Rok 2026 może przynieść finał prac nad rządowym projektem nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Przypomnijmy, że prace nad tą ustawą trwają już 6 lat, a termin na wdrożenie w niej unijnej dyrektywy NIS2 minął ponad rok temu. Sam dokument, który od początku grudnia znajduje się w Sejmie, jest próbą wdrożenia do polskiego porządku prawnego unijnej dyrektywy NIS2, mającej na celu wzmocnienie cyberbezpieczeństwa w państwach członkowskich UE. Swoją ocenę projektu nowelizacji ustawy o KSC przedstawia w rozmowie z „Wprost” Andrzej Sadowski, prezydent Centrum im. Adama Smitha.
Beata Anna Święcicka, „Wprost”: Podstawowym celem nowelizacji ustawy o KSC jest implementacja unijnej dyrektywy NIS2, przynajmniej tak jest ta nowela anonsowana przez jej twórców, ale czy rzeczywiście?
Andrzej Sadowski, prezydent Centrum im. Adama Smitha: Z przeprowadzanych publicznie dostępnych analiz jednoznacznie wynika, że nie mamy do czynienia wyłącznie z implementacją prawa unijnego, lecz z rozszerzeniem kompetencji władzy wykonawczej ponad standardy wynikające z NIS2, a kosztem zasad proporcjonalności, pewności prawa oraz skutecznej ochrony sądowej przedsiębiorców.
Faktu przeregulowania ponad wymogi Unii nie można już na tyle ukryć, że samo Ministerstwo Cyfryzacji próbuje go uzasadniać statusem Polski jako „państwa frontowego” i tym samym wykorzystać jako pretekst do rozszerzenia uznaniowej władzy dla polityków i urzędników.
Eufemistycznie określa się ten proceder jako dodanie im kolejnych „kompetencji”, które w konsekwencji sprawią, że przedsiębiorstwa będą zdane na łaskę urzędników.
Skoro implementacja staje się okazją do przeregulowania dyrektywy, trudno w tym miejscu nie zapytać, co stanowi tą legislacyjną nadgorliwość i jakie będą jej skutki?
Dyrektywa NIS2 opiera się na kilku fundamentalnych zasadach, jak m.in. neutralność technologiczna czy oparcie regulacji na analizie ryzyka oraz minimalnego poziomu harmonizacji. Państwa Unii mogą wprowadzać własne rozwiązania, ale tylko pod warunkiem, że nie naruszają one proporcjonalności i nie prowadzą do arbitralnej, a tym samym uznaniowej ingerencji w sam rynek.
Projekt KSC ordynowany w Polsce idzie znacznie dalej. Rozszerza zakres regulacji na 18 sektorów gospodarki oraz wprowadza instytucję Dostawcy Wysokiego Ryzyka, której dyrektywa NIS2 w takim kształcie nie przewiduje. Co istotne, kryteria uznania dostawcy za „wysokiego ryzyka” nie mają charakteru ściśle technicznego. Obejmują one elementy polityczno-prawne, takie jak „prawo państwa pochodzenia”. Z punktu widzenia prawa Unii oznacza to podmianę analizy ryzyka technologicznego na rzecz oceny podmiotowej, co oznacza, że władza może zakazać stosowania rozwiązań nie dlatego, że stanowią potencjalne zagrożenie dla bezpieczeństwa Polski, lecz z powodu pochodzenia z danego państwa.
Podejście tego rodzaju rodzi inne poważne ryzyko, bowiem umożliwia dopuszczenie rozwiązań obiektywnie zagrażających naszemu bezpieczeństwu tylko dlatego, że zostały wytworzone w uznanym za „przyjazne” państwie. Polska przez takie ustawy wraca do systemu, który Stefan Kisielewski zdefiniował tak: „socjalizm bohatersko walczy z problemami nieznanymi w innych ustrojach”.
W unijnej dyrektywie NIS2 chodzi przecież o technologię. To nad nią mamy zapanować.
Tak, z perspektywy prawnej i regulacyjnej kluczowe jest to, że przedmiotem obrotu nie jest państwo jako takie, lecz technologia. Systemy informatyczne i rozwiązania ICT podlegają audytom, certyfikacjom, testom bezpieczeństwa i tym samym są adaptowane do wymogów państwa zamawiającego. Ryzyko można minimalizować poprzez architekturę systemów, jak użycie fog computing zamiast zcentralizowanej chmury, segmentację sieci, kontrolę łańcucha dostaw oraz nadzór operacyjny, czy wprowadzając technologię blockchain do kontroli i wyeliminowania korupcji, jak czyni to dla swoich dostaw U.S. Army.
