Reklama
Rozwiń

Prof. Tomasz Siemiątkowski: Szkodliwa nadregulacja w sprawie cyberbezpieczeństwa

W kwestii cyberbezpieczeństwa jesteśmy świadkami próby legitymizacji kontrowersyjnych instytucji prawnych rzekomymi wymogami unijnymi. To przykład tzw. goldplatingu – mówi prof. Tomasz Siemiątkowski, adwokat.

Publikacja: 21.11.2024 11:51

Tomasz Siemiątkowski

Tomasz Siemiątkowski

Foto: Materiał prasowy

Czy tak duże poruszenie, a wręcz strach związany z wprowadzaniem nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (która wdraża tzw. dyrektywę NIS2 do prawa polskiego) jest uzasadnione? Czy to naprawdę będzie aż taka rewolucja? Zwłaszcza że już pewne przepisy w tym zakresie mamy.

Nie mówiłbym raczej o strachu, tylko o odpowiedzialności. Zwiększenie standardu ochrony przed cyberzagrożeniami jest konieczne. Trzeba podejmować stanowcze kroki, także legislacyjne, aby sprawnie reagować na aktualną sytuację geopolityczną, chronić przed cyberatakami zarówno instytucje państwowe, jak i obywateli. Dyskusja o cyberbezpieczeństwie jest potrzebna, powinna się toczyć i przekuć w konkretne ustawowe rozwiązania. Poruszenie jest reakcją względem przyjętych, rewolucyjnych rozwiązań, a zaniepokojenie wiąże się z tym, że Ministerstwo Cyfryzacji opublikowało kolejny projekt nowelizacji w ubiegłym miesiącu, który jednak nie rozwiązuje istoty problemów.

Czytaj więcej

Zmiany w systemie cyberbezpieczeństwa: niepełny kompromis i kontrowersje

Często słyszy się krytyczne głosy o zbyt szerokim zakresie normowania ustawy. Tym czasem sama dyrektywa NIS2 wskazuje 17 sektorów objętych tymi przepisami (10 kluczowych i 7 ważnych).

Rolą władz było dostosowanie ogólnych wymagań dyrektywy do specyfiki polskiej sytuacji. Trzeba mierzyć siły na zamiary i skupić się na tych sektorach, które wymagają wzmożonej uwagi, zwłaszcza w początkowym okresie obowiązywania przepisów. Rolą państwa jest priorytetyzacja określonych obszarów w kontekście cyberbezpieczeństwa, a przyjęcie identycznych wymagań dla/w odniesieniu do tak różnych sektorów nie świadczy o prawidłowym ustaleniu priorytetów. W Czechach np. skupiono się na czterech obszarach.

Jakie są problemy z kontrolą decyzji ministra w sprawie uznania za dostawcę wysokiego ryzyka (DWR)?

W toku postępowania minister cyfryzacji jest zobowiązany zasięgnąć „opinii” kolegium ds. cyberbezpieczeństwa, której charakter prawny jest niejasny. Kolegium, jak wynika zresztą a rubrica z systematyki projektowanego art. 67b ust. 11, analizuje w opinii przede wszystkim kryteria narodowościowe (kryteria pochodzenia) dostawcy, co określa się jako „zagrożenia bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania” i „prawdopodobieństwo, z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego”. Kryteria techniczne (przedmiotowe) schodzą na dalszy plan. Po zakończeniu postępowania minister cyfryzacji wydaje decyzję o uznaniu dostawcy za DWR, jeżeli „dostawca stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi”.

Ponownie, jak w przypadku opinii kolegium, projektowana regulacja posługuje się przesłankami nieostrymi, uznaniowymi, o dalece niejednoznacznej treści, zasiewanymi przecież na gruncie podatnym na interpretacje zależne od opcji politycznej, z której wywodzi się minister. W postępowaniu przed ministrem wyłączono zarówno możliwość udziału każdego podmiotu, którego interesu prawnego dotyczy postępowanie, jak i możliwość dokonania kontroli społecznej, realizowanej standardowo zgodnie z art. 31 k.p.a. przez organizacje społeczne. Stroną postępowania ma być tylko ten podmiot, wobec którego zostało ono wszczęte, a do postępowania może przystąpić, na prawach strony, przedsiębiorca komunikacji elektronicznej, przy czym tylko taki o przychodzie rzędu co najmniej dwudziestotysięcznejkrotności przeciętnego wynagrodzenia. Takie różnicowanie praw procesowych nie znajduje usprawiedliwienia w świetle konstytucyjnej zasady równości.

Idąc dalej: od decyzji ministra cyfryzacji nie służy ani odwołanie, ani wniosek o ponowne rozpatrzenie sprawy, co kłóci się z gwarancją dwuinstancyjnego postępowania administracyjnego z art. 78 konstytucji. Decyzja o uznaniu za DWR, pomimo swojej dotkliwości dla jej adresatów, podlega rygorowi natychmiastowej wykonalności, co czyni następczą kontrolę sądową raczej symboliczną. Ponadto sąd rozpoznaje skargę na posiedzeniu niejawnym, a odpis sentencji wyroku z uzasadnieniem doręcza się wyłącznie ministrowi cyfryzacji. Skarżącemu doręcza się odpis wyroku z tą częścią uzasadnienia, która nie zawiera informacji niejawnych, co może uniemożliwiać podmiotowi uznanemu za DWR nie tylko obronę swoich praw, ale i zrozumienie racji, które doprowadzają do eliminacji go z polskiego rynku.

