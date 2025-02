Projekt ustawy nie wycofuje się z kontrowersyjnej konstrukcji dostawcy wysokiego ryzyka (HRV – high risk vendor). Uznanie za takiego będzie się wiązało z koniecznością wymiany sprzętu czy oprogramowania tego dostawcy przez podmioty ważne i kluczowe.

Zostały utrzymane kontrowersyjne i budzące zastrzeżenia konstytucyjne rozwiązania, zgodnie z którymi przedsiębiorca może w przypadkach podlegających uznaniu ministra cyfryzacji zostać uznany za dostawcę wysokiego ryzyka. Projekt ustawy podtrzymuje wariant weryfikacji podmiotowej (osoby dostawcy), a decydujące znaczenie będą mieć kryteria kraju pochodzenia, co ma oceniać Kolegium ds. Cyberbezpieczeństwa, czyli ciało quasi-rządowe. Uważam, że w miejsce nieostrych kryteriów podmiotowych efektywniejszą ochronę państwa zapewniłby system weryfikacji przedmiotowej, czyli sprzętu, a nie osoby wykonawcy.

Czytaj więcej Administracja państwowa Z cyberbezpieczeństwem jest trochę jak z RODO. Dużo straszenia Kwestie związane z cyberbezpieczeństwem to już nie tylko problem techniczny, lecz w dużej mierze poważne ryzyko biznesowe – mówi Paweł Śmigielski, ekspert ds. cyberbezpieczeństwa.

Zastrzeżenia komentatorów budziły rozwiązania proceduralne w tej kwestii.

W tym zakresie nie ma żadnej poprawy. Projekt podtrzymuje też niejasną, skomplikowaną i nietransparentną procedurę w sprawie dostawcy wysokiego ryzyka, o czym już wspomniałem w naszej ostatniej rozmowie. Warto dopowiedzieć, że chaos proceduralny zatruwa też inne procedury przewidywane w projekcie. Podmioty kluczowe i ważne zostały zobowiązane do samodzielnej oceny, czy spełniają kryteria definicji ustawowej, a jeżeli tak – to powinny same złożyć wniosek o wpis do wykazu podmiotów ważnych i podmiotów kluczowych, prowadzonego przez ministra cyfryzacji. Wątpliwości w świetle zasad poprawnej legislacji i zasady prawa do sądu budzi zwłaszcza założenie zawarte w projekcie, że wpis, zmiana wpisu oraz wykreślenie wpisu z wykazu jest „czynnością materialno-techniczną i ma charakter deklaratoryjny” bez równoczesnego dodania, iż wskazana czynność podlega skardze do sądu administracyjnego. Ponadto zastrzeżenia może budzić fakt, że w przypadkach odmowy wykreślenia z wykazu oraz wpisania do wykazu projektodawca wprost ustanowił formę „czynności z zakresu administracji publicznej”, a nie formę decyzji administracyjnej.

Co w tym złego?