• Magdalena Bęza, autor |

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – szereg zmian, tyle samo wątpliwości

We wrześniu br. trafił do konsultacji społecznych przygotowany przez Ministerstwo Cyfryzacji projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy - Prawo zamówień publicznych (dalej „Projekt”).

Projekt przewiduje szereg zmian w ustawie o krajowym systemie cyberbezpieczeństwa („dalej „Ustawa o KSC”). Wejście w życie nowelizacji Ustawy o KSC ma być skorelowane czasowo z nową ustawą Prawo komunikacji elektronicznej, która zastąpiłaby dotychczasową ustawę Prawo telekomunikacyjne i z którą nowa Ustawa o KSC będzie częściowo powiązana.

Konieczność przygotowania Projektu wynikała m.in. z faktu, że Polska uczestniczyła w opracowaniu unijnego zestawu narzędzi na potrzeby cyberbezpieczeństwa sieci 5G (tzw. “5G Toolbox”), obejmującego środki na poziomie strategicznym i technicznym oraz wskazującego działania wspierające stosowanie tych środków dla ograniczenia ryzyk cyberbezpieczeństwa europejskich sieci 5G. W ramach 5G Toolbox państwa członkowskie UE zobowiązały się m.in. do (i) zaostrzenia wymagań w zakresie bezpieczeństwa infrastruktury i usług telekomunikacyjnych; (ii) oceny profili ryzyka dostawców; (iii) stosowania odpowiednich ograniczeń w odniesieniu do dostawców stwarzających wysokie ryzyko, (iv) wdrożenia strategii mających na celu zapewnienie dywersyfikacji dostawców, w celu unikania uzależnienia od dostawców stwarzających wysokie ryzyko.

Projekt stanowi próbę działań na rzecz wdrożenia założeń i postanowień 5G Toolbox do porządku krajowego. W związku z powyższym, siłą rzeczy przewidziane w nim rozwiązania będą wywierały istotny wpływ na działalność niektórych przedsiębiorców.

Do najistotniejszych założeń Projektu, z punktu widzenia podmiotów prowadzących działalność gospodarczą, należy:

  • objęcie krajowym systemem cyberbezpieczeństwa również m.in. przedsiębiorców telekomunikacyjnych (w nowej Ustawie o KSC określanych jako „przedsiębiorcy komunikacji elektronicznej”), co będzie wiązało się dla nich z nowymi obowiązkami, w tym w zakresie przeprowadzania systematycznej oceny ryzyka wystąpienia sytuacji szczególnego zagrożenia;
  • wprowadzenie mechanizmu oceny, przez Kolegium do Spraw Cyberbezpieczeństwa ("Kolegium") ryzyka dostawcy sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa;
  • w razie oceny poziomu ryzyka jako wysokiego – wprowadzenie zakazu wprowadzania do użytkowania sprzętu, oprogramowania czy usług oferowanych przez danego dostawcę i obowiązek wycofania z użytku ww. sprzętu, oprogramowania czy usług, w ciągu 5 lat;
  • ustanowienie wysokich kar dla podmiotów korzystających z produktów „niebezpiecznego“ dostawcy, sięgających 3% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego osiągniętego przez taki podmiot.

Za najbardziej kontrowersyjne założenia Projektu uznaje się jego projektowane postanowienia umożliwiające Kolegium, na wniosek jednego z członków Kolegium, ocenę ryzyka dostawcy sprzętu lub oprogramowania istotnego dla cyberbezpieczeństwa podmiotów krajowego systemu cyberbezpieczeństwa. Takim sprzętem bądź oprogramowaniem mogą być m.in. telefony komórkowe, laptopy, oprogramowanie antywirusowe, czy systemy operacyjne.

