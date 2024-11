Deklarowanym celem projektu jest implementacja dyrektywy NIS2, ale chcę podkreślić, że krytykowane przeze mnie rozwiązania nie mają umocowania w postanowieniach dyrektywy. Dyrektywa nie przewiduje tak szerokiego sektorowego zakresu obowiązywania nowelizacji, nie wprowadza obowiązku ustanowienia instytucji prawnej DWR i jej powiązania z kryteriami narodowościowymi. Próżno też szukać w dyrektywie umocowania do istnienia instytucji kolegium ds. cyberbezpieczeństwa czy do ograniczenia praw w postępowaniu administracyjnym i sądowoadministracyjnym. Pod pozorem implementacji dyrektywy wprowadza się zupełnie nowe rozwiązania prawne, co można określić pojęciem gold-platingu („nadimplementacji”). To niekorzystna praktyka prawotwórcza, która polega na próbie legitymizacji kontrowersyjnych instytucji prawnych rzekomymi wymogami unijnymi. Tymczasem Polska będzie mieć najbardziej kosztowne i restrykcyjne regulacje w Unii Europejskiej. Doprowadzi to do sytuacji, w której podmioty uznane za DWR w Polsce będą mogły bez problemu funkcjonować w innych krajach unijnych. Czy w ten sposób władze i mieszkańcy Unii Europejskiej, w tym Polski, mogą naprawdę być bezpieczni? Wątpię.

Jakie rozwiązania byłyby pana zdaniem lepsze niż te przewidziane w polskim projekcie?

Myślę, że błędna i nieefektywna, niemniej podtrzymywana w kolejnej wersji projektu, jest koncepcja weryfikacji podmiotowej, którą należałoby zastąpić weryfikacją przedmiotową (techniczną), certyfikacją. W Niemczech funkcjonuje model, który mógłbym określić modelem uprzedniej weryfikacji przedmiotowej (certyfikacji). Operator musi powiadomić organ o planowanym pierwszym użyciu komponentu krytycznego, dołączając w razie potrzeby deklaracje gwarancyjne itd. Taka procedura, z udziałem wyspecjalizowanych organów technicznych, tworzy sito, przez które „niebezpieczne komponenty” wraz z ich producentami nie powinny przejść. Bez wątpienia należy postulować jasne i przejrzyste zasady materialnoprawne, ustrojowe i proceduralne, z poszanowaniem zasady proporcjonalności i sprawiedliwości proceduralnej i przy równoczesnym, pełnym i efektywnym, wykorzystaniu zasobów informacyjnych służb specjalnych. W mętnej wodzie – mętnym otoczeniu prawnym – ci, co są „winni”, dopłyną do brzegu, a ci, co są „niewinni”, utoną. W mętnej wodzie dobrze ryby łowić, a mętna regulacja tworzy zachętę do zachowań patogennych, lobbystycznych, korupcyjnych i nie zapewnia cyberbezpieczeństwa na żadnym poziomie.

Porównuje pan polskie przepisy do tych w innych krajach, ale pamiętajmy, że Polska jest na pierwszej linii cyberwojny, najbardziej narażona na cyberataki np. Rosji czy Białorusi.