Wiercińska-Krużewska, Roliński: Goniąc rzeczywistość, nie należy tworzyć barier

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, który właśnie trafił do Sejmu, kojarzy się bardziej z „Procesem” Franza Kafki niż prawidłową legislacją.

Publikacja: 14.07.2023 07:08

Wiercińska-Krużewska, Roliński: Goniąc rzeczywistość, nie należy tworzyć barier

Foto: Adobe Stock

W projekcie noweli ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) planowane jest wprowadzenie procedury uznania za „dostawę wysokiego ryzyka”. De facto stworzy ona możliwość eliminowania przedsiębiorców branży ICT z polskiego rynku, którzy jednak nie dowiedzą się, kto o tym postanowił, w jaki sposób i dlaczego.

Dobre chęci i słuszne założenia, ale…

Porównanie do „Procesu” Kafki to oczywiście figura retoryczna, która jednak dobrze oddaje wnioski, do jakich skłania lektura niektórych przepisów opublikowanego w maju projektu nowelizacji UKSC (nr wykazu UD68). Zaproponowano w niej nową procedurę, tj. „postępowanie w sprawie uznania za dostawcę wysokiego ryzyka dostawcy sprzętu lub oprogramowania”. Przy czym wątpliwości nie odnoszą się do celów, jakie zamierza osiągnąć projektodawca, lecz do sposobu ich realizacji.

Czytaj więcej

To już 7 wariant nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

Trudno polemizować z postulatem wzmacniania bezpieczeństwa w tzw. domenie „cyber”, na co powołują się projektodawcy. Zadaniem prawników jest jednak przypominanie, że wszelkie cele i postulaty powinny być realizowane zgodnie z regułami, które wyznacza konstytucja, a także zobowiązania międzynarodowe Polski. Niestety, te właśnie reguły zostaną zignorowane, jeśli projektowane zmiany zostaną wprowadzone.

Adaptacja Kafki

Zgodnie z projektowanymi art. 66a–66e UKSC minister właściwy ds. informatyzacji będzie uprawniony do wszczęcia postępowania w sprawie uznania określonego dostawcy sprzętu lub oprogramowania ICT za dostawcę wysokiego ryzyka. Decyzja będzie opierała się na ustaleniach Kolegium ds. Cyberbezpieczeństwa poczynionych w ramach opinii przesądzającej, czy dostawca produktów, usług lub procesów ICT „stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi”.

W przypadku potwierdzenia takiego zagrożenia odnośnie do konkretnego dostawcy podmioty krajowego systemu cyberbezpieczeństwa, a także przedsiębiorcy komunikacji elektronicznej i właściciele lub posiadacze obiektów, instalacji lub urządzeń infrastruktury krytycznej:

– nie będą mogli wprowadzać do użytkowania rozwiązań tego dostawcy,

– a także będą zobowiązani do wycofania użytkowanych rozwiązań już przez niego dostarczonych.

W przypadku wydania decyzji o uznaniu za dostawcę wysokiego ryzyka oferowane przez niego rozwiązania ICT nie będą mogły być nabywane w ramach zamówień publicznych, co oznacza ich całkowite wyeliminowanie z krajowego rynku zamówień publicznych (i tym samym ze sporej części rynku unijnego).

Wydanie takiej decyzji niewątpliwie spowoduje dla dostawcy niezwykle poważne, wręcz katastrofalne konsekwencje ekonomiczne. Choć analizowane rozwiązania bezpośrednio dotyczą dostawców, to jednak pośrednio mogą poważnie uderzać w użytkowników – w szczególności w operatorów telekomunikacyjnych, ale w praktyce we wszystkich użytkowników rozwiązań „piętnowanego” dostawcy.

Niestety, obecnie nie wiadomo, czy i jak rekompensować straty, jakie ponieśliby użytkownicy – jest natomiast oczywiste, że straty te byłyby olbrzymie. Wobec tego kluczowe staje się pytanie o proporcjonalność projektowanych rozwiązań i tzw. gwarancje procesowe dla przedsiębiorców.

Wątpliwości budzi sam sposób zawiadomienia dostawcy o wszczęciu wobec niego postępowania. Na doręczenie indywidualnego zawiadomienia (które inicjuje „standardowe” postępowanie administracyjne) mogą liczyć jedynie dostawcy z siedzibą w UE, Szwajcarii, Liechtensteinie, Norwegii i Islandii.

