w kierunku DWR budzi katalog podmiotów, które będą dopuszczone do udziału w postępowaniu DWR na prawach strony, ponieważ tylko strony postępowania mogą mieć dostęp do akt sprawy, czyli zarazem odnieść się wprost do argumentów podnoszonych w postępowaniu.
Czego dotyczy postępowanie DWR? Dostawca sprzętu i oprogramowania może zostać uznany za DWR, jeżeli stanowi „zagrożenie dla podstawowego interesu bezpieczeństwa państwa”. Minister cyfryzacji, przed wydaniem decyzji DWR, zasięga opinii Kolegium do spraw Cyberbezpieczeństwa. Przepisy KSC precyzują, co powinno być przedmiotem takiej opinii i to na tej podstawie możemy wnioskować, czym może być ww. „zagrożenie”. Opinia Kolegium będzie zawierać analizę nie tylko liczby i rodzajów wykrytych podatności i incydentów dotyczących sprzętu i oprogramowania danego dostawcy. Ocenie będzie również podlegać kwestia prawdopodobieństwa, z jakim dostawca znajduje się pod kontrolą państwa spoza UE lub NATO, z uwzględnieniem m.in. prawodawstwa w zakresie ochrony danych osobowych, w szczególności gdy nie ma porozumień w zakresie ochrony tych danych pomiędzy UE a tym państwem.
W postępowaniu DWR stroną będzie dostawca. Jednakże zdecydowana większość podmiotów, które zostaną obciążone finansowymi skutkami decyzji DWR, zostanie zobowiązana do wycofania sprzętu i oprogramowania z użytkowania, nie będzie miała prawa do udziału w postępowaniu DWR w charakterze strony. Z kilkudziesięciu tysięcy podmiotów, które zostaną zobowiązane do wykonania decyzji (podmioty kluczowe i ważne), do postępowania zostanie dopuszczonych jedynie kilkanaście z nich.
DWR budzi zatem ogromne wątpliwości co do zgodności z konstytucyjną zasadą proporcjonalności, które podziela m.in. Rzecznik Praw Obywatelskich1.
Czym różni się polski DWR od DWR w każdym innym kraju UE? Szeroko znana firma konsultingowa EY przygotowała obszerny raport na ten temat2.
Wnioski raportu są jednoznaczne: w innych państwach UE lista sprzętu DWR może objąć wyłącznie sprzęt i oprogramowanie pełniące funkcje krytyczne w sieciach 5G. Gdyby w Polsce zachowano te warunki, zagadnienie DWR dotyczyłoby… czterech podmiotów.
Podsumowanie: KSC teraz, nadregulacja później (lub nigdy)
Prace nad wdrożeniem NIS2 przeciągają się, podczas gdy zagrożenia w cyberprzestrzeni rosną. DWR i inne nadregulacje przyczyniają się do opóźnień we wdrożeniu NIS2. Dlatego należy pilnie wdrożyć KSC w zakresie zgodnym z dyrektywą NIS2, a DWR i inne nadregulacje wyłączyć do osobnej legislacji.
W tzw. międzyczasie KSC mogłoby już obowiązywać – chroniąc polski system, zamiast pozostawać w legislacyjnym zawieszeniu.
_________________________________________
1 https://legislacja.rcl.gov.pl/docs//2/12384504/13055207/13055210/dokument671275.pdf
2 https://www.ey.com/content/dam/ey-unified-site/ey-com/pl-pl/noindex/ey-regulacje-nis2-i-5g-toolbox.pdf
