Czy nowela ustawy o krajowym systemie cyberbezpieczeństwa wymaga zgłoszenia do TRIS?
O becnie toczą się prace legislacyjne nad ustawą o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (nowela k.s.c.). Trwają one już prawie trzy lata. 6 c zerwca Rada Ministrów (RM) zatwierdziła 11. wersję tej noweli. Rozszerza ona zakres ustawy z 5 l ipca 201 8 r . o krajowym systemie cyberbezpieczeństwa (Dz.U. z 201 8 r . poz. 156 0 z e zm.; dalej: k.s.c.) o procedurę dotyczącą tzw. dostawców wysokiego ryzyka. Przewiduje w art. 66a ust. 1, że minister właściwy ds. informatyzacji (minister), w celu ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego może wszcząć postępowanie w sprawie uznania dostawcy produktów lub usług ICT, które są wykorzystywane przez podmioty w tym przepisie wskazane, za dostawcę wysokiego ryzyka. Decyzja ministra powinna wskazywać typy produktów i usług ICT pochodzące od takiego dostawcy (art. 66a ust. 12–13 noweli k.s.c.), które nie będą mogły być wprowadzane do obrotu oraz będą musiały być wycofane z infrastruktury przez przedsiębiorców posiadających je w swojej sieci (art. 66b ust. 1–3 noweli k.s.c.).
Już w wersji noweli k.s.c. z 4 marca 2021 r., w przypisie nr 2, zawarta była informacja, że niniejsza nowela k.s.c. została notyfikowana Komisji Europejskiej (KE), zgodnie z par. 4 rozporządzenia RM z 23 grudnia 2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji norm i aktów prawnych (Dz.U. nr 239, poz. 2039 ze zm.; dalej: rozporządzenie), które wdraża postanowienia dyrektywy (UE) 2015/1535 Parlamentu Europejskiego i Rady z 9 września 2015 r. ustanawiającej procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego (Dz.Urz. UE L 241 z 17 września 2015; dalej: dyrektywa 2015/1535). Również w kolejnych dziewięciu wersjach noweli k.s.c. była przewidziana notyfikacja, a dopiero w ostatniej wersji z 7 czerwca 2023 r. przypis nr 2 w powyżej zacytowanym brzmieniu został skreślony. W uzasadnieniu noweli k.s.c. z 7 czerwca 2023 r. można tylko przeczytać, że nowela k.s.c. nie podlega notyfikacji na podstawie rozporządzenia, ale nie jest wyjaśnione, dlaczego uznano notyfikację za zbędną.
Zgodnie z art. 5 dyrektywy 2015/1535 państwa członkowskie Unii Europejskiej (UE) są zobowiązane powiadamiać KE i pozostałe państwa UE o każdym projekcie przepisów technicznych dotyczącym produktów i usług społeczeństwa informacyjnego przed przyjęciem go w prawodawstwie krajowym. KE opracowała kompleksową bazę danych zawierającą wszystkie zgłoszone projekty, zwaną TRIS (ang. Technical Regulations Information System).
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.