Rok spełnionych nadziei albo rozczarowań

W lutym wydarzyło się w Polsce coś niezwykłego. Przez media, tradycyjne i społecznościowe, przetoczyła się podszyta niepokojem dyskusja, czy aplikacji mObywatel nie zastąpi europejski portfel tożsamości cyfrowej (European Digital Identity Wallet, EUDI Wallet). Wszystko za sprawą uzasadnienia do projektu nowelizacji ustawy o usługach zaufania oraz identyfikacji elektronicznej, które taki scenariusz mogło sugerować. Ministerstwo Cyfryzacji pospieszyło z wyjaśnieniami, że doszło do nieporozumienia, użyte sformułowania nie były precyzyjne i nikt mObywatela likwidować nie zamierza. A 4 marca na specjalnie zwołanej konferencji prasowej Krzysztof Gawkowski, wicepremier i minister cyfryzacji, oraz Dariusz Standerski, wiceminister, opowiedzieli o rozwoju mObywatela i planowanym dołączeniu do niego w grudniu 2026 r. europejskiego portfela.

Dlaczego to zamieszanie wokół mObywatela można uznać za niezwykłe? Dlatego, że dotyczyło rozwiązania firmowanego przez rząd i usług publicznych. Zwykle temperatura dyskusji rośnie w taki sposób, gdy „państwowe” zagraża „prywatnemu”.

Cała historia pokazała jeszcze coś: wydarzenia w świecie legislacji przyspieszyły. Pojawiają się kolejne przepisy, które mają nadążać za postępem technologicznym i cyfryzacją.

Identyfikacja ponad granicami

Europejski portfel ma umożliwić potwierdzanie tożsamości oraz przechowywanie i okazywanie dokumentów w wersji elektronicznej w całej UE. Posługujący się nim będą mogli korzystać z usług administracji publicznej, podpisywać dokumenty elektronicznie i realizować wybrane usługi. Przykłady z życia: dzięki temu możliwe mają być posługiwanie się mobilnym prawem jazdy w całej UE, realizacja recepty na leki oraz weryfikacja wieku bez ujawniania zbędnych informacji o użytkowniku. Jak przypomniało ministerstwo, każde państwo Unii pracuje nad własną wersją portfela, dostosowaną do lokalnych uwarunkowań.

Wprowadzenie EUDI Wallet umożliwiło unijne rozporządzenie eIDAS 2.0 electronic Identification, Authentication and Trust Services, które weszło w życie w 2024 r. To właśnie do niego nawiązuje nowelizacja ustawy, od której zaczęło się całe zamieszanie. mObywatel nie spełnia wymogów rozporządzenia.

Co dalej z cyberbezpieczeństwem

Początek roku przyniósł również emocje wokół innej ustawy, podpisanej już przez Prezydenta RP. Chodzi o zmiany dotyczące krajowego systemu cyberbezpieczeństwa (KSC). Nowelizacja ustawy wprowadza do polskiego prawa postanowienia Dyrektywy NIS2 (Network and Information Systems Directive). Katalog podmiotów KSC rozszerzono o nowe sektory gospodarki, m.in. odprowadzanie ścieków, usługi pocztowe czy produkcję i dystrybucję chemikaliów oraz żywności. Idą za tym określone obowiązki. Z kolei instytucje państwa zyskały nowe uprawnienia. W tle są oczywiście rosnące zagrożenia w cyfrowym świecie.

