Cyberbezpieczeństwo: o dobrym prawie trzeba rozmawiać

Cyberbezpieczeństwo: o dobrym prawie trzeba rozmawiać

Cyberbezpieczeństwo
Cyberbezpieczeństwo / Źródło: Materiały prasowe
Niemal 800 stron – tyle zajęły uwagi do pierwszej wersji nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Jest już gotowa druga wersja, ale w niej wciąż jest jeszcze wiele obszarów do poprawy – uważa prawnik prof. dr hab. Maciej Rogalski, rektor Uczelni Łazarskiego.

21 stycznia opublikowany został nowy, poprawiony projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo telekomunikacyjne. To zmiany wypracowane m.in w wyniku konsultacji publicznych...

...i to bardzo intensywnych. Nieczęsto się zdarza, że do projektu nowelizacji ustawy zgłaszane jest 750 uwag przez 114 różnych podmiotów. To pokazuje, że temat jest bardzo ważny, a jednocześnie, że zaproponowane w nowelizacji zmiany budzą ogromne kontrowersje.

Głośno było zwłaszcza o kryteriach, według których dostawca sprzętu i oprogramowania mógł zostać wykluczony z polskiego rynku, co w rezultacie ograniczyłoby możliwość działania w Polsce firm pochodzących z Chin.

Tak, projektowane przepisy w tym zakresie jednak tylko symbolicznie złagodzono (przyp. red. w pierwszej wersji nowelizacji ustawy proponowano, by wykluczyć współpracę z firmami, które pochodzą z państw, których prawodawstwo uderza w prawa obywatelskie i prawa człowieka, co mogło sprawić, że chińskie firmy uznawane byłyby za dostawcę wysokiego ryzyka) i uzupełniono ocenę dostawców o kilka innych aspektów. Ale to wciąż bardzo niejasne postanowienia, które z pewnością będą wywoływać problemy interpretacyjne. Uważam, że przy ocenie ryzyk związanym z danym dostawcą, podobnie jak w innych krajach, takich jak np. Niemcy, powinniśmy brać pod uwagę przede wszystkim kryteria techniczne, przykładowo powinien być stosowany mechanizm certyfikacji.

To sprawiłoby, że proces ten byłby znacznie bardziej przejrzysty i budziłby mniej kontrowersji.

Ale, zawsze firma, która niepomyślnie przejdzie ten proces i zostanie uznana za dostawcę wysokiego ryzyka, a co za tym idzie nie będzie mogła dostarczać swojego sprzętu czy usług, będzie czuła się pokrzywdzona.

Pewnie tak. I tu pojawia się kolejny poważny mankament tej poprawionej wersji ustawy. Choć do obecnej wersji wprowadzono przepis, który określa zasadę, że do postępowania w sprawie oceny dostawcy stosuje się przepis kodeksu postępowania administracyjnego, to jednocześnie wprowadzono wiele wyjątków od tej zasady. Powodują one, że podmiot, którego będzie dotyczyć rozstrzygnięcie, będzie miał ograniczone możliwości skorzystania z przysługujących mu praw. Przykładem może być choćby przepis umożliwiający wydanie decyzji o tym, że dostawca jest wysokiego ryzyka, bez jej uzasadnienia. Trudno się w takiej sytuacji odwoływać, skoro nie zna się powodów takiej decyzji. Inny przykład to możliwość wyznaczenia niejawnego posiedzenia sądu administracyjnego w tej sprawie. W jaki sposób będzie mógł się bronić dostawca, skoro nawet nie będzie mógł uczestniczyć w rozpoznawaniu jego sprawy przez sąd. Kwestie te muszą zostać odpowiednio uregulowane, gdyż w przeciwnym razie przepisy te mogą zostać uznane za naruszające prawo do rzetelnego procesu i odwołania się do sądu.

A jak nowe przepisy mają się do uregulowań międzynarodowych?

Przede wszystkim, projekt ten powinien zostać notyfikowany do Komisji Europejskiej. Obowiązek ten wynika z rozporządzenie Rady Ministrów z dnia 23 grudnia 2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji norm i aktów prawnych. Zakładam, że obowiązek ten zostanie jeszcze zrealizowany. Zwracałem już wcześniej uwagę, że rozwiązania w zakresie prowadzenia postępowania w sprawie oceny dostawcy sprzętu telekomunikacyjnego, to jest liczne ograniczenia praw uczestników tego postępowania, z pewnością będą budzić wątpliwości z punktu widzenia Europejskiej Konwencji Praw Człowieka czy Karty Praw Podstawowych Unii Europejskiej, która stanowi, że „każdy jest równy wobec prawa” oraz zabrania się „wszelkiej dyskryminacji ze względu na narodowość”. Z pewnością mogą się także pojawić problemy z przestrzeganiem Traktatu o Funkcjonowaniu Unii Europejskiej, który zakazuje przykładowo ograniczania swobody przedsiębiorczości. Wreszcie przewidziane w Projekcie rozwiązania w zakresie możliwości wykluczenia z polskiego rynku niektórych dostawców produktów i usług ICT, budzą poważne zastrzeżenia, gdy chodzi o realizację zobowiązań Polski wynikających z przepisów prawa międzynarodowego, w szczególności Porozumienia o Wolnym Handlu GATT, a także bilateralnych porozumień inwestycyjnych (BIT).

Czyli, choć ten projekt uwzględnia niektóre zmiany, jakie zaproponowane były w debacie publicznej, to jest jeszcze wiele do dopracowania?

Tak. Właściwie, to należałoby go uznać nie tyle za kolejną wersję noweli, ale po prostu za nowy projekt. Opublikowany w styczniu dokument zawiera np. cały nowy rozdział – 28 artykułów o certyfikacji. To ważne zagadnienie, ale do tej pory nie były w ogóle dyskutowane publicznie propozycje tych przepisów. Biorąc pod uwagę ilość uwag w pierwszym procesie publicznych konsultacji, uznać należy za konieczne przeprowadzenie drugiej tury takich konsultacji. Temat jest ważny i trzeba do niego podejść bardzo odpowiedzialnie.

Prof. dr hab. Maciej Rogalski – wykładowca Uczelni Łazarskiego. Od 2018 roku pełni funkcję rektora Uczelni Łazarskiego. Wspólnik w kancelarii prawnej Rogalski i Wspólnicy. Specjalizuje się w prawie karnym oraz regulacjach sektorowych, w szczególności prawie telekomunikacyjnym.

Prof. dr hab. Maciej Rogalski

Od 2018 r. w Polsce obowiązuje ustawa o Krajowym Systemie Cyberbezpieczeństwa, w którym zostały wpisane obszary kluczowe dla bezpieczeństwa państwa (energia, zdrowie, transport, banki, finanse, infrastruktura cyfrowa i zaopatrzenie w wodę). We wrześniu 2020 roku rozpoczęto konsultacje na temat zmian w tej ustawie. W projekcie proponuje się poszerzenie obszarów kluczowych o telekomunikację. Zdefiniowano w nim także kryteria oceny firm, które mogą dostarczać sprzęt i oprogramowanie.
Źródło: WPROST.pl
 0

Czytaj także