Tomasz Siemiątkowski: Atmosfera pośpiechu nie służy legislacji

Zapoznałem się z publikacją pana Marcina Wysockiego pt. „Czy celem jest zatopienie okrętu, który zapewnia ochronę nam wszystkim?”. Autor ustosunkowuje się do głosów dezaprobaty formułowanych względem uzgadnianego projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa mającego wdrożyć dyrektywę NIS2. Zostałem w tym tekście wywołany niejako do tablicy jako jeden z krytyków forsowanych przez projektodawcę rozwiązań, a tę krytykę podtrzymuję.

Wobec komentowanej publikacji wypada zgłosić pewną uwagę natury ogólnej. Jej autor pomija, że dyskutowane rozwiązania są dopiero na etapie legislacyjnym – nie trafiły jeszcze nawet pod obrady Sejmu. Zaskakuje zatem tytuł publikacji. Celem krytyki projektowanych przepisów nie jest „zatopienie okrętu, który zapewnia ochronę nam wszystkim”. Powiedziałbym raczej, pozostając w obszarze metaforyki marynistyczno-okrętowej, że celem debaty nad przyszłością prawa jest zbudowanie takiego okrętu, który ochronę cyberbezpieczeństwa zapewni, a nie – jak wywodzi autor – stworzy „system z tektury”. Celowi temu nie służy przeładowanie rzeczonego okrętu zbędną biurokracją ani dopuszczanie do tego, aby gdzieniegdzie znajdowały się dziury.

Dyrektywa NIS2 wprowadza dla podmiotów ważnych i kluczowych obowiązek „samorejestracji”

Brak otwartości na głosy krytyki odbieram z zaniepokojeniem, zważywszy, że pan Marcin Wysocki jest Zastępcą Dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji – autora projektu nowelizacji. Czy ministerstwo okopało się już na z góry upatrzonych pozycjach i zamyka pole do dyskusji? Otwarcie na krytykę, zwłaszcza gdy przyjmuje dość jednolity ton, stanowi konieczny element dyskusji nad procesem legislacyjnym w demokratycznym państwie prawnym (art. 2 Konstytucji RP).

Kolejnym elementem konstytuującym klauzulę demokratycznego państwa jest zasada poprawnej legislacji, a jej przestrzeganie nie może być usprawiedliwiane opóźnieniami w pracach nad implementacją dyrektywy NIS2. W komentowanej publikacji zwrócono uwagę, że termin na implementację upłynął 18 października 2024 r., zaś postulat „prac od nowa” czy uchwalenia nowej ustawy o krajowym systemie cyberbezpieczeństwa (w miejsce chaotycznego łatania przepisów nowelizacją liczącą 171 stron) ściąga na Polskę widmo „wielomilionowych kar”. To nie obywatele są odpowiedzialni za tempo prac legislacyjnych, lecz administracja rządowa, z Ministerstwem Cyfryzacji na czele. Dlaczego więc na obywateli ma być przerzucany ciężar niejasnych i niezrozumiałych zapisów ustawy, rodzących liczne wątpliwości interpretacyjne? Czy za aktualne opóźnienie w transpozycji dyrektywy NIS2 nie grożą nam „wielomilionowe kary” tylko z tej przyczyny, że projektodawcy nie zdecydowali się na uchwalenie nowego aktu prawnego, który kompleksowo unormuje zagadnienia cyberbezpieczeństwa? To oczywiście pytania retoryczne. Atmosfera strachu i pośpiechu nie służy standardowi legislacyjnemu i nie usprawiedliwia naruszenia zasad konstytucyjnych i konwencyjnych.

Czytaj więcej

Opinie Prawne

Marcin Wysocki: Czy celem jest zatopienie okrętu, który zapewnia ochronę nam wszystkim?

Nie możemy sobie pozwolić na to, by krajowy system cyberbezpieczeństwa 2.0 był systemem z tektury...

Mój sprzeciw budzi retoryka „bo Unia każe”. Nomen omen, obserwuję ją nie tylko w wypowiedziach Ministerstwa Cyfryzacji. To typowe tłumaczenie przez prawodawcę wielu niełatwych decyzji legislacyjnych wymaganiami unijnymi. Niestety, często mija się ono z prawdą, gdy przepisy implementujące zestawimy z prawem UE. Zjawisko to określa się mianem nadimplementacji, czyli gold-platingu. Polega na „serwowaniu” krajowych przepisów prawnych na tacy pozornie „pozłoconej” prawem UE, czyli na wprowadzaniu w implementacji prawa UE wymogów lub procedur, których prawo to nie wymaga.

Takie „pozłocenie” proponuje Ministerstwo Cyfryzacji. Autor komentowanego przeze mnie tekstu wywodzi, że dyrektywa NIS2 wprowadza dla podmiotów ważnych i kluczowych obowiązek „samorejestracji” w wykazie, który będzie prowadzić minister cyfryzacji. To prawda. Niemniej, wbrew zawartym w przedmiotowym tekście sugestiom, prawo UE bynajmniej nie narzuca prawodawcy krajowemu, aby zrezygnował z formy decyzji administracyjnej w odniesieniu do czynności odmowy wykreślenia z wykazu oraz wpisania do wykazu podmiotów ważnych i podmiotów kluczowych i zastąpił ją formą „czynności z zakresu administracji publicznej”. Konstrukcja decyzji administracyjnej zapewnia podmiotowi, względem którego będzie się toczyć postępowanie, możliwość obrony interesu prawnego, złożenia wniosku o ponowne rozpatrzenie sprawy, co jest prawem konstytucyjnym (art. 78 Konstytucji RP). Strona ma też wynikające z k.p.a. prawo do inicjatywy dowodowej, aby przedstawić swój pogląd na temat zasadności wpisu do wykazu. W przypadku rezygnacji z formy decyzji brak jest jakiejkolwiek gwarancji procesowej dla stron, a następcza kontrola sądowa tej czynności przez sąd administracyjny ma wymiar jedynie pozorny (z wyjątkiem art. 106 § 3 p.p.s.a. sąd administracyjny nie prowadzi postępowania dowodowego). Przedstawiciel Ministerstwa Cyfryzacji uważa, że „kryteria identyfikacji są transparentne”, co miałoby czynić niecelowym konieczność spełnienia standardów proceduralnych ustanowionych w k.p.a. Przestrzegam przed takim wnioskowaniem. Praktyka życia gospodarczego jest na tyle bogata, że zapewne dostarczy wielu nieoczywistych i spornych przypadków. System prawny powinien być na nie właściwie przygotowany, a nie opierać się na idealistycznych założeniach.

Konstrukcja prawna dostawcy wysokiego ryzyka

Znamienny i szczególnie niebezpieczny przykład gold-platingu w projektowanej nowelizacji stanowi konstrukcja prawna dostawcy wysokiego ryzyka (DWR, HRV, ang. high-risk vendor), która znacząco odbiega od wymagań stawianych przez UE.

Wydaje się, że Ministerstwo Cyfryzacji jest szczególnie dumne z rozwiązań w zakresie DWR, a wszelką krytykę traktuje jako „szerzenie dezinformacji”. Czy to syndrom oblężonej twierdzy? 30 grudnia 2024 r. opublikowano na stronie internetowej apel o uważność wobec „dezinformacji” na temat DWR. Skoro projektowane przepisy wywołują tak wielkie kontrowersje wśród praktyków, przedsiębiorców i komentatorów, to być może wcale nie są tak transparentne i sprawiedliwe, jak uporczywie starają się przekonać ministerialni urzędnicy?

Uważam, że szczególnie od podmiotów odpowiedzialnych za tworzenie i egzekwowanie prawa należy oczekiwać rzetelnego i pełnego informowania obywateli o wprowadzanych regulacjach. Tymczasem Ministerstwo Cyfryzacji jako „dezinformację” odbiera pojawiające się w przestrzeni publicznej głosy, iż  decyzja o uznaniu dostawcy za DWR to „arbitralna decyzja polityczna”. Na ową „dezinformację” odpowiada, że: „Decyzja ta ma być wynikiem wieloetapowego postępowania, w którym uczestniczyć będzie Kolegium do spraw Cyberbezpieczeństwa oraz, fakultatywnie, organizacje społeczne i prezes UOKiK”. Informacje rozpowszechniane przez ministerstwo są niepełne i niedokładne.

Po pierwsze, decyzja o uznaniu za DWR ma być, w świetle projektowanego art. 67b ust. 15 nowelizacji, decyzją uznaniową, skoro przesłanka jej wydania (dostawca „stanowi zagrożenie dla podstawowego interesu bezpieczeństwa państwa”) jest określona w sposób tak bardzo ocenny i niejednoznaczny.

Po drugie, ministerstwo podnosi, że w postępowaniu w sprawie uznania za DWR mają uczestniczyć organizacje społeczne – co w domyśle ma zapewniać większą transparentność postępowania. Tymczasem proponowany przepis art. 67b ust. 2 uchyla zastosowanie w rzeczonym postępowaniu art. 31 k.p.a., który jest podstawą prawną udziału organizacji społecznej w administracyjnym postępowaniu ogólnym. Udział rzeczonych organizacji został, mocą przepisu szczególnego zawartego w art. 67b ust. 9, okrojony jedynie do możliwości przedstawienia stanowiska. W porównaniu ze standardem ogólnym wynikającym z wyłączonego art. 31 k.p.a. organizacje społeczne nie mogą składać środków zaskarżenia, nie mają dostępu do akt sprawy czy inicjatywy dowodowej. O tym już ministerstwo nie raczyło wspomnieć, dementując rzekomą „dezinformację”.

Po trzecie, upolitycznienie postępowania w sprawie DWR jest kwestią oczywistą. Zdecydowanie nie można zgodzić się z sugestią, jakoby udział w postępowaniu Kolegium ds. Cyberbezpieczeństwa miał zagwarantować niezależność procedury. Rzeczone Kolegium jest organem politycznym, a jego przewodniczącym z mocy prawa jest prezes Rady Ministrów. Przypomnijmy, że ów w zasadzie dowolnie może odwołać ministra cyfryzacji. Jeżeli więc decyzję w sprawie uznania za DWR wydaje minister cyfryzacji, po zasięgnięciu opinii Kolegium, na czele którego stoi „szef” ministra, to o jakiego rodzaju odpolitycznieniu czy niezależności tutaj mówimy? Minister jest typowym organem politycznym, zależnym od opcji rządzącej, a zwłaszcza zależnym od prezesa Rady Ministrów. Czy można sobie wyobrazić, aby minister podejmował decyzję wbrew „opinii” organu premiera? Taki układ procesowy razi nieprzejrzystością relacji między decyzją ministra a opinią kolegium, a sam charakter prawny tej opinii nie został zdefiniowany. Czy celem takiego ukształtowania postępowania nie jest rozmycie odpowiedzialności za wydane kontrowersyjne decyzje w sprawie DWR?

Chciałbym zaznaczyć, że rozwiązania w zakresie DWR, które forsuje Ministerstwo Cyfryzacji, nie są wpisane do tekstu dyrektywy NIS2. Są charakterystycznym przykładem gold-platingu. W uczciwej dyskusji nad tak kluczowymi kwestiami oczekiwałbym wyjaśnienia, dlaczego Polska wprowadza nieznane innym krajom rozwiązania?

Czytaj więcej:

Biznes

Dyrektywa NIS2 – praktyczne konsekwencje dla polskich przedsiębiorców

Firmy działające w sektorach, takich...

Pro

Jaki sens ma wprowadzanie w Polsce najbardziej restrykcyjnego prawa w UE

W komentowanym przeze mnie tekście przewija się zarzut kosztów „wystrzelonych postulatów”, jakie ośmielają się głosić krytycy projektowanych rozwiązań. Chciałbym natomiast spytać, czy Ministerstwo Cyfryzacji obliczyło, jakim obciążeniem dla państwa będzie zmuszenie podmiotów ważnych i kluczowych do rezygnacji ze sprzętu lub oprogramowania, względem którego może zostać podjęta decyzja w sprawie uznania dostawcy za DWR? Czy wzięto pod uwagę, w jaki sposób zawężenie rynku odbije się na cenach sprzętu i oprogramowania, a także na możliwościach rozwoju gospodarczego naszego kraju?

Pytania się mnożą. Czy ustalono, jaki sens ma wprowadzanie w Polsce najbardziej restrykcyjnego prawa w UE, skoro te same sprzęty i oprogramowania mogą być dostępne w innych krajach członkowskich, w których dany dostawca nie będzie funkcjonować jako DWR? Gold-plating skutkuje destabilizacją spójności prawa w ramach UE i zakłóca funkcjonowanie rynku wewnętrznego. Obawiam się, że te skutki wywoła projektowana regulacja.