17 października mija termin na implementację dyrektywy NIS2 w sprawie cyberbezpieczeństwa. Jednak liczba uwag krytycznych, jakie spłynęły do projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, sugeruje, że trudno będzie go dotrzymać.
Ogromne wątpliwości budzą przepisy, zgodnie z którymi minister cyfryzacji będzie mógł uznać w drodze decyzji administracyjnej dostawcę określonego sprzętu lub oprogramowania za „dostawcę wysokiego ryzyka”. Zgodnie z projektowanym art. 67b ust. 18 taka decyzja z mocy prawa będzie miała skutek natychmiastowej wykonalności. Efektem jej wydania będzie nakaz pozbycia się przez przedsiębiorców i inne instytucje uznane za „podmioty kluczowe” lub „podmioty ważne” tych sprzętów i oprogramowania.
Minister uzna firmę za „dostawcę wysokiego ryzyka”. Wątpliwości konstytucyjne
Jak zauważa prof. Marcin Wiącek, rzecznik praw obywatelskich, od takiej decyzji przysługuje co prawda skarga do WSA, ale ustawodawca wykluczył możliwość przeprowadzenia rozprawy, a wyrok z pełnym uzasadnieniem ma dostać tylko minister, natomiast skarżący jedynie uzasadnienie w okrojonej wersji.
– W tym zakresie ograniczenia te mogą naruszać prawo do uczciwego procesu sądowego – sygnalizuje RPO, który uważa taką procedurę za nieproporcjonalne ograniczenie wolności gospodarczej.
Możliwe są bowiem przypadki, gdy minister zakwalifikuje jakiś sprzęt jako niebezpieczny, przedsiębiorca wstrzyma jego dystrybucję i wymieni, ponosząc koszty, a po rozpoznaniu sprawy przez WSA i NSA okaże się, że decyzja ministra była bezprawna. W takim wypadku – jak wyjaśnia RPO – przedsiębiorca formalnie wygra, ale utraconych korzyści z wstrzymanej dystrybucji oraz wydatków na nowy sprzęt nikt mu nie zwróci.