W projekcie noweli ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) planowane jest wprowadzenie procedury uznania za „dostawę wysokiego ryzyka”. De facto stworzy ona możliwość eliminowania przedsiębiorców branży ICT z polskiego rynku, którzy jednak nie dowiedzą się, kto o tym postanowił, w jaki sposób i dlaczego.
Dobre chęci i słuszne założenia, ale…
Porównanie do „Procesu” Kafki to oczywiście figura retoryczna, która jednak dobrze oddaje wnioski, do jakich skłania lektura niektórych przepisów opublikowanego w maju projektu nowelizacji UKSC (nr wykazu UD68). Zaproponowano w niej nową procedurę, tj. „postępowanie w sprawie uznania za dostawcę wysokiego ryzyka dostawcy sprzętu lub oprogramowania”. Przy czym wątpliwości nie odnoszą się do celów, jakie zamierza osiągnąć projektodawca, lecz do sposobu ich realizacji.
Czytaj więcej
Projektowane kryteria procedury ocennej, której efektem są ogromne konsekwencje dla dostawcy, zostały określone w sposób nieprecyzyjny, a tym samym sprzeczny z zasadą równości pisze Marek Chmaj, prawnik, specjalista w zakresie prawa konstytucyjnego.
Trudno polemizować z postulatem wzmacniania bezpieczeństwa w tzw. domenie „cyber”, na co powołują się projektodawcy. Zadaniem prawników jest jednak przypominanie, że wszelkie cele i postulaty powinny być realizowane zgodnie z regułami, które wyznacza konstytucja, a także zobowiązania międzynarodowe Polski. Niestety, te właśnie reguły zostaną zignorowane, jeśli projektowane zmiany zostaną wprowadzone.
Adaptacja Kafki
Zgodnie z projektowanymi art. 66a–66e UKSC minister właściwy ds. informatyzacji będzie uprawniony do wszczęcia postępowania w sprawie uznania określonego dostawcy sprzętu lub oprogramowania ICT za dostawcę wysokiego ryzyka. Decyzja będzie opierała się na ustaleniach Kolegium ds. Cyberbezpieczeństwa poczynionych w ramach opinii przesądzającej, czy dostawca produktów, usług lub procesów ICT „stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi”.