Unia Europejska i Polska niezależnie reformują systemy cyberbezpieczeństwa [materiał partnera]

20 stycznia Komisja Europejska opublikowała projekt zmian w przepisach dotyczących cyberbezpieczeństwa, na czele z drugim aktem o cyberbezpieczeństwie, który ma zastąpić obecnie obowiązujący z 2019 r. Niemal równocześnie, 23 stycznia, Sejm uchwalił ogromną nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, a 28 stycznia bez poprawek przyjął ją Senat. Teraz trafiła ona do Prezydenta RP. Nowelizacja ma wreszcie wdrożyć dyrektywę NIS2 (w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii), której termin implementacji minął w październiku 2024 r. i którą Komisja Europejska zamierza obecnie znowelizować.

Potrzeba pilnego wdrożenia nie ulega wątpliwości: upomina się o nie Komisja, co więcej, jak podają rządowe statystyki, liczby incydentów bezpieczeństwa rosną z roku na rok, Polska jest jednym z krajów najczęściej atakowanych przez hakerów. Jednakże nowelizacja nie ogranicza się do implementacji dyrektywy – wprowadza również inne rozwiązania prawne, takie jak mechanizm identyfikacji dostawców wysokiego ryzyka. Zamierza go wprowadzić również Komisja Europejska w nowym akcie o cyberbezpieczeństwie.

Dostawcy wysokiego ryzyka według Komisji

Dzięki nowym przepisom Komisja Europejska ma zyskać prawo do kwalifikowania obcych państw oraz wszystkich pochodzących z nich podmiotów jako dostawców wysokiego ryzyka. Chodzi na przykład o państwa wymagające od swoich producentów oprogramowania i sprzętu informowania o podatnościach, zanim dowiedzą się o nich klienci. Co więcej, Komisja będzie miała prawo uznawać za dostawców wysokiego ryzyka również przedsiębiorców spoza wskazanych państw, korzystając w tym celu ze specjalnej procedury.

Komisja określi listę dostawców wysokiego ryzyka w drodze aktów wykonawczych. Proces ich wyznaczania ma się składać z kilku etapów. Zaczyna się od sporządzenia listy dostawców komponentów teleinformatycznych, które mogą podlegać ograniczeniom. Następnie Komisja ocenia, którzy z tych dostawców mogą mieć powiązanie z krajami zidentyfikowanymi jako stwarzające niebezpieczeństwo – albo z wcześniej zidentyfikowanym dostawcą wysokiego ryzyka. Dostawcy będą mieli możliwość skorzystania z prawa do bycia wysłuchanym i odniesienia się do wstępnego rozpoznania Komisji. Co więcej, zidentyfikowani już dostawcy wysokiego ryzyka będą mogli dostarczać nowe dowody, w celu wykreślenia ich z listy.

Dostawcy wysokiego ryzyka zostaną wyłączeni z europejskiego systemu standaryzacji, certyfikacji i atestów, a także z zamówień publicznych oraz programów finansowanych przez Unię Europejską.

Co zawierają polskie przepisy

Znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa przewiduje możliwość uznania dostawcy sprzętu lub oprogramowania teleinformatycznego za dostawcę wysokiego ryzyka w drodze decyzji administracyjnej ministra właściwego do spraw informatyzacji. Celem procedury jest ochrona bezpieczeństwa państwa lub też bezpieczeństwa i porządku publicznego. Elementem postępowania jest zasięgnięcie opinii Kolegium ds. Cyberbezpieczeństwa.

Konsekwencją uznania przedsiębiorcy za dostawcę wysokiego ryzyka jest szeroko zakreślony zakaz wprowadzania do użytkowania jego produktów, usług i procesów teleinformatycznych, a także nakaz wycofania już używanych. Zakazane jest również korzystanie z tych produktów, usług i procesów przez podmioty podlegające procedurze zamówień publicznych.

