Piotr Bogdanowicz: Nie wszystko złoto, co się świeci

Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw został skierowany na Stały Komitet Rady Ministrów, którego posiedzenie odbywa się w czwartek. Projekt w zakresie, jakim wykracza poza wdrożenie dyrektywy NIS2 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, może zostać uznany za niezgodny z prawem Unii Europejskiej ze względu na nieproporcjonalne ograniczenie swobody przepływu towarów, swobody przedsiębiorczości i prawa własności.

Spóźniona transpozycja i gold-plating

„Rozczarowujące osiągnięcia gospodarcze Unii Europejskiej utrudniają sprostanie wyzwaniom, przed jakimi ona stoi” – słowa, które znalazły się w wydanym w 2005 r. komunikacie Komisji Europejskiej do Parlamentu Europejskiego i Rady na temat poprawy otoczenia regulacyjnego w dziedzinie wzrostu gospodarczego i zatrudnienia w Unii Europejskiej, pozostają aktualne 20 lat później. Zapewne mało kto jednak pamięta, że w dokumencie tym Komisja zdefiniowała również pojęcie tzw. gold-platingu, a więc wprowadzania w procesie transpozycji prawa UE (głównie dyrektyw) wymogów lub procedur, których prawo to nie wymaga.

Gold-plating jako taki nie jest zakazany przez prawo unijne. Przykładowo w przypadku harmonizacji minimalnej państwa członkowskie mogą przyjmować przepisy bardziej restrykcyjne, pod warunkiem że są one jednak zgodne przepisami traktatowymi i ogólnymi zasadami prawa unijnego.

Powyższy przykład harmonizacji minimalnej przywołałem nieprzypadkowo. Zgodnie z art. 5 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS2), zatytułowanym „Harmonizacja minimalna” właśnie, „dyrektywa nie uniemożliwia państwom członkowskim przyjęcia lub utrzymania przepisów zapewniających wyższy poziom cyberbezpieczeństwa, pod warunkiem że takie przepisy są spójne z obowiązkami państw członkowskich, ustanowionymi w prawie Unii”. Państwa członkowskie zostały obowiązane do transpozycji dyrektywy NIS2 do 17 października 2024 r. Niestety, wśród państw, które wciąż tego nie zrobiły, jest Polska. Sytuację ma zmienić projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (z 16 kwietnia 2025 r.), mający na celu m.in. wdrożenie dyrektywy NIS2 do prawa polskiego.

Czytaj więcej:

Finanse

Polska nie wdraża unijnych przepisów na czas. Co za to grozi?

Liczne akty prawne wydawane na poziom...

Pro

Polski ustawodawca nie poprzestał jednak na tym, ale postanowił wprowadzić do polskiego porządku prawnego mechanizm pozwalający na uznanie określonego dostawcy sprzętu lub oprogramowania dla szczególnego rodzaju podmiotów gospodarczych i społecznych, za dostawcę wysokiego ryzyka (DWR). Wskazane w decyzji właściwego ministra zakresy określonych produktów, usług czy konkretnych procesów będą musiały być wycofane z tych podmiotów. Rozwiązanie to, jak wynika z uzasadnienia projektu ustawy, ma na celu zapewnienie ochrony ważnego interesu państwowego w postaci bezpieczeństwa państwa.

Nie ulega wątpliwości, że projekt ustawy w zakresie postępowania w sprawie uznania za DWR i konsekwencji z tym związanych stanowi przejaw gold-platingu. Dyrektywa NIS2 nie zawiera bowiem przepisów dotyczących wykluczania DWR czy dostarczanego przez nich sprzętu. Obawiam się jednak, że projektowane rozwiązania mogą stanowić nieproporcjonalne ograniczenie swobody przepływu towarów, swobody przedsiębiorczości oraz prawa własności.

Ograniczenie prawa własności i swobód rynku wewnętrznego…

Z orzecznictwa Trybunału Sprawiedliwości UE wynika, że ograniczenie możliwości używania towaru na terytorium danego państwa członkowskiego może mieć wpływ na dostęp tego towaru do rynku. Tymczasem projekt przewiduje m.in. zakaz wprowadzania do użytkowania typów tzw. produktów ICT, obowiązek wycofania ich z użytkowania oraz brak możliwości ich nabywania. W rezultacie ewentualni odbiorcy mogą nie być skłonni kupować produktów, wiedząc, że zakres ich używania dozwolony przez przepisy krajowe będzie ograniczony, a nawet wyłączony.

Sam ustawodawca przyznaje zresztą w uzasadnieniu, że „proponowane rozwiązania mają wpływ na swobodę działalności gospodarczej podmiotów zobowiązanych do wycofania sprzętu – wpływają bowiem na wolność podejmowania decyzji gospodarczych. Mają także wpływ na wykonywanie niektórych atrybutów prawa własności, tj. prawa do używania produktów”. Należy jednocześnie pamiętać, że decyzja w sprawie uznania za DWR jest natychmiastowo wykonalna.

…uzasadnione bezpieczeństwem publicznym

Z uzasadnienia projektu ustawy wynika wprost, że celem przepisów w zakresie postępowania w sprawie uznania za DWR i konsekwencji z tym związanych jest „zapewnienie ochrony ważnego interesu państwowego w postaci bezpieczeństwa państwa”. Przesłanka bezpieczeństwa pojawia się w uzasadnieniu wiele razy – prawodawca wskazuje między innymi, że „wdrożenie sieci 5G wiąże się z ryzykami, szczególnie tymi związanymi z bezpieczeństwem” i w związku z tym postępowanie w sprawie uznania dostawcy sprzętu lub oprogramowania za DWR „będzie prowadzone w celu ochrony ważnych interesów państwowych w postaci bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego”.

Uzasadnienie projektowanych rozwiązań mieści się w granicach przepisów traktatowych, pozwalających państwom członkowskim na ograniczenie swobód rynku wewnętrznego czy prawa własności wartościami w postaci bezpieczeństwa państwa (publicznego).