Projekt nowelizacji ustawy o KSC odwraca tę logikę, bowiem zamiast oceny konkretnego rozwiązania technicznego dopuszcza eliminację dostawcy na podstawie kryteriów niemających bezpośredniego związku z funkcjonalnością i bezpieczeństwem samej technologii.
Z punktu widzenia prawa gospodarczego i konstytucyjnej ochrony wolności działalności gospodarczej, zawartej wciąż w obowiązującym art. 22 Konstytucji Rzeczypospolitej Polskiej, jest to środek dalece ingerujący, przy którego wprowadzeniu nie wykazano ważnego interesu publicznego przewidzianego w tejże konstytucji. Jaki jest zatem interes publiczny, którego nie wskazano?
Jeżeli w projekcie nowelizacji nie wskazano wyraźnego interesu publicznego uzasadniającego ograniczenie wolności gospodarczej, a przepisy wykraczają poza implementację dyrektywy NIS2, rodzą się wątpliwości dotyczące szerokiego zakresu uznania administracyjnego. Czy przyznanie organom takich kompetencji nie zwiększa ryzyka nadużyć i korupcji?
Przyznanie organom administracji tak rozszerzonych kompetencji do kwalifikowania dostawców, wydawania decyzji o natychmiastowej wykonalności oraz ingerowania w relacje kontraktowe przedsiębiorców przy jednoczesnych częściowo nieostrych i ocennych kryteriach tych decyzji jest sprawdzoną w praktyce formułą dla powstania korupcji.
Czy nie wystarczy własnych doświadczeń z przepisami typu „lub czasopisma”, aby nie odwoływać się do praktyk z Ukrainy, żeby z dużym prawdopodobieństwem przewidzieć korupcyjne konsekwencje takiego nagromadzenia uznaniowości i nieostrości w przepisach w jednej ustawie?
W prawie administracyjnym uznaniowość nie jest zakazana, jednak jest ograniczona, kontrolowalna i oparta na jednoznacznych przesłankach. W przypadku forsowanych zmian istnieje uzasadnione ryzyko, że decyzje o przemożnych skutkach dla bezpieczeństwa państwa oraz gospodarki będą podejmowane na podstawie kryteriów, których przedsiębiorca nie będzie w stanie wcześniej racjonalnie uwzględnić ani skutecznie dochodzić swoich praw. Co do zasady, drugą stroną medalu dyskrecjonalności władzy urzędników jest ich podatność na korupcję.
Czytaj też:
„Złoty interes” czy kosztowna pułapka? Cała prawda o kryptoszustwach
A co z art. 45 Konstytucji Rzeczypospolitej Polskiej? Jak zaproponowane w projekcie nowelizacji KSC zapisy mają się do prawa „do sprawiedliwego i jawnego rozpatrzenia sprawy bez nieuzasadnionej zwłoki przez właściwy, niezależny, bezstronny i niezawisły sąd”? W jaki sposób będzie można odwoływać się od decyzji bądź sądowego orzeczenia, nie znając jego uzasadnienia?
Ograniczenie stosowania Kodeksu postępowania administracyjnego, zawężenie kręgu stron postępowania oraz możliwość utajnienia uzasadnień decyzji, także na etapie sądowym, prowadzą do sytuacji, w której kontrola sądowa w państwie o demokratycznym ustroju staje się iluzoryczna. Z punktu widzenia standardów konstytucyjnych, a także regulacji europejskich, skuteczna kontrola sądowa wymaga realnego dostępu do motywów decyzji. Bez tego przedsiębiorca nie ma praktycznie możliwości dochodzenia swoich praw, a sąd zostaje sprowadzony do roli formalnego recenzenta decyzji administracyjnej, podejmowanej na podstawie prawa rozszerzającego zakres uznaniowości urzędników.
Projekt przewiduje także natychmiastową wykonalność decyzji administracyjnych, co jest instrumentem wyjątkowym, który w orzecznictwie sądów administracyjnych powinien być stosowany wysoce ostrożnie. Mamy wystarczająco dużo niesprawiedliwych tego typu decyzji, jak np. w 2022 roku dotycząca wpisania firmy Maga Foods, producenta m.in. soków i sałatek z podwarszawskiego Raszyna, na listę sankcyjną ministra MSWiA podmiotów rosyjskich, które nie mogą prowadzić działalności w Polsce.
