Choć rozwiązania przewidziane w projekcie charakteryzowane są w przekazie medialnym jako „przełomowe”, „nowatorskie”, czy „kluczowe z punktu widzenia cybersuwerenności Polski” – jego forma legislacyjna nadal budzi wątpliwości, a okoliczności towarzyszące jego ujawnieniu pozwalają przypuszczać, że i tym razem próba nowelizacji podjęta będzie pospiesznie, ze zlekceważeniem partnerów społecznych, bez realnych konsultacji oraz wszechstronnej oceny skutków regulacji.

Projekt stanowi szóstą już próbę nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa 2018 r. Przypomnijmy: poprzedzające go propozycje budziły analogiczne zastrzeżenia, w tym zwłaszcza zarzut braku precyzyjnych kryteriów oceny (niedookreśloność przepisów, a w efekcie arbitralność procedury weryfikacyjnej) oraz niesatysfakcjonującą ocenę skutków regulacji (deficyt refleksji na temat konsekwencji społeczno-gospodarczych: wydatków na wymianę infrastruktury telekomunikacyjnej, ryzyko „przerzucenia” owych kosztów na konsumentów, a nawet pesymistyczny scenariusz reakcji odwetowej wobec polskich przedsiębiorców działających na rynkach azjatyckich). Mimo podnoszonych w przeszłości argumentów oraz odmiennych koncepcji merytorycznych, najnowszy projekt nie jest wolny od istotnych mankamentów.

Czytaj więcej

5G
Jest nowy projekt ustawy o cyberbezpieczeństwie. Ze spółką Polskie 5G

Doświadczenie uczy, że najlepszy nawet merytorycznie oraz doskonały od strony formalno-legislacyjnej projekt regulacji, może okazać się nieskuteczny w praktyce, gdy przygotowywany jest z pominięciem głosu ekspertów, bez udziału interesariuszy lub wbrew oczekiwaniom jego adresatów: przedsiębiorców, pracodawców, konsumentów, których nowe przepisy mają dotyczyć. Obserwacja praktyki legislacyjnej, nie tylko zresztą w Polsce, prowadzi również do wniosku, że racjonalne stanowienie prawa – czemu służy m.in. planowanie legislacyjne (przewidywalność aktywności prawodawczej, ogłaszanie programu zmian w prawie z wyprzedzeniem i wdrażanie nowych przepisów zgodnie z planem, ograniczenie przypadkowości i chaotyczności w działaniach rządzących) oraz rzetelna i interdyscyplinarna ocena skutków regulacji (zidentyfikowanie przewidywanych korzyści i strat: gospodarczych, społecznych, politycznych, wywołanych zmianą stanu prawnego) – wymaga czasu, otwartości na dialog, cierpliwości oraz skrupulatności w zakresie techniki prawodawczej.

Przesadne tempo prac legislacyjnych, przekonanie projektodawcy o własnej nieomylność, determinacja we wprowadzeniu nowych rozwiązań bez względu na ich koszt oraz niechlujność w konstruowaniu przepisów, skutkują na ogół bublami prawnymi, nastręczającymi wątpliwości interpretacyjnych oraz niepożądanych konsekwencji ekonomicznych. Z drugiej strony, nieprzewidywalność działań prawodawcy pociąga za sobą na ogół analogiczne problemy na etapie stosowania prawa: niepewność co do praw i obowiązków adresatów norm, niespójność linii orzeczniczej, spory o wykładnię zgodną z ratio legis aktu.

Potrzeba dbania o jakość regulacji oraz „patrzenia władzy na ręce” w procesie decyzyjnym jest tym większa – im bardziej doniosłej materii dotyczy projekt. Opublikowany w dniu 12 października projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (mimo wysoce specjalistycznego przedmiotu regulacji oraz pozornie wąskiego zastosowania, czyli objęcia nim przede wszystkim przedsiębiorców telekomunikacyjnych) jest właśnie taką propozycją regulacji: oddziaływać będzie nie tylko na sytuację potężnych, międzynarodowych firm z branży informatycznej, ale dostępność i ceny oferowanych produktów elektronicznych oraz usług telekomunikacyjnych konsumentów. Ponadto, ze względu na obecność na polskim rynku podmiotów zagranicznych, które narażone zostaną na uznanie ich – w nie do końca przejrzystej, częściowo „politycznej” (mimo stosowania przepisów kodeksu postępowania administracyjnego, kluczową rolę odgrywać ma czynnik rządowy, a decyzję wydawać minister) procedurze, i przy braku precyzyjnych kryteriów oceny (w oparciu o uznaniowe założenia) – za tzw. dostawców wysokiego ryzyka, co skutkować może sankcjami względem polskich przedsiębiorców działających na rynkach zagranicznych. Ryzyko jest realne, bowiem w świetle proponowanych rozwiązań: podmiot uznany za dostawcę wysokiego ryzyka nie tylko pozbawiany jest uprawnienia do wprowadzania nowych produktów na rynek, ale zobowiązany do wycofania z użytkowania sprzętu nie później niż 7 lat od dnia ogłoszenia lub udostępnienia informacji o decyzji. Rozstrzygnięcie takie podlega natychmiastowemu wykonaniu i nie przysługuje na nie wniosek o ponowne rozpatrzenie sprawy.

Wątpliwości budzi również sposób publikacji projektu oraz forma zbierania stanowisk od środowisk branżowych. Źródłem informacji stał się bowiem biuletyn informacji publicznej Ministra Cyfryzacji (plik z nowym projektem ustawy zamieszczono jako rozwinięcie poprzednich propozycji legislacyjnych), a komunikat o prowadzonych konsultacjach publicznych znalazł się na stronach internetowych serwisów branżowych, zamiast oficjalnych witrynach administracji rządowej. Zgodnie z nieoficjalną informacją sprzed kilku dni: termin składanie uwag to 22 października, a zatem… tydzień (sic!).

Istnieje zatem spore prawdopodobieństwo, że – wobec jesiennej ofensywy ustawodawczej obozu rządzącego – projekt stanie się przedmiotem „ekspresu legislacyjnego”, co jeszcze bardziej ograniczy przestrzeń do dyskusji, konstruktywnej krytyki i potrzebnych poprawek.Doświadczenie sugeruje jednak przyjąć odmienny model działania, by w niedalekiej przyszłości nie okazało się, że nowe przepisy wymagają pilnych korekt, a generalny bilans korzyści i kosztów jest ujemny. Rzetelnie przeprowadzone konsultacje pozwoliłyby niewątpliwie – bez szkody dla przyszłych politycznych rozstrzygnięć w materii cyberbezpieczeństwa – zapewnić udział ekspertów oraz wsparcie czynnika merytorycznego w procesie regulowania tej trudnej i skomplikowanej materii.

dr hab. Krzysztof Koźmiński – radca prawny, partner w Kancelarii Jabłoński Koźmiński, wykładowca na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego