Nowelizacja Krajowego Systemu Cyberbezpieczeństwa wymaga ponownych konsultacji i dostosowania do nowych przepisów europejskich. Chodzi o kwestie prawne, a także skutki gospodarcze, przede wszystkim dla małych i średnich przedsiębiorców.
Blisko dwa i pół roku trwają już prace rządu nad nowelizacją ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) oznaczoną w wykazie prac legislacyjnych i programowych Rady Ministrów jako „UD68”.
/>
W międzyczasie powstało co najmniej dziewięć wersji projektu, a udostępniona na stronach Rządowego Centrum Legislacji dokumentacja prac liczy 252 pozycje. W trakcie tych 29 miesięcy sama ustawa o KSC została znowelizowana czterokrotnie przez inne ustawy, w tym opracowaną i uchwaloną w jedynie cztery miesiące ustawę z 11 marca 2022 r. o obronie Ojczyzny.
Wydawałoby się, że tak długi czas prac nad projektem powinien doprowadzić do powstania dobrego, przemyślanego prawa, skonsultowanego szeroko z zainteresowanymi podmiotami z administracji publicznej oraz sektora prywatnego. Tym bardziej że projektodawcy dostali nawet solidny materiał analityczny obowiązującej ustawy i wnioski de lege ferenda od zespołu naukowców zajmujących się tematyką bezpieczeństwa na Akademii Sztuki Wojennej, którzy z końcem 2022 r. opublikowali ponad 300-stronicowy „Komentarz do ustawy o Krajowym Systemie Cyberbezpieczeństwa” (pod redakcją naukową dr hab. Katarzyny Chałubińskiej-Jentkiewicz, prof. Mirosława Karpiuka i dr hab. Jarosława Kostrubca [„Komentarz”]).
Nic bardziej mylnego. Powyższy potencjał został całkowicie zaprzepaszczony, a dowieziona z takimi bólami najnowsza wersja projektu UD68 nie uwzględnia szeroko zgłaszanych postulatów organizacji społecznych i samorządów gospodarczych, ekspertów czy naukowców.
Prawo się zmieniło
Ponadto nowy projekt pojawia się w momencie, w którym obowiązują już nowe europejskie przepisy harmonizujące regulacje z obszaru cyberbezpieczeństwa, czyli:
1) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 („Dyrektywa NIS 2”).
2) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE („Dyrektywa CER”) oraz
3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 („Rozporządzenie DORA”).
Najnowsza wersja projektu UD68 całkowicie pomija nowy stan prawny w tym zakresie, a nawet jest ze wspomnianymi regulacjami sprzeczna.
W projekcie UD68 cały czas nie poprawiono regulacji budzących najwięcej wątpliwości z punktu widzenia tak istotnych wartości demokratycznego państwa prawnego jak: swobody prowadzenia działalności gospodarczej, proporcjonalności działań regulacyjnych, zasady pogłębiania zaufania obywateli do działalności organów administracji, zapewnienia zainteresowanym aktywnego uczestnictwa w postępowaniach skutkujących nakładaniem obowiązków w drodze decyzji administracyjnych, przejrzystości procesu nakładania obowiązków administracyjnych i prawa do pełnej kontroli sądów w tym zakresie czy ochrony własności prywatnej, w tym inwestycji.
W szczególności procedura uznania za tzw. dostawcę wysokiego ryzyka nie została poprawiona w sposób postulowany zarówno przez ekspertów, naukowców, jak i przedstawicieli podmiotów prowadzących działalność gospodarczą. Jest to m.in. sprzeczne z zawartym w art. 21 dyrektywy NIS mechanizmem podejmowania takiej decyzji na szczeblu europejskim – pozwalającym na wymianę wiedzy i koordynację standardów cyberbezpieczeństwa bez naruszania Jednolitego Rynku Europejskiego. Podobne regulacje przewiduje Rozporządzenie DORA.
Mimo że w toku dwóch i pół roku prac nad projektem UD68 analogiczne regulacje zostały już przyjęte w części krajów europejskich, projektodawca pominął dobre praktyki wynikające z tych wdrożeń. Widać to najlepiej na przykładzie załącznika do projektu wyliczającego kategorie funkcji krytycznych dla bezpieczeństwa sieci i usług, bez choćby szerszej próby ich zdefiniowania. Załącznik ten powinien zostać poprawiony przez doprowadzenie do zgodności z europejskim Toolboxem 5G czy międzynarodowymi standardami technicznymi. Należy też jednoznacznie go doprecyzować.