Natychmiastowa wykonalność decyzji administracyjnych w ramach implementacji dyrektywy NIS2 w Polsce ma stać się regułą, a nie wyjątkiem. Dla przedsiębiorców oznacza to ryzyko nieodwracalnych skutków: zerwania kontraktów, utraty ciągłości działalności, konieczności nagłej wymiany technologii.
Nawet późniejsze uchylenie decyzji przez sąd nie naprawi szkód gospodarczych ani moralnych. Jaka jest w tej sytuacji efektywna ochrona prawna i odpowiedzialność państwa, za którą i tak zapłaci w ostatecznym rachunku polski obywatel, a nie decydent podejmujący taką decyzję?
Czytaj też:
AI pomaga hakerom w atakach. Ekspert wskazuje, jak może stać się cyberstrażnikiem
Czy projektowane przez rząd „bezpieczeństwo” nie zagrozi wolności gospodarczej?
Z perspektywy stricte prawnej rządowy projekt przesuwa równowagę pomiędzy bezpieczeństwem a konstytucyjnymi prawami jednostki wyraźnie na korzyść władzy wykonawczej. Znaczące wyjście poza wymogi NIS2 oraz oparcie regulacji na kryteriach podmiotowych zamiast technologicznych, wraz z szeroką uznaniowością administracyjną i osłabieniem kontroli sądowej, tworzą system, który nie spełnia standardu proporcjonalnej ingerencji w wolność działalności gospodarczej.
Bezpieczeństwo jest celem poza wszelką wątpliwością, także w obszarze cyfrowym i nowych technologii. Problem polega na tym, że w projekcie zmiany ustawy o KSC rozwiązania, które mają zagwarantować bezpieczeństwo, podważają fundamenty państwa prawa, wydając je na korupcyjną penetrację, co samo w sobie stanowi realne zagrożenie. Z doświadczenia wynika, że złe prawo i praktyki wymuszają proces pogarszania jakości prawa, więc w ślad za implementacją dyrektywy NIS2 mogą pojawić się kolejne regulacje, które dadzą władzy prawo uznaniowego decydowania o bycie firm.
W efekcie Polska może poszybować w górę w międzynarodowych rankingach korupcji i stać się państwem nieatrakcyjnym dla polskich przedsiębiorców, a nie tylko zagranicznych inwestorów.
Dlaczego bowiem inwestować pieniądze tam, gdzie urzędnik bez sądowej kontroli może z dnia na dzień zamknąć legalnie działające przedsiębiorstwo, skoro pańszczyznę w Polsce zniesiono w XIX wieku?
Dziękuję za rozmowę.
BIO: Andrzej Sadowski – założyciel i prezydent Centrum im. Adama Smitha – Pierwszego Niezależnego Instytutu w Polsce (1989), założyciel Zespołu Badań nad Myślą Konserwatywną i Liberalną na Uniwersytecie Warszawskim (1984–1989). Współzałożyciel i członek zarządu Towarzystwa Gospodarczego w Warszawie (1986–1989). Współzałożyciel wraz z Mirosławem Dzielskim i Aleksandrem Paszyńskim oraz członek zarządu Akcji Gospodarczej (1988–1989). Jeden z założycieli (1996) i członek Zarządu Transparency International Polska (do 2003), członek Narodowej Rady Rozwoju przy Prezydencie RP (2009–2010), członek Rady Naukowej Ośrodka Badań nad Przedsiębiorczością Polskiej Agencji Rozwoju Przedsiębiorczości (2009–), przewodniczący Rady Nadzorczej Lorek Pawlak i Wspólnicy Sp. z o.o. (2011–), przewodniczący Rady Fundacji „Razem w chorobie” (2015–), w 2014 roku odznaczony przez Prezydenta RP Krzyżem Kawalerskim Orderu Odrodzenia Polski za propagowanie przedsiębiorczości, ponownie powołany do Narodowej Rady Rozwoju przy Prezydencie RP (2015–).
Czytaj też:
To miał być podatkowy hit, ale nie wyszło. Teraz rząd próbuje ratować sytuacjęCzytaj też:
Czy Polska jest odporna na ataki hakerów? Ekspert: „Mamy nowy problem”