Projektowany tryb oceny dostawców sprzętu, usług i oprogramowania budzi istotne wątpliwości w zakresie zgodności z Konstytucją – pisze prof. dr hab. Marek Chmaj.
Projektodawca po raz kolejny podejmuje próbę znowelizowania przepisów ustawy o krajowym systemie cyberbezpieczeństwa. Projekt wprowadza procedurę oceny ryzyka dostawców produktów i usług wykorzystujących technologie informacyjno-komunikacyjne (z ang. ICT). Zasady projektowanego postępowania ocennego zostały uregulowane w art. 66a – 66e zmienianej ustawy o krajowym systemie cyberbezpieczeństwa.
/>
Według założeń projektu, minister właściwy do spraw informatyzacji może wszcząć postępowanie w sprawie uznania za dostawcę wysokiego ryzyka. Kryteria do zainicjowania postępowania kontrolnego to ochrona bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego. Według art. 66a ust. 7 i ust. 8 projektu zawiadomienie o wszczęciu postępowania minister wyśle do podmiotu poddanego kontroli, a w przypadku dostawcy niemającego siedziby na terytorium państwa członkowskiego Unii Europejskiej, Konfederacji Szwajcarskiej albo państwa członkowskiego Europejskiego Porozumienia o Wolnym Handlu (EFTA) – stronie umowy o Europejskim Obszarze Gospodarczym zawiadomienie zostanie udostępnione na stronie ministerstwa i tak opublikowane zawiadomienie wywoła skutek doręczenia po upływie 14 dni od dnia jego dokonania.
Nowe przepisy przewidują dodatkowo, że przed wydaniem decyzji minister zasięgnie opinii Kolegium tj. organu krajowego systemu cyberbezpieczeństwa. Kolegium zbada między innymi prawdopodobieństwo z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego. Decyzja o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka ma być udostępniona w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski” oraz w Biuletynie Informacji Publicznej na stronie podmiotowej ministra właściwego do spraw informatyzacji, a także na stronie internetowej urzędu obsługującego tego ministra.
Kosmetyczne zmiany kontrowersyjnych propozycji
Zgodnie z postanowieniami projektu decyzja taka będzie podlegała natychmiastowemu wykonaniu, a dostawcy nie przysługuje prawo do wnioskowania o ponowne rozpoznanie sprawy. Sankcją dla dostawcy uznanego za dostawcę wysokiego ryzyka jest zakaz wprowadzania do użyłkowania produktów, usług i procesów ICT w zakresie objętym decyzją oraz nakazy wycofania z użytkowania typów produktów, usług i procesów ICT, w zakresie objętym decyzją, dostarczanych przez dostawcę wysokiego ryzyka nie później niż 7 lat od dnia ogłoszenia lub udostępnienia informacji o decyzji.
Opisany proces kontroli to wyłącznie kosmetycznie zmodyfikowana pierwotna wizja projektodawcy na zmianę przepisów o krajowym systemie cyberbezpieczeństwa. Poprzednie próby nowelizowania ww. przepisów zostały krytycznie ocenione przez przedsiębiorców telekomunikacyjnych i konstytucjonalistów. Wydaje się, że projektodawca podejmując kolejną inicjatywę legislacyjną pod przykrywką nowego projektu dąży do przeforsowania swojego, sobie podporządkowanego, pomysłu na działalność branży telekomunikacyjnej.
Projektowany tryb oceny dostawców sprzętu, usług i oprogramowania budzi istotne wątpliwości w zakresie zgodności z Konstytucją. Ustrojodawca, w ustawie zasadniczej, określił fundamenty demokratycznego państwa prawnego, które powinny mieć odzwierciedlenie w prawie stanowionym. Zgodnie z Konstytucją projektowane akty prawne powinny chronić praw nabyte osób fizycznych oraz prawnych, powinny być zgodne z zasadą niedziałania prawa wstecz wynikającą z art. 2 konstytucji, z zasadą wolności działalności gospodarczej (art. 20 i 22 Konstytucji) oraz zasadą równości (art. 32 Konstytucji). Analiza przepisów projektu dotyczących postępowania kontrolnego, już na pierwszy rzut oka, prowadzi do wniosku, że zupełnie nie zastosowano się do wskazanych zasad ustawy zasadniczej.
Arbitralna władza ministerstwa
Postępowanie kontrolne od sposobu zawiadomienia o jego wszczęciu po formę jego zakończenia nie odpowiada standardom demokratycznego państwa prawa.
Z literalnego brzmienia postanowień projektu wynika, że przedsiębiorcy telekomunikacyjni, w szczególności pochodzący spoza Europy, mogą nie mieć świadomości, że zostało przeciwko nim wszczęte postępowanie w przedmiocie uznania za dostawcę wysokiego ryzyka. Decyzja organu I instancji również będzie „doręczona” wyłącznie poprzez publikację.
Ponadto projekt nadaje arbitralną władzę resortowi informatyzacji i Kolegium, jako organowi opiniodawczo-doradczemu, do regulowania rynku dostawców telekomunikacyjnych, ponieważ kryteria oceny dostawców produktów i usług ICT nie są jasne ani precyzyjne. Projektowane postępowanie ocenne nie gwarantuje stronie czynnego udziału w postępowaniu, ani możliwości odwołania do organu II instancji. Co do zasady postępowanie ocenne ma się toczyć na podstawie przepisów kodeksu postępowania administracyjnego (KPA), ale tylko iluzorycznie. Z projektu wyeliminowano większość przepisów z KPA, które gwarantują stronie (dostawcy) prawo do czynnego udziału w postępowaniu kontrolnym. Rozwiązanie takie godzi bezpośrednio w zasadę przyzwoitej legislacji określoną w treści art. 2 konstytucji.
Postępowanie ocenne prowadzone jest w całości przez Kolegium – bez udziału dostawcy, to Kolegium gromadzi materiały i sporządza opinię – co jest sprzeczne z zasadą zaufania obywateli do państwa wyrażoną w art. 2 konstytucji.
Co z zasadą równości?
Projektowane kryteria procedury ocennej, której efektem są niepowetowane, negatywne konsekwencje dla dostawcy, zostały określone w sposób nieprecyzyjny, a tym samym sprzeczny z zasadą równości (art. 32 konstytucji).
Zasady weryfikacji dostawców sprzętu i oprogramowania nie są sprawiedliwe i bezstronne. Ponadto, może zdarzyć się tak, że postępowanie kontrolne, wobec dostawców, będzie prowadzone przez organ państwowy, bez udziału kontrolowanego. Jeśli postępowanie skończy się uznaniem kontrolowanego za dostawcę ryzykownego, bez względu na wynik postępowania odwoławczego, ma on natychmiastowy obowiązek wycofania z rynku produktów i usług ocenionych jako ryzykowne, dostarczanych nie później niż 7 albo 5 lat od dnia ogłoszenia lub udostępnienia informacji o decyzji. Na takich zasadach, obarczonych ryzykiem postępowania kontrolnego z zaskoczenia i niepowetowanych sankcji trudno prowadzić działalność gospodarczą. Przepisy projektu nie gwarantują konstytucyjnej wolności działalności gospodarczej, o której mowa w art. 20 i 22 konstytucji.
Procedura oceny ryzyka dostawców bezwzględnie wymaga gruntownych poprawek legislacyjnych, co dyskwalifikuje go na obecnym etapie z dalszych prac, zaś ewentualne jego uchwalenie skutkować będzie daleko idącymi negatywnymi konsekwencjami w wielu obszarach społecznych i ekonomicznych.
Aktualnie jesteśmy w okresie transpozycyjnym dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS2), która weszła w życie 16 stycznia 2023 r. Termin transpozycji został określony do dnia 17 października 2024 r. Tym samym NIS2 uchyla dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r.
w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (NIS1). Okres transpozycyjny, to czas na wdrożenie wskazanych w dyrektywnie zasad do krajowych porządków prawnych. Z tego też względu nowelizacje przepisów krajowych powinny odpowiadać obowiązującym przepisom wspólnotowym, bez względu na fakt, że pozostają one w okresie transpozycyjnym.
Natomiast projekt w wielu miejscach jest niezgodny z dyrektywą NIS2, np. projekt wdraża art. 40 i 41 dyrektywy PE i Rady (UE) 2018/1972 z 11 grudnia 2018 r. ustanawiającej Europejski kodeks łączności elektronicznej (EKŁE), podczas gdy w toku prac legislacyjnych te przepisy dyrektywy zostały uchylone na mocy art. 43 NIS2, ze skutkiem od 18 października 2024 r. W konsekwencji, jeśli nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wejdzie w życie po upływie 6 miesięcy od ogłoszenia (tj. nie wcześniej niż w marcu 2023 r. zgodnie z obecnym etapem legislacyjnym projektu), większość jej przepisów nie będzie miała zastosowania do przedsiębiorców telekomunikacyjnych. Będą oni mogli bezpośrednio powoływać się na obowiązujące przepisy dyrektywy. W tej sytuacji trudno jest doszukać się sensu uchwalania nowelizacji w jej obecnej wersji.
Precedens podważający zasadę praworządności
Prezes Urzędu Komunikacji Elektronicznej (UKE) dwukrotnie przeprowadził konsultacje aukcji 5G. Na stronie UKE razem z ogłoszeniem o przeprowadzeniu konsultacji pojawiły się warunki tych aukcji. Dysponent, który będzie chciał wziąć udział w aukcji będzie musiał spełnić warunki zawarte w opublikowanych projektach.
Zgodnie z tymi warunkami podmiot biorący udział w aukcji zobowiązany będzie do dokonania samokontroli swojej działalności oraz dostawców z którymi współpracuje w zakresie bezpieczeństwa i integralności sieci. W ramach postępowania aukcyjnego dysponent zobowiązany jest dostarczyć Prezesowi UKE wyniki dokonanej oceny ryzyka wraz z opisem sposobu postępowania ze zidentyfikowanymi ryzykami, w tym zobowiązany jest do wskazania daty uznania przez właściwy organ dostawcy za dostawcę stanowiącego poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi.
We wskazanych projektach Prezes UKE posługuje się pojęciami i wytycznymi, które nie są zdefiniowane w aktualnie obowiązujących przepisach prawa. Dostawca stanowiący poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi to sformułowanie pochodzące z projektów nowelizowanych przepisów. W obowiązujących przepisach nie ma mowy o procedurze oceny ryzyka dostawców produktów i usług wykorzystujących technologie informacyjno–komunikacyjne. Oznacza to, że opublikowane przez Prezesa UKE warunki udziału w aukcji są sprzeczne z prawem, a sam organ uzurpuje sobie kompetencje do stanowienia nowych przepisów. Prezes UKE stawia się w roli organu stanowiącego prawo, pomimo braku konstytucyjnego umocowania. Należy to ocenić jako bardzo niebezpieczny precedens podważający zasadę praworządności, czyli jedną z podstawowych konstytucyjnych wartości. Bez wątpienia może to prowadzić do rażącego naruszenia prawa skutkującego unieważnieniem aukcji.
prof. dr hab. Marek Chmaj, wspólnik zarządzający kancelarii Chmaj i Partnerzy