Mimo że polski projekt regulacji wywodzi się z unijnego dokumentu 5g Toolbox, różnice między nim a regulacją europejską są znaczące. W części wynika to z różnic w systemie prawnym – polski opiera się bowiem na postępowaniu administracyjnym, natomiast unijny – na wydawaniu aktów wykonawczych, stanowiących odpowiednik polskich rozporządzeń. Co więcej, polski system koncentruje się na konkretnych dostawcach, unijny zaś na całych państwach.

Nie przesądzając, który system jest lepszy, nietrudno zauważyć, że mechanizm unijny korzysta z przewagi skali. Komisja Europejska może liczyć na dane od rządów wszystkich państw członkowskich i na głosy interesariuszy ze wszystkich państw członkowskich. Co więcej, ciężar regulacyjny dla przedsiębiorców jest niepomiernie mniejszy w przypadku jednorazowej oceny na poziomie unijnym niż w przypadku odrębnych ocen w różnych państwach członkowskich.

Czy można mówić o kolizji

Powstaje pytanie, czy może dojść do sytuacji, w której w polskim porządku prawnym funkcjonują dwa rodzaje dostawców wysokiego ryzyka: zidentyfikowani na poziomie unijnym oraz zidentyfikowani na poziomie krajowym.

Komisja Europejska podkreśla, że identyfikacja dostawców wysokiego ryzyka na poziomie unijnym ma na celu usunięcie różnic między systemami przyjętymi w różnych państwach członkowskich i w ten sposób ustanowienie równych reguł gry dla wszystkich podmiotów. Osiągnięcie tej korzyści byłoby możliwe jedynie przy założeniu, że system unijny jest wyłączny i państwa członkowskie nie mogą go dublować.

Z drugiej strony założeniem nowego aktu o cyberbezpieczeństwie jest ustanowienie standardów minimalnych i umożliwienie państwom członkowskim wprowadzania wyższych standardów bezpieczeństwa łańcuchów dostaw teleinformatycznych. Nowy akt o cyberbezpieczeństwie zastrzega, że standardy te mają być spójne z zobowiązaniami państw wynikłymi z prawa unijnego, jest to jednak formułka powszechnie używana w unijnych aktach i nie do końca wiadomo, co w tym przypadku znaczy. Pożądane wydaje się, by w toku prac legislacyjnych jasno przesądzić, czy państwa członkowskie mogą utrzymać własne systemy identyfikacji dostawców wysokiego ryzyka, a jeśli tak – jaka ma być relacja tych systemów do regulacji unijnej.

CSA2 wymusi nową definicję polskiego DWR

Obecny projekt Komisji stwarza dla polskiego ustawodawcy problem nadmiernej regulacji. Można zastanawiać się, czy wprowadzanie krajowej regulacji przedsiębiorców wysokiego ryzyka ma w ogóle sens w sytuacji, gdy niedługo będziemy mieli w tym względzie unijne rozporządzenie. Teoretycznie polska ustawa mogłaby wypełnić lukę przed wejściem w życie drugiego aktu o cyberbezpieczeństwie. Wydaje się to jednak mało realne, gdy spojrzymy na jej ramy czasowe. Nowelizacja ustawy nakazuje na przykład wycofanie używanych produktów teleinformatycznych w ciągu siedmiu lat od uznania przedsiębiorcy za dostawcę wysokiego ryzyka. Jest praktycznie pewne, że w tym czasie obowiązywać będzie regulacja unijna.

Jeśli nawet utrzymanie odrębnych regulacji krajowych będzie zgodne z ostateczną wersją unijnego aktu o cyberbezpieczeństwie, ustawodawca powinien zadbać, by polskie regulacje dotyczące dostawców wysokiego ryzyka nie dublowały unijnych, a były względem nich tylko komplementarne. W tym celu należałoby dokonać analizy, czy prawo unijne pozostawia lukę, w której możemy mieć do czynienia z dostawcami zagrażającymi bezpieczeństwu Polski, a jednocześnie niepodlegającymi regulacji na poziomie unijnym. Gdyby odpowiedź na to pytania była pozytywna, znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa powinna zostać przeformułowana tak, by służyć załataniu tej luki.

dr Paweł Marcisz, Katedra Prawa Europejskiego na Wydziale Prawa i Administracji UW