Czy konsekwencje takiej decyzji faktycznie będą takie poważne, jak się to przedstawia? Z tego, co wiem, na wymianę sprzętu lub oprogramowania firmy mają siedem lat, więc nawet natychmiastowa wykonalność decyzji nie wydaje się realnie „natychmiastowa”.

Okres wymiany sprzętu to cztery–siedem lat, ale skutki projektowanych zmian obserwujemy już obecnie. Uczestnicy obrotu obawiają się, że będą zmuszeni dokonywać wymian, więc usiłują antycypować ryzyka i już teraz starają się przewidywać, jakiego rodzaju sprzęt jest nieopłacalny.

Czytaj więcej

Dariusz Standerski, wiceminister cyfryzacji: Komisja rozpatrzy skargi na AI

Dlaczego pana zdaniem regulacja nie spełni celów zwiększenia cyberbezpieczeństwa oraz nie zdaje testu proporcjonalności?

Z utrwalonego orzecznictwa wynika, że test proporcjonalności polega na badaniu regulacji ustawowej w trzech aspektach, a więc tego: 1) czy wprowadzona regulacja jest w stanie doprowadzić do zamierzonych przez nią skutków; 2) czy jest niezbędna dla ochrony interesu publicznego, z którym jest powiązana; 3) czy efekty wprowadzanej regulacji pozostają w odpowiedniej proporcji do ciężarów nakładanych przez nią na obywatela, czy inne podmioty spoza systemu władzy publicznej. Uważam, że projekt nie zdaje testu proporcjonalności, a ograniczenia konstytucyjnych praw i wolności, takich jak własność, ochrona praw majątkowych, swoboda działalności gospodarczej, prawo do sądu itd., pozostają w skrajnej dysproporcji do celu nowelizacji ustalonego szyldem „cyberbezpieczeństwa”, który to nie zostanie osiągnięty realnie, choćby z uwagi na błędne ukształtowanie procedury DWR, zbytni zakres zbędnego biurokratyzmu i nieprawidłowe ukształtowanie od strony ustrojowej organów, które powinny odpowiadać za cyberbezpieczeństwo. Jako prawnik dość bezkompromisowo uważam, że tylko przejrzyste i zgodne z prawem ponadustawowym kryteria są w stanie zapewnić, że podmioty zagrażające cyberbezpieczeństwu zostaną wyeliminowane z rynku, a podmioty, które temu cyberbezpieczeństwu nie zagrażają, będą na rynku działać. Procedura nierzetelna przy niejasno określonych, dyskryminacyjnych i politycznych przesłankach materialnoprawnych tych gwarancji nie daje. Zakres zadań stawianych przed ministrem cyfryzacji i kolegium ds. cyberbezpieczeństwa, brak wyspecjalizowanych kadr urzędniczych w zestawieniu z ogromnym zakresem podmiotowym ustawy, obejmującym rekordowe na tle Unii Europejskiej 18 sektorów, skłaniają do refleksji, że obrona przed cyberzagrożeniami pozostanie sloganem aktu prawnego, a nie realnym działaniem władzy.

W jakich kwestiach polska propozycja według pana wychodzi poza zakres unijnej dyrektywy?

Deklarowanym celem projektu jest implementacja dyrektywy NIS2, ale chcę podkreślić, że krytykowane przeze mnie rozwiązania nie mają umocowania w postanowieniach dyrektywy. Dyrektywa nie przewiduje tak szerokiego sektorowego zakresu obowiązywania nowelizacji, nie wprowadza obowiązku ustanowienia instytucji prawnej DWR i jej powiązania z kryteriami narodowościowymi. Próżno też szukać w dyrektywie umocowania do istnienia instytucji kolegium ds. cyberbezpieczeństwa czy do ograniczenia praw w postępowaniu administracyjnym i sądowoadministracyjnym. Pod pozorem implementacji dyrektywy wprowadza się zupełnie nowe rozwiązania prawne, co można określić pojęciem gold-platingu („nadimplementacji”). To niekorzystna praktyka prawotwórcza, która polega na próbie legitymizacji kontrowersyjnych instytucji prawnych rzekomymi wymogami unijnymi. Tymczasem Polska będzie mieć najbardziej kosztowne i restrykcyjne regulacje w Unii Europejskiej. Doprowadzi to do sytuacji, w której podmioty uznane za DWR w Polsce będą mogły bez problemu funkcjonować w innych krajach unijnych. Czy w ten sposób władze i mieszkańcy Unii Europejskiej, w tym Polski, mogą naprawdę być bezpieczni? Wątpię.

Jakie rozwiązania byłyby pana zdaniem lepsze niż te przewidziane w polskim projekcie?

Myślę, że błędna i nieefektywna, niemniej podtrzymywana w kolejnej wersji projektu, jest koncepcja weryfikacji podmiotowej, którą należałoby zastąpić weryfikacją przedmiotową (techniczną), certyfikacją. W Niemczech funkcjonuje model, który mógłbym określić modelem uprzedniej weryfikacji przedmiotowej (certyfikacji). Operator musi powiadomić organ o planowanym pierwszym użyciu komponentu krytycznego, dołączając w razie potrzeby deklaracje gwarancyjne itd. Taka procedura, z udziałem wyspecjalizowanych organów technicznych, tworzy sito, przez które „niebezpieczne komponenty” wraz z ich producentami nie powinny przejść. Bez wątpienia należy postulować jasne i przejrzyste zasady materialnoprawne, ustrojowe i proceduralne, z poszanowaniem zasady proporcjonalności i sprawiedliwości proceduralnej i przy równoczesnym, pełnym i efektywnym, wykorzystaniu zasobów informacyjnych służb specjalnych. W mętnej wodzie – mętnym otoczeniu prawnym – ci, co są „winni”, dopłyną do brzegu, a ci, co są „niewinni”, utoną. W mętnej wodzie dobrze ryby łowić, a mętna regulacja tworzy zachętę do zachowań patogennych, lobbystycznych, korupcyjnych i nie zapewnia cyberbezpieczeństwa na żadnym poziomie.

Porównuje pan polskie przepisy do tych w innych krajach, ale pamiętajmy, że Polska jest na pierwszej linii cyberwojny, najbardziej narażona na cyberataki np. Rosji czy Białorusi.

Dokładnie – a z projektu w żadnej mierze nie wynika, aby właśnie na tym miało być skupione cyberbezpieczeństwo. To właśnie z powodu narażenia Polski na cyberataki potrzebujemy sprawnej i funkcjonalnej operacyjnie nowelizacji przepisów i wdrożenia dyrektywy NIS2.

Twierdzi pan, że ustawa ma działać wstecz. Czy przewiduje ona kary za stosowanie oprogramowania niespełniającego wymogów przed jej wejściem w życie? Bo to byłoby realne działanie wstecz. A jeśli tylko wprowadza obowiązek wymiany już istniejącego oprogramowania czy sprzętu na to spełniające wymogi, to nie jest żadne działanie wstecz, tylko elementarna skuteczność prawa. Jeśli odnosiłaby się tylko do sprzętu kupowanego po jej wejściu w życie, to czekalibyśmy długie lata, zanim nowe rozwiązania przyniosą realne skutki.

Projekt nowelizacji nie zawiera typowej klauzuli retroaktywnej, czyli od strony formalnoprawnej można argumentować, że de iure nie działa wstecz, jednakże de facto takie konsekwencje rodzi. Dotyczy bowiem sprzętu, który został wprowadzony, zakupiony i jest używany zgodnie z prawem, natomiast nowelizacja nakazuje zrobienie kroku wstecz, tj. jego weryfikację, a nawet wycofanie. Taki mechanizm działania jest sprzeczny z istotą ochrony praw nabytych, komponującą zasadę demokratycznego państwa prawa. 

Porównuje pan ustawę o KSC do RODO. I faktycznie przy wchodzeniu RODO też było dużo straszenia, choć eksperci wskazywali, że w kwestii przepisów wiele ono nie zmieniało, tylko po prostu zaczęło na poważnie egzekwować zasady, które już obowiązywały. Mam wrażenie, że tak samo jest z wdrażaniem dyrektywy NIS2. Zwłaszcza że kolejne raporty pokazują, że polskie przedsiębiorstwa nie za bardzo dbają o cyberbezpieczeństwo. Może te przepisy to realna szansa, by to podejście zmienić?

Zakres stosowania RODO wynikał wprost z przepisów rozporządzenia, natomiast wdrożenie dyrektywy NIS2 wymaga starannego ustalenia priorytetów z uwzględnieniem sytuacji geopolitycznej kraju. Nie mam przekonania, aby RODO efektywnie spełniało wszystkie pokładane w nim cele w zakresie ochrony prywatności. Natomiast ewidentnie zwiększyło zakres obowiązków, które przez przeciwników określane są zapewne „biurokratycznymi” – podobne mechanizmy obserwuję w brzmieniu projektowanej nowelizacji, która nakłada takie obowiązki, jak np. prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem, wdrożenie polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityki tematyczne. Podmioty ważne i podmioty kluczowe będą zobowiązane do ustawicznej weryfikacji prawidłowości używanego sprzętu i oprogramowania pod kątem obowiązku ich wycofania, co znacząco zwiększy koszty ich funkcjonowania. Czy poziom cyberbezpieczeństwa „na papierze” przekuje się na rzeczywistość? Nie jestem optymistą.

Czy kryterium państwa pochodzenia sprzętu jest naprawdę tak niezrozumiałe, biorąc pod uwagę, jak często się mówi o wojnie hybrydowej toczonej także w cyberprzestrzeni? A na wojnie wiadomo, że to, czy oprogramowanie pochodzi od państwa sojuszniczego, czy wrogiego, ma zasadnicze znaczenie? Tu dochodzimy też do zarzutu polityczności takