W dniu 13 października została opublikowana kolejna wersja projektu noweli ustawy o Krajowym systemie cyberbezpieczństwa („k.s.c.”) - projekt z dnia 12 października 2021 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustawy („Nowela”). Kolejna wersja noweli była długo wyczekiwana, gdyż poprzedni projekt noweli k.s.c. był z dnia 4 marca 2021 r. Wiązane były duże nadzieje rynku telekomunikacyjnego z kolejną wersją noweli, z uwagi na liczne uwagi zgłoszone do poprzedniej wersji i propozycje konkretnych zmian.
Istotną częścią przepisów Noweli są kontrowersyjne uregulowania, które dotyczą oceny dostawców sprzętu telekomunikacyjnego z punktu widzenia zagrożeń dla cyberbezpieczeństwa. W przypadku uznania ich za tzw. dostawców wysokiego ryzyka („HRV” – High Risk Vendors), nie będą mogli dostarczać sprzętu telekomunikacyjnego operatorom w Polsce. Niezwykle więc ważne są uregulowania prawne, które powinny zagwarantować skorzystanie z praw podmiotom, których może dotyczyć decyzja o ich wykluczeniu z rynku oraz zapewnić weryfikację sądową wydanej w tej sprawie decyzji. Niestety analiza projektowanych przepisów prowadzi do wniosku, że stworzono model postępowania charakterystyczny dla procesów określanych w nauce prawa jako inkwizycyjne, w którym de facto jest już wskazana „persona non grata”. Wprowadzono bowiem szereg postanowień, które odbiegają od podstawowych zasad rzetelnego postępowania. Zgodnie więc z obecną wersją Noweli, w postępowaniu w sprawie uznania za dostawcę wysokiego ryzyka:
- nie stosuje się przepisów art. 28, art. 31, art. 51, art. 66a i art. 79 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego („k.p.a.”): (art. 66a ust. 3 Noweli), co oznacza, że Nowela posługuje się własną, wąską definicją strony, wyłączając inne zainteresowane podmioty od udziału w postępowaniu, powoduje także wyłączenie z udziału w tym postępowaniu organizacji społecznych oraz wyklucza udział stron w przeprowadzaniu dowodów w trakcie tego postępowania;
- przewidziany w art. 66a ust. 6 Noweli sposób zawiadamiania o wszczęciu postępowania w sprawie uznania za dostawcę wysokiego ryzyka, jest odstępstwem od zasad doręczeń uregulowanych w k.p.a. (zgodnie z Nowelą zawiadomienie o wszczęciu postępowania udostępnia się na stronie podmiotowej Biuletynu Informacji Publicznej ministra właściwego do spraw informatyzacji);
- nie stosuje się postanowień art. 106 § 5 k.p.a. (art. 66a ust. 6 Noweli), czyli nie przysługuje zażalenie na opinią kolegium oceniającego HRV, przed wydaniem decyzji w sprawie jego wykluczenia z rynku, przez ministra właściwego ds. informatyzacji;
- decyzja o wykluczeniu z rynku HRV podlega natychmiastowemu wykonaniu (art. 66a ust. 14 Noweli);
- od decyzji o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, nie przysługuje wniosek o ponowne rozpatrzenie sprawy (art. 66a ust. 15 Noweli);
- skarga na decyzję o wykluczeniu z rynku HRV jest rozpatrywana na posiedzeniu niejawnym (art. 66d ust. 1 Noweli);
- po wniesieniu skargi na decyzję o wykluczeniu z rynku HRV, sąd administracyjny nie może wstrzymać jej wykonalności (art. 66d ust. 3 Noweli);
- odpis sentencji wyroku sądu administracyjnego z uzasadnieniem doręcza się wyłącznie ministrowi właściwemu do spraw informatyzacji. Skarżący otrzymuje odpis wyroku tylko z częścią uzasadnienia (art. 66d ust. 2 Noweli).
Do projektu z dnia 12 października 2021 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa jest dołączone uzasadnienie, które powinno wyjaśniać czym kierowali się Projektodawcy wprowadzając tak daleko idące ograniczenia praw dla stron i uczestników tego postępowania. Uzasadnienie ogranicza się często do powtórzenia proponowanych zmian, ale czasami przedstawiane jest szersze wyjaśnienie proponowanych zmian. Przykładowo, gdy w uzasadnieniu wyjaśnia się odstąpienie od stosowania art. 28 i 31 k.p.a., wskazując, że „Zawężenie przymiotu strony oraz udziału organizacji społecznej jest konieczne w celu uniknięcia obstrukcji postępowania i wzmocnienia trwałości rozstrzygnięć, mając na względzie, że do każdego takiego postępowania, według zasad ogólnych mogłoby przystąpić na prawach strony nawet setki podmiotów korzystających z konkretnych produktów pochodzących od konkretnego dostawcy sprzętu lub oprogramowania”. Trudno oprzeć się wrażeniu, analizując treść przepisów regulujących postępowanie w sprawie uznania dostawcy za dostawcę wysokiego ryzyka oraz uzasadnienie ich wprowadzenia, że po prostu mają „ułatwić” wydanie decyzji w sprawie uznania określonego dostawcy za dostawcę wysokiego ryzyka. Wprost o tym mówi uzasadnienie Noweli wskazując, że chodzi o „uniknięcia obstrukcji postępowania i wzmocnienie trwałości rozstrzygnięć”, co ma zostać zrealizowane poprzez ograniczenie udziału w tym postępowaniu podmiotom posiadającym zgodnie z k.p.a. przymiot strony lub organizacjom społecznym. Wydaje się, że jest mylona „obstrukcja postępowania” z prawem do uczestniczenia w postępowaniu na prawach strony lub uczestnika postępowania, a „wzmocnienie trwałości rozstrzygnięć” z prawem do możliwości wnoszenia środków odwoławczych.
Obecna konstrukcja postępowania w sprawie uznania określonego dostawcy za dostawcę wysokiego ryzyka budzi więc poważne wątpliwości co do jej zgodności z prawem do sprawiedliwego i jawnego rozpatrzenia sprawy, przewidzianym nie tylko w polskiej konstytucji, ale także unijnych przepisach. Konsekwencje uznania tych przepisów za sprzeczne ze wskazanymi wcześniej normami byłyby bardzo poważne. Oznaczałoby to bowiem, że ewentualny nakaz usunięcia sprzętu od dostawcy uznanego za wysokiego ryzyka, był pozbawiony podstaw. W przypadku już wycofania tego sprzętu z sieci operatora i zastąpienia go innym, wobec braku możliwości i opłacalności przywrócenia stanu poprzedniego, otwierałoby to podstawy do dochodzenia roszczeń odszkodowawczych od skarbu państwa.