Podkreślenia wymaga, że w toku oceny Kolegium, na czele którego stoi Prezes Rady Ministrów (a zatem organ o charakterze politycznym), miałoby w szczególności badać, czy dostawca sprzętu lub oprogramowania (np. oprogramowania antywirusowego) pozostaje pod wpływem państwa spoza UE lub NATO, z uwzględnieniem m.in. stopnia powiązań dostawcy z tym państwem czy prawodawstwa tego państwa w zakresie ochrony praw obywatelskich, praw człowieka i danych osobowych.

Powyższa kwestia jest o tyle istotna, że konsekwencją określenia przez Kolegium poziomu ryzyka danego dostawcy jako wysokiego jest zakaz wprowadzania do użytkowania sprzętu, oprogramowania czy usług oferowanych przez tego dostawcę i obowiązek wycofania z użytku ww. sprzętu, oprogramowania czy usług, w ciągu 5 lat. Taka sankcja może w praktyce wykluczyć danego dostawcę z rynku, ponieważ będzie obejmowała nie tylko zakaz wprowadzania do obrotu, lecz również zakaz używania sprzętu, oprogramowania czy usług oferowanych przez danego dostawcę.

Wskazane uprawnienie Kolegium jest przez uczestników rynku interpretowane jako wymierzone w dostawców chińskich lub rosyjskich, tym bardziej, że katalog przesłanek oceny jest otwarty i stwarza możliwość - do pewnego stopnia - dowolnej oceny dostawców. Takie rozwiązanie, jako mogące prowadzić do wyeliminowania tych podmiotów z rynku, budzi wątpliwości m.in. w świetle konstytucyjnej zasady wolności działalności gospodarczej. Podnoszony jest również argument, że wprowadzenie tego uprawnienia Kolegium, jako organu o charakterze politycznym, może pośrednio otwierać drogę do wykluczenia z rynku przedsiębiorców niewygodnych dla rządu.

Ponadto, należy wskazać, że przewidziana w Projekcie ścieżka odwoławcza ma charakter jedynie iluzoryczny, ponieważ dostawca, względem którego zostałby stwierdzony wysoki poziom ryzyka, może wnieść odwołanie jedynie do Kolegium. Mając na uwadze, że dokonywana ocena nie będzie (przynajmniej formalnie) stanowiła decyzji administracyjnej, dyskusyjna jest możliwość jej zaskarżenia do sądu administracyjnego. W tej sytuacji można natomiast spodziewać się prób dochodzenia przez poszkodowanych przedsiębiorców odszkodowania od Skarbu Państwa za wydanie aktu normatywnego niezgodnego z Konstytucją RP. Zasądzenie takiego odszkodowania byłoby możliwe po wyczerpaniu ścieżki przewidzianej w art. 4171 k.c. (stwierdzenie niezgodności kwestionowanego przepisu Ustawy o KSC z Konstytucją RP).

Dodatkowo, podnoszony jest potencjalny wpływ powyższych ograniczeń na rynek sprzedaży sprzętu, oprogramowania i usług IT. Ograniczenie liczby podmiotów oferujących sprzęt lub oprogramowanie może bowiem doprowadzić do pogorszenia sytuacji konsumentów. Takie konsekwencje mogą nastąpić w szczególności ze względu na wyższe ceny usług, spowodowane wyeliminowaniem części dostawców z rynku i zmniejszeniem liczby graczy na tym rynku.

W świetle powyższego wydaje się, że pomimo iż Projekt wydaje się wzmacniać system cyberbezpieczeństwa, co jest działaniem pozytywnym oraz odpowiadającym na potrzeby związane z cyberbezpieczeństwem sieci 5G, to warto aby ustawodawca w toku dalszych prac legislacyjnych chociażby częściowo uwzględnił zgłaszane przez uczestników rynku obawy, w szczególności związane ze wskazaną ograniczoną ścieżką odwoławczą.
Projekt jest aktualnie w fazie uzgodnień, konsultacji publicznych oraz opiniowania. Jego pełna ocena będzie możliwa po przejściu ścieżki legislacyjnej i nadaniu mu ostatecznego kształtu.