Z tego artykułu się dowiesz:
- Jakie są wątpliwości konstytucyjne związane z nakazem usunięcia sprzętu wysokiego ryzyka?
- Jakie zmiany wprowadza nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa?
- Dlaczego uznawanie dostawców sprzętu za dostawców wysokiego ryzyka budzi kontrowersje?
- Jakie sektory zostały objęte nowymi regulacjami dotyczącymi cyberbezpieczeństwa?
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, będąca spóźnioną implementacją dyrektywy NIS 2, niebawem będzie przedmiotem obrad Rady Ministrów. Jednak wątpliwości konstytucyjnych nie ubywa.
Mimo iż na przestrzeni ostatnich lat projekt zmieniał się wielokrotnie, to wciąż nie uległy zmianie zasady uznawania danego dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka (DWR) i konsekwencji z tym związanych dla podmiotów z sektorów objętych Krajowym Systemem Bezpieczeństwa.
Do tej pory były to firmy, a także jednostki państwowe i samorządowe z sektorów energii, transportu, zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę, infrastruktury cyfrowej. Zgodnie ze wdrażaną dyrektywą katalog ten uzupełniono również o takie obszary jak ścieki, zarządzanie ICT, przestrzeń kosmiczna, poczta, produkcję i dystrybucję chemikaliów, produkcję i dystrybucję żywności. Ze względu na swoje strategiczne znaczenie zostały one podzielone na podmioty kluczowe i ważne.
Obowiązkowa wymiana sprzętu i oprogramowania
W proj. art. 67c ust. 1 ustawy o k.s.c. w przypadku wydania przez ministra cyfryzacji decyzji o uznaniu danego dostawcy sprzętu lub oprogramowania za DWR, podmioty kluczowe i ważne nie będą mogły wprowadzać do użytkowania typów produktów ICT (technologii informacyjno-komunikacyjnych), rodzajów usług ICT i konkretnych procesów w zakresie objętym decyzją, dostarczanych przez dostawcę wysokiego ryzyka.
Co więcej, zgodnie z proj. art. 67c ust. 2 będą one zobligowane do wycofania z użytkowania typów produktów, usług i procesów ICT dostarczanych przez DWR nie później niż w terminie siedmiu lat od dnia ogłoszenia decyzji.
Czytaj więcej
Potrzebujemy na już dobrych zasad i prawa w obszarze cyberbezpieczeństwa. Potrzebujemy i kropka....
Jak tłumaczy Ministerstwo Cyfryzacji, rozwiązanie to ma na celu zapewnienie ochrony ważnego interesu państwowego w postaci bezpieczeństwa państwa.
– Obecnie nie ma żadnych środków prawnych umożliwiających nakazanie wycofywania z eksploatacji produktów ICT, usług ICT i procesów ICT zagrażających bezpieczeństwu kluczowych podmiotów w Polsce, a przez to funkcjonowaniu państwa. W szczególności dotyczy to kluczowych przedsiębiorców telekomunikacyjnych, którzy będą świadczyć usługi w oparciu o mobilne sieci 5G – czytamy w uzasadnieniu projektu.
Choć wdrożenie sieci 5G umożliwia znacznie szybszą transmisję danych i funkcjonowanie tzw. internetu rzeczy, to jej wdrożenie wiąże się też z ryzykami, szczególnie tymi związanymi z bezpieczeństwem. – Dzięki tym sieciom będzie możliwe świadczenie wielu usług niezbędnych do funkcjonowania rynku wewnętrznego oraz utrzymania i realizacji podstawowych funkcji społecznych i gospodarczych – takich jak energetyka, transport, bankowość i opieka zdrowotna oraz systemy sterowania produkcją. Potencjalny cyberatak mógłby doprowadzić do naruszenia dostępności danej usługi na niespotykaną dotąd skalę. Możliwy byłby atak na sieć 5G, który doprowadziłby do przejęcia kontroli nad infrastrukturą krytyczną, jak np. sieci energetyczne – tłumaczą autorzy projektu, którzy podkreślają, że przejęcie kontroli nad siecią 5G mogłoby doprowadzić do naruszenia poufności ogromnej liczby przesyłanych danych, a skutki takich incydentów byłyby bardzo poważne.
Wywłaszczenie bez odszkodowania
Tyle tylko, że nakaz usunięcia sprzętu lub oprogramowania pochodzącego od dostawcy wysokiego ryzyka nie jest podstawą do przyznania odszkodowania. Zdaniem prof. Ryszarda Piotrowskiego, konstytucjonalisty z Uniwersytetu Warszawskiego, jest to równoznaczne z wywłaszczeniem na cele publiczne. W opinii przygotowanej na zlecenie Krajowej Izby Komunikacji Ethernetowej zauważa, że jest to niezgodne z art. 21 ust. 2 Konstytucji, w myśl którego wywłaszczenie jest dopuszczalne jedynie wówczas, gdy jest dokonywane na cele publiczne i za słusznym odszkodowaniem.
Jak przypomina ekspert, w orzecznictwie Trybunału Konstytucyjnego wywłaszczenie rozumiane jest bardzo szeroko, jako przymusowe odebranie wszelkich praw majątkowych i może ono być dokonane także aktem generalnym.
Zdaniem prof. Piotrowskiego, nakazanie wycofania z użytkowania sprzętu i oprogramowania jest nieproporcjonalne. – Uznanie, że ograniczenia mogą być ustanawiane tylko wtedy, gdy są konieczne w demokratycznym państwie, nakazuje rozważyć, czy wprowadzona regulacja jest w stanie doprowadzić do zamierzonych przez nią skutków, czy jest niezbędna do ochrony interesu publicznego, czy efekty są w odpowiedniej proporcji do nakładanych ciężarów – wskazuje konstytucjonalista, który ocenia, że przedmiotowa regulacja jest w stanie doprowadzić do zamierzonych skutków, ale nie jest niezbędna do ochrony interesu publicznego, ponieważ możliwe jest zastosowanie takich środków jak certyfikacja cyberbezpieczeństwa, czy też dywersyfikacja dostawców sprzętu i oprogramowania.
Czytaj więcej:
– Ze względu na zakres i dolegliwość ingerencji należy uznać, że efekty regulacji nie pozostają w proporcji do nakładanych ciężarów – stwierdza prof. Piotrowski.
Mało tego, jego zdaniem, projekt wprowadza swego rodzaju upaństwowienie podmiotów prywatnych ze względu na rodzaj prowadzonej działalności, wymagającej, by państwo mogło nakazać tym podmiotom zachowanie, które uchroni m.in. systemy informacyjne, sieci telekomunikacyjne etc. przed skutkami incydentu krytycznego. – Państwo nie będąc w stanie chronić przed incydentem krytycznym, arbitralnie obciąża konsekwencjami tej sytuacji podmioty prywatne, obciążając je zarazem kosztami przedsięwzięcia – zauważa prof. Piotrowski. Jego zdaniem jest to niezgodne z art. 20 konstytucji, w myśl którego społeczna gospodarka rynkowa oparta jest na wolności działalności gospodarczej, własności prywatnej oraz solidarności, dialogu i współpracy partnerów społecznych.
Prawo do jawnego uzasadnienia
Konstytucjonalista zwraca też uwagę na niekonstytucyjność kwestii proceduralnych. Choć decyzję ministra w sprawie uznania danego podmiotu za DWR można zaskarżyć do sądu administracyjnego, to zgodnie z proj. art. 67e ust. 2 odpis sentencji wyroku w tej sprawie doręcza się skarżącemu z tą częścią uzasadnienia, która nie zawiera informacji niejawnych.
Tymczasem – jak zauważa prof. Piotrowski, zgodnie z art. 45 ust. 2 konstytucji dopuszczalne jest wyłączenie jawności rozprawy, a nie jawności uzasadnienia. Ponadto powołany przepis przewiduje, że wyrok ogłaszany jest publicznie, a uzasadnienie jest częścią wyroku.
Czytaj więcej
Regulację prawną cyberbezpieczeństwa trzeba stworzyć rozsądnie, napisać nową ustawę, a nie dokony...
