Bezpieczeństwo nie powinno być pretekstem do podważania fundamentów państwa prawa
Ministerstwo Cyfryzacji wciąż prowadzi prace nad projektem odziedziczonym po poprzedniej władzy, który budzi liczne kontrowersje ze strony ministerialnej, otoczenia biznesowego i prawników. Środowiska branżowe i eksperckie już wtedy sygnalizowały, że projektowane przepisy za głęboko ingerują w konstytucyjne prawa i wolności. Pomimo to część z regulacji została powielona w bieżącym projekcie nowelizacji. Stało się tak nawet w przypadku tych rozwiązań, którym sprzeczność z Konstytucją zarzucali politycy ówczesnej opozycji parlamentarnej, czyli obecnej koalicji rządzącej.
Rządowy projekt nowelizacji ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC) wciąż nie został skierowany do Sejmu, choć termin na implementację dyrektywy NIS2 upłynął 10 miesięcy temu. Prace nad obszerną ustawą implementującą dyrektywę rozpoczął jeszcze rząd Mateusza Morawieckiego. Projekt spotkał się wówczas z gruntowną krytyką i został wycofany z Sejmu jeszcze przed końcem kadencji. Projektowana nowelizacja przewiduje istotne zwiększenie obszaru i intensywności nadzoru sprawowanego przez organy właściwe w sprawach cyberbezpieczeństwa. Pośród wielu zmian, w projekcie wprowadzono pojęcia podmiotów kluczowych i podmiotów ważnych, czyli podmiotów publicznych i prywatnych, funkcjonujących w różnych sektorach gospodarki, na których ciążyć będą dodatkowe obowiązki w zakresie zarządzania ryzykiem. Chodzi tu o blisko czterdzieści tysięcy podmiotów, w tym przedsiębiorców. Jednocześnie w projekcie przewidziano wprowadzenie nowych instrumentów nadzoru – i to właśnie zasady ich stosowania budzą najwięcej kontrowersji. Funkcjonowanie infrastruktury podmiotów będących elementami systemu cyberbezpieczeństwa wymaga korzystania przez nie ze sprzętu, oprogramowania i usług informatycznych, dostarczanych przez przedsiębiorców.
Nieproporcjonalne i kosztowne skutki decyzji
Jednym z najbardziej kontrowersyjnych rozwiązań jest kwestia obowiązku usuwania sprzętu od tzw. dostawcy wysokiego ryzyka (High Risk Vendor – HRV). Przyznanie takiego statusu następować ma w drodze decyzji, wydawanej przez ministra właściwego do spraw informatyzacji, po przeprowadzeniu jednoinstancyjnego, niejawnego postępowania administracyjnego. Jednocześnie kryteria określenia dostawcy jako HRV opierają się na przesłankach niemierzalnych i nietechnicznych, podyktowanych np. państwem pochodzenia danego producenta. Polskiej wersji transpozycji NIS2 zarzuca się nieproporcjonalność, gdyż obowiązek usuwania sprzętu nie ogranicza się wyłącznie do infrastruktury krytycznej ale obejmuje jakiekolwiek urządzenia lub oprogramowanie wskazane w decyzji Ministra Cyfryzacji. Rodzi to obawy o koszty, które spoczną na barkach polskiego biznesu.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.