Głos biznesu
W przestrzeni publicznej pojawiły się już głosy małych i średnich przedsiębiorców, że wejście w życie projektu UD68 w proponowanej przez rząd wersji z koniecznością wdrożenia blisko 200 nowych obowiązków nałoży się na obecne niekorzystne okoliczności gospodarcze (inflacja przy braku stosowania klauzul modyfikacyjnych i waloryzacyjnych, wzrost płacy minimalnej, wzrost cen energii) może doprowadzić do fali upadłości. W tym kontekście również aktualny jest postulat, aby wymagane zmiany wprowadzić raz, a nie dokonywać kolejnej ewolucji w ciągu najbliższych dwóch lat. Istotne jest także zapewnienie równości wszystkich zainteresowanych podmiotów w toku postępowania skutkującego nakładaniem obowiązków, a nie, jak przewiduje to obecny projekt, ograniczenie się do mocno reglamentowanego uczestnictwa tylko największych przedsiębiorców. Należy usunąć z projektu UD68 ograniczenia dyskryminujące małych i średnich przedsiębiorców.
Oczywiście czas na wdrożenie Dyrektywy CER i Dyrektywy NIS to niecałe dwa lata (październik 2024 r.), dłuższy o trzy miesiące (styczeń 2025 r.) jest termin do rozpoczęcia stosowania Rozporządzenia DORA. Patrząc jednak na okres dotychczasowych prac nad projektem UD68, jesteśmy już co najmniej osiem miesięcy spóźnieni. Dlatego należy postulować, by projekt UD68, zamiast być kierowany pod obrady parlamentu, powinien wrócić do autorów z wyraźnymi wytycznymi, aby dostosowali go do nowych przepisów europejskich i poprawnie przekonsultowali z wszystkimi zainteresowanymi podmiotami. W ramach tych konsultacji inicjatorzy projektu UD68 powinni przeprowadzić obiecywane kilkukrotnie, jednak nigdy niezorganizowane spotkanie z podmiotami zainteresowanymi w celu omówienia uwag zgłoszonych w pisemnych konsultacjach.
Projektodawcy powinni zapoznać się z opisanymi we wskazanym na wstępie komentarzu i uwzględnić zawarte tam przez przedstawicieli jurysprudencji postulaty poprawy istniejących regulacji, szczególnie w obszarze definicji, zabezpieczenia tajemnicy przedsiębiorcy, rozwiązania konfliktu potrzeby zapewnienia bezpieczeństwa z prawem dostępu do informacji publicznej i ochroną danych osobowych w ramach procedur wymiany informacji, rozdziału kompetencji między poszczególne jednostki krajowego systemu cyberbezpieczeństwa, procedur kontroli administracyjnej czy wreszcie poprawienia przepisów o karach pieniężnych.
Co z operatorem
Porównanie kolejnych wersji projektu UD68 pokazuje, że najbardziej zmieniały się przepisy powołujące tzw. operatora strategicznej sieci bezpieczeństwa (OSSB) oraz jego zadania, a także nowość w postaci zasady przyznania zasobów częstotliwości z zakresu 703-713 MHz oraz 758-768 MHz. Wygląda na to, że rządowe uzgodnienia tych zagadnień zdominowały prace nad projektem UD68, mimo że ich związek z Krajowym Systemem Cyberbezpieczeństwa jest – delikatnie mówiąc – niezwykle odległy. Z tego względu warto rozważyć wydzielenie tych obu z trudem wypracowanych między ministerstwami zagadnień do osobnego projektu i szybkie przyjęcie przez rząd, a następnie skierowanie do prac w parlamencie. Powinno to ułatwić pracę nad nową wersją projektu UD68, która uwzględni już wdrożenie Dyrektyw NIS2 i CER oraz Rozporządzenia DORA.
Polskie bezpieczeństwo w domenie cyfrowej od tego nie ucierpi, skoro nie ucierpiało w okresie dwóch i pół roku prac nad projektem UD68. Wręcz przeciwnie, przygotowanie dobrych, przemyślanych przepisów, zharmonizowanych europejsko, ułatwi szeroką i sprawną implementację również dzięki możliwości współpracy z partnerami w innych państwach europejskich. Obniży też koszty wdrożenia niezbędnych zmian, co jest ważne szczególnie dla sektora małych i średnich przedsiębiorstw.