Krzysztof Koźmiński: Do ilu razy sztuka?

Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw to kolejna próba uregulowania krajowego rynku cyfrowego oraz telekomunikacji. Choć przewidziane w nim rozwiązania charakteryzowane są w mediach jako „przełomowe", „nowatorskie" czy „kluczowe z punktu widzenia cybersuwerenności Polski" – jego forma legislacyjna nadal budzi wątpliwości, a okoliczności jego ujawnienia pozwalają przypuszczać, że i tym razem próba nowelizacji podjęta będzie pospiesznie, z lekceważeniem partnerów społecznych, bez realnych konsultacji oraz wszechstronnej oceny skutków regulacji.

Czytaj więcej

W kancelariach

Kancelarie a cyberataki - badanie wydawnictwa C.H. Beck o bezpieczeństwie IT w kancelariach

Małe kancelarie prawne wciąż nie mają świadomości cyberzagrożeń.

Projekt jest szóstą już próbą nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 2018 r. Przypomnijmy: poprzedzające go propozycje budziły podobne zastrzeżenia, zwłaszcza brak precyzyjnych kryteriów oceny (niedookreśloność przepisów, a w efekcie arbitralność procedury weryfikacyjnej),niesatysfakcjonująca też była ocena skutków regulacji (deficyt refleksji o konsekwencjach społeczno-gospodarczych: wydatków na wymianę infrastruktury telekomunikacyjnej, ryzyko przerzucenia owych kosztów na konsumentów, a nawet pesymistyczny scenariusz reakcji odwetowej wobec polskich przedsiębiorców działających na rynkach azjatyckich).

Mimo podnoszonych w przeszłości argumentów oraz odmiennych koncepcji merytorycznych, najnowszy projekt nie jest wolny od istotnych mankamentów.

Potrzebny jest czas, cierpliwość i skrupulatność

Doświadczenie uczy, że najlepszy nawet merytorycznie oraz doskonały od strony formalnolegislacyjnej projekt regulacji może okazać się nieskuteczny, gdy przygotowywany jest z pominięciem głosu ekspertów, bez udziału interesariuszy lub wbrew oczekiwaniom jego adresatów: przedsiębiorców, pracodawców, konsumentów, których nowe przepisy mają dotyczyć. Obserwacja praktyki legislacyjnej, nie tylko zresztą w Polsce, prowadzi również do wniosku, że racjonalne stanowienie prawa – czemu służy m.in. planowanie legislacyjne (przewidywalność aktywności prawodawczej, ogłaszanie programu zmian w prawie z wyprzedzeniem i wdrażanie nowych przepisów zgodnie z planem, ograniczenie przypadkowości i chaotyczności w działaniach rządzących) oraz rzetelna i interdyscyplinarna ocena skutków regulacji (zidentyfikowanie przewidywanych korzyści i strat: gospodarczych, społecznych, politycznych, wywołanych zmianą stanu prawnego) – wymaga czasu, otwartości na dialog, cierpliwości oraz skrupulatności techniki prawodawczej.

Czynnik rządowy w roli głównej

Przesadne tempo prac legislacyjnych, przekonanie projektodawcy o własnej nieomylności, determinacja we wprowadzeniu nowych rozwiązań bez względu na ich koszt oraz niechlujność w konstruowaniu przepisów skutkują na ogół bublami prawnymi, nastręczającymi wątpliwości interpretacyjnych oraz niepożądanych konsekwencji ekonomicznych. Z drugiej strony, nieprzewidywalność działań prawodawcy pociąga za sobą na ogół analogiczne problemy na etapie stosowania prawa: niepewność co do praw i obowiązków adresatów norm, niespójność linii orzeczniczej, spory o wykładnię zgodną z ratio legis aktu.

Potrzeba dbania o jakość regulacji oraz „patrzenia władzy na ręce" w procesie decyzyjnym jest tym większa, im bardziej doniosłej materii dotyczy. Opublikowany 12 października projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (mimo wysoce specjalistycznego przedmiotu regulacji oraz pozornie wąskiego zastosowania, czyli objęcia nim przede wszystkim przedsiębiorców telekomunikacyjnych) jest właśnie taką propozycją regulacji: będzie oddziaływać nie tylko na sytuację potężnych, międzynarodowych firm z branży informatycznej, ale też na dostępność i ceny oferowanych produktów elektronicznych oraz usług telekomunikacyjnych konsumentów.

Ponadto, ze względu na obecność na polskim rynku podmiotów zagranicznych, które zostaną narażone na uznanie ich – w nie do końca przejrzystej, częściowo „politycznej" (mimo stosowania przepisów kodeksu postępowania administracyjnego, główną rolę odgrywać ma czynnik rządowy, a decyzję wydawać minister) procedurze, i przy braku precyzyjnych kryteriów oceny (uznaniowe założenia) – za tzw. dostawców wysokiego ryzyka, co może przynieść sankcje względem polskich przedsiębiorców działających na rynkach zagranicznych.

Ryzyko jest realne, ponieważ w świetle proponowanych rozwiązań: podmiot uznany za dostawcę wysokiego ryzyka nie tylko pozbawiany jest uprawnienia do wprowadzania nowych produktów na rynek, ale też zobowiązany do wycofania z użytkowania sprzętu nie później niż siedem lat od dnia ogłoszenia lub udostępnienia informacji o decyzji. Rozstrzygnięcie takie podlega natychmiastowemu wykonaniu i nie przysługuje na nie wniosek o ponowne rozpatrzenie sprawy.

Tylko tydzień na uwagi

Wątpliwości budzi również sposób publikacji projektu oraz forma zbierania stanowisk od środowisk branżowych. Źródłem informacji stał się bowiem biuletyn informacji publicznej ministra cyfryzacji (plik z nowym projektem ustawy zamieszczono jako rozwinięcie poprzednich propozycji legislacyjnych), a komunikat o prowadzonych konsultacjach publicznych znalazł się na stronach internetowych serwisów branżowych zamiast na oficjalnych witrynach administracji rządowej. Zgodnie z nieoficjalną informacją sprzed kilku dni: termin składania uwag to 22 października, a zatem... tydzień (sic!).

Istnieje zatem spore prawdopodobieństwo, że – wobec jesiennej ofensywy ustawodawczej obozu rządzącego – projekt stanie się przedmiotem „ekspresu legislacyjnego", co jeszcze bardziej ograniczy przestrzeń do dyskusji, konstruktywnej krytyki i potrzebnych poprawek.Doświadczenie sugeruje jednak przyjąć odmienny model działania, by w niedalekiej przyszłości nie okazało się, że nowe przepisy wymagają pilnych korekt, a generalny bilans korzyści i kosztów jest ujemny.