Polska zanotowała spore opóźnienie, postanowienia Dyrektywy NIS2 powinniśmy wdrożyć do października 2024 r. Za wcześnie jednak, aby postawić kropkę. Prezydent podpisał ustawę, ale jednocześnie skierował ją do Trybunału Konstytucyjnego. Wątpliwości głowy państwa wzbudziło objęcie nią 18 branż pogrupowanych w podmioty kluczowe i ważne. Jak stwierdzono w komunikacie Kancelarii Prezydenta RP, takie rozszerzenie było samodzielną inicjatywą rządu. Prezydent zgłosił również zastrzeżenia wobec zasad wyłaniania dostawców wysokiego ryzyka oraz wydawania „poleceń zabezpieczających”. Jak podkreślono, przepisy te ingerują w samodzielność przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania bez odszkodowania i zabezpieczenia środków na ten cel. Prezydent uznał również za wadliwy system podejmowania decyzji przez organy ds. cyberbezpieczeństwa wobec podmiotów kluczowych i ważnych, z punktu widzenia gwarancji proceduralnych oraz w zakresie ochrony sądowej. Zastrzeżenia dotyczą też systemu kar administracyjnych uznanych ze restrykcyjne. Podobne zarzuty podnosili niektórzy eksperci i część organizacji przedsiębiorców.

Ministerstwo Cyfryzacji broni regulacji i podkreśla, że nowe przepisy przełożą się na szybsze reagowanie na incydenty, lepszą ochronę danych oraz stabilność infrastruktury i usług, od których zależy życie i zdrowie Polaków.

Warto dodać, że 20 stycznia Komisja Europejska zaprezentowała pakiet regulacji, w tym projekt rozporządzenia Cybersecurity Act 2. Ma on ograniczać ryzyka w łańcuchu dostaw ICT ze strony dostawców z państw trzecich, związane z cyberbezpieczeństwem. Zawarto w nim mechanizm wycofania komponentów ICT od dostawców wysokiego ryzyka. Pytanie, czy jeśli polskie przepisy zostaną utrzymane, a unijne uchwalone, nie będzie to rodzić wyzwań. Zdania prawników są podzielone.

Styczniowy pakiet jest konsekwencją przyjęcia przez Komisję Europejską w listopadzie 2025 r. Cyfrowego Omnibusa. Omnibusy, pokłosie raportu Draghiego, mają upraszczać regulacje i wspierać konkurencyjność. W Polsce nazywamy to deregulacją.

Big techy na cenzurowanym

Innym polem dużej aktywności władz UE są relacje i spory z big techami. Na początku lutego Komisja Europejska wstępnie stwierdziła, że TikTok ze względu na swoją uzależniającą konstrukcję narusza Digital Services Act (DSA), akt prawny o usługach cyfrowych.

– Uzależnienie od mediów społecznościowych może mieć szkodliwy wpływ na rozwijające się umysły dzieci i nastolatków. Akt o usługach cyfrowych nakłada na platformy odpowiedzialność za skutki, jakie mogą one mieć dla swoich użytkowników – stwierdziła Henna Virkkunen, wiceprzewodnicząca Komisji Europejskiej, odpowiadająca za suwerenność technologiczną, bezpieczeństwo i demokrację.

Formalne postępowanie wyjaśniające w sprawie zgodności TikToka z DSA wszczęto 19 lutego 2024 r. Zgodnie z procedurą teraz platforma ma czas na obronę. W stanowisku przesłanym PAP TikTok stwierdził, że „wstępne ustalenia KE przedstawiają kategorycznie błędny i bezpodstawny obraz platformy”. „Podejmiemy wszelkie niezbędne kroki, aby zakwestionować te ustalenia, korzystając ze wszystkich przysługujących nam środków” – zapowiedziano.

Jak oszacowała Komisja, TikTok jest najpopularniejszą platformą w UE wśród młodzieży w wieku od 13 do 18 lat.

To tylko wycinek spornych spraw organu wykonawczego UE z big techami. Nie jest jednak tak, że mają one problemy tylko w Europie. W lutym w Los Angeles ruszył proces cywilny przeciwko Mecie i YouTube’owi wytoczony przez nastolatkę, która twierdzi, że celowo uzależniają one dzieci od swoich usług, co powoduje problemy psychiczne. Wyrok będzie miał ogromne znaczenie dla podobnych spraw za oceanem.

A jeśli już mowa o DSA: pod koniec stycznia Ministerstwo Cyfryzacji przygotowało projekty przepisów wdrażające ten akt do polskiego prawa. Proces ma być szybki, bo Polska pozostaje jednym z nielicznych krajów UE, które nie wdrożyło jeszcze regulacji. Przeciwnicy DSA mówią o cenzurze, zwolennicy o potrzebie ochrony użytkowników.

Kluczowa infrastruktura

Komisja Europejska w styczniu zakończyła prace nad aktem o sieciach cyfrowych (Digital Networks Act; DNA), który ma zmienić pięć aktów prawnych. Jak wskazano, przepisy muszą zostać zaktualizowane, aby stworzyć operatorom warunki do inwestowania we wdrażanie zaawansowanych sieci światłowodowych i mobilnych. Akt ma unowocześnić ramy regulacyjne, zmniejszając obciążenia administracyjne i obowiązki sprawozdawcze. Teraz prace nad DNA zaczął Parlament Europejski.

Jak mówił w marcowym wywiadzie dla DGP europoseł Michał Kobosko, główny sprawozdawca DNA w Parlamencie Europejskim, główną ideą przyświecającą tej regulacji jest zwiększenie suwerenności technologicznej Europy.

– Dzisiaj tej suwerenności de facto nie ma. Jesteśmy w ogromnym stopniu uzależnieni od rozwiązań spoza Europy, przede wszystkim ze Stanów Zjednoczonych. Komisja Europejska ma świadomość, że trzeba dać większe szanse i wsparcie europejskim firmom technologicznym – powiedział Michał Kobosko.

Z kolei w lutym UE uruchomiła największą linię pilotażową w ramach aktu w sprawie czipów (European Chips Act), NanoIC, w IMEC Leuven, co ma być kamieniem milowym w rozwoju i produkcji półprzewodników w Europie. Zakład umożliwi naukowcom i przedsiębiorstwom testowanie nowych projektów układów scalonych, sprzętu i procesów na skalę zbliżoną do przemysłowej przed masową produkcją. Linie pilotażowe, zaprojektowane z myślą o przeniesieniu technologii czipów z laboratorium do fabryki, stanowią kluczowy filar inicjatywy Czipy dla Europy.

To temat aktualny również w Polsce. 3 marca Ministerstwo Cyfryzacji skierowało do konsultacji, uzgodnień i opiniowania dokument „Polska w grze o przyszłość – polityka dla sektora półprzewodników 2026+”. Uwagi można zgłaszać do 2 kwietnia. Jak zadeklarowało ministerstwo, projekt uwzględnia głosy zebrane do pierwszej wersji dokumentu.

– „Polski przemysł półprzewodników (...) posiada potencjał, aby stać się istotnym elementem europejskiego i globalnego ekosystemu technologicznego. Obecnie sektor generuje mniej niż 1% polskiego PKB, ale rozwija się dynamicznie w wysoce wyspecjalizowanych obszarach technologicznych. W kraju w tradycyjnie rozumianej branży półprzewodnikowej (mikroelektronika krzemowa) działa około 20 firm. Zatrudniają one łącznie około 9 tys. osób. Tę liczbę należy powiększyć o ok. 200 podmiotów z bliźniaczej branży fotoniki oraz przedsiębiorstwa działające na styku pokrewnych obszarów (np. systemy wspierające produkcję czy oprogramowanie dla czipów)” – czytamy w ocenie skutków regulacji.

To tylko przykłady – choć ważne – obecnych działań w Polsce i w UE związanych z cyfrową gospodarką. Czy zostaną spełnione nadzieje, które pokładają w nowych regulacjach przedsiębiorcy, naukowcy i wszyscy inni, w tym użytkownicy nowoczesnych rozwiązań? Czy potencjał Europy zostanie uwolniony? Wkrótce to się okaże. Bo przy tak dynamicznych zmianach na świecie o sukcesie lub porażce przekonamy się prawdopodobnie jeszcze w 2026 r.

Jacek Pochłopień