Pozostali przedsiębiorcy informację o wszczęciu postępowania mogą uzyskać… śledząc Biuletyn Informacji Publicznej ministra. Rozwiązanie to wydaje się co najmniej osobliwe – zakłada, że np. przedsiębiorcy z USA, Chin, Japonii, Korei Płd., Wielkiej Brytanii czy Izraela (z państw potentatów ICT) powinni z uwagą śledzić strony rządowe w celu ustalenia sytuacji prawnej w Polsce.

Pomysł ten wywołuje przede wszystkim zdziwienie. Natomiast poważny niepokój musi wzbudzać ograniczenie transparentności postępowania procesu przygotowania wspomnianej wcześniej opinii. Planuje się bowiem wyłączenie przepisów, które normalnie stanowią dla uczestnika podstawowe źródło wiedzy o przebiegu postępowania i o osobach w nie zaangażowanych.

Autorzy projektu uzasadniają to względami bezpieczeństwa, ignorując jednak, że nie mogą być one traktowane jako argument blankietowo wyłączający wszelkie rozwiązania uznawane za cywilizacyjny standard ochrony strony postępowania administracyjnego. Zakłada się nie tylko utajnienie informacji o osobach zaangażowanych w przygotowanie opinii, ale przede wszystkim wyłączenie prawa strony do czynnego udziału w postępowaniu dowodowym. Godzi to nie tylko w jej fundamentalne interesy, ale też pozbawia opinię wiarygodności.

Trudno zrozumieć, jak zespół opiniujący ma rzetelnie zbadać np. kwestię podatności dostawcy na ingerencję ze strony innego państwa, bez konsultacji z badanym dostawcą. Dlatego porównanie jego sytuacji do bohatera powieści Kafki jest oczywiste – nawet jeśli dowie się, że toczy się wobec niego postępowanie, nie dowie się, kto i jakie analizy przeprowadza w odniesieniu do jego działalności, jakie zarzuty wobec niej formułuje i na podstawie jakich dowodów.

Autorzy projektu przekonują, że dostawca będzie mógł przedstawić swoje stanowisko. Należy jednak postawić pytanie: jakie stanowisko ma sformułować dostawca, skoro nie wie, do czego ma się odnieść. Zaakcentować należy, że w taki właśnie sposób ma być wydana decyzja, która w istocie skaże przedsiębiorcę arbitralnie uznanego za dostawcę wysokiego ryzyka na trudne do wyobrażenia straty ekonomiczne.

Niestety, nawet możliwość poddania decyzji kontroli sądowej będzie listkiem figowym – decyzja ma podlegać natychmiastowemu wykonaniu, dlatego nawet jeśli przedsiębiorca uzyska pozytywne rozstrzygnięcie sądu, zdąży wcześniej ponieść niepowetowane straty.

Ponadto skarga na decyzję ministra będzie rozpatrywana przez sąd administracyjny na posiedzeniu niejawnym, odpis wyroku zostanie skarżącemu dostarczony wyłącznie z tą częścią uzasadnienia, która nie będzie zawierała informacji niejawnych.

Czy ochrona bezpieczeństwa państwa uzasadnia wszystko?

W uzasadnieniu projektu omawianych rozwiązań przyznano, że w te sposób ograniczone zostają konstytucyjne wolności i prawa. Projektodawcy, powołując się jednak na orzecznictwo Trybunału Konstytucyjnego, przekonują, że względy bezpieczeństwa państwa uzasadniają ograniczenia.

Niestety, zignorowano, że Trybunał wyjaśnia również, że wszelkie ograniczenia muszą być proporcjonalne: „muszą być w stanie doprowadzić do zamierzonych celów; muszą one być niezbędne dla ochrony interesu, z którym są powiązane; ich efekty muszą pozostawać w proporcji do ciężarów nakładanych na obywatela” (K 28/97).

Opisane rozwiązania zakładają stosowanie wobec „podejrzanego” dostawcy arsenału najpoważniejszego kalibru w modelu prewencyjnym i w oparciu o ustalenia nieumocowanego konstytucyjne „zespołu opiniującego” o nieznanym składzie i sposobie działania. To nie jest proporcjonalne rozwiązanie.

Kontekst zobowiązań międzynarodowych

Wymóg proporcjonalności nie wynika jedynie z polskiej konstytucji. To również jeden z prawnych filarów stosunków międzynarodowych oraz systemu prawnego UE. Polska jest sygnatariuszem bilateralnych umów, w których zobowiązała się do niepodejmowania działań utrudniających wzajemny dostęp do rynku.

Projektowane przepisy dyskryminują natomiast przedsiębiorców m.in. z państw, z którymi takie umowy zawarło, tj. z Brazylii (umowa z 1960 r.), Turcji (1974 r.), Chin (1988 r.), Arabii Saudyjskiej (2003 r.) czy RPA (2016 r.).

Dodatkowo RP jest również stroną międzynarodowego porozumienia ws. zamówień publicznych (GPA), którego sygnatariuszami są także USA, Japonia, Korea Płd., Izrael, Australia czy Wielka Brytania. Jest to istotne ze względu na ww. propozycję, aby przedsiębiorca uznany za dostawcę wysokiego ryzyka był natychmiast eliminowany z rynku zamówień.

To naruszenie zobowiązań Polski zarówno wobec ww. państw, jak i wobec UE, która wymaga respektowania GPA. Taka niezgodność wywołuje ryzyko utraty środków unijnych, które przecież szerokim strumieniem mają być kierowane na rozwój infrastruktury ICT, pod warunkiem wydatkowania ich zgodnie z unijnymi zasadami udzielania zamówień. Dlatego powyższa uwaga nie jest wyrazem prawniczego puryzmu, lecz eksponuje ryzyko doniosłych praktycznie konsekwencji.

Szkody dla wizerunku gospodarki

Prawo nie nadąża za rzeczywistością – to truizm. Jest to szczególnie widoczne w kontekście rozwoju technologii. Nie zwalnia to jednak z obowiązku regulowania tego obszaru z poszanowaniem konstytucyjnych reguł oraz bez generowania barier dla rozwoju technologii w krajowej gospodarce.

Omówione propozycje nie spełniają tego wymogu i powinny zostać gruntownie zrewidowane. Warto zwrócić uwagę, że pomimo braku jakiejkolwiek podstawy prawnej już dziś niektóre organy administracji podejmują kontrowersyjne działania podobne do proponowanych w projekcie nowelizacji.

Można tu wskazać warunki ustanawiane przez prezesa UKE w tzw. aukcji 5G, które umożliwią eliminowanie „podejrzanych” dostawców ICT, pomimo że zgodnie ze stanowiskiem rządu „obecnie nie ma żadnych środków prawnych umożliwiających nakazanie wycofywania z eksploatacji produktów ICT (…) zagrażających bezpieczeństwu”.

Takie działania wywołują poważne szkody dla wizerunku polskiej gospodarki, sugerując, że nowelizacja ma jedynie „zalegalizować” kontrowersyjne praktyki, już obecnie lansowane przez administrację rządową. Autorzy regulacji o tak dużej wadze dla gospodarki powinni pamiętać, że znaczenie ich działań wykracza poza procedurę prawodawczą. Dają również sygnał dla rynku, w tym dla inwestorów zainteresowanych polskim sektorem ICT.

Sygnał, jaki płynie z omówionych propozycji, z pewnością trudno uznać za zachęcający – wzbudza poważne wątpliwości prawne, obniża zaufanie rynku do administracji rządowej, a w dłuższej perspektywie może wywołać poważne konsekwencje gospodarcze.

Agnieszka Wiercińska-Krużewska, adwokatka, partnerka współzarządzająca, kieruje zespołem TMT w WKB Lawyers

Jan Roliński, adwokat, partner, współkieruje zespołem projektów infrastrukturalnych i zamówień publicznych w WKB Lawyers

W projekcie noweli ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) planowane jest wprowadzenie procedury uznania za „dostawę wysokiego ryzyka”. De facto stworzy ona możliwość eliminowania przedsiębiorców branży ICT z polskiego rynku, którzy jednak nie dowiedzą się, kto o tym postanowił, w jaki sposób i dlaczego.

Dobre chęci i słuszne założenia, ale…

Pozostało 96% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Opinie Prawne
Paweł Litwiński: Jak chroni się dane w sądach? Cóż…
Opinie Prawne
Prof. Pecyna o zabezpieczeniu TK i reakcji komisji ds. Pegasusa: "Pogłębianie chaosu"
Opinie Prawne
Jan Skoumal: Czy obowiązuje nas nowelizacja języka polskiego?
Opinie Prawne
Kazus Szmydta. Wypadek przy pracy sądownictwa administracyjnego czy pytanie o jego sens?
Opinie Prawne
Prof. Marek Safjan: Prawo jest jak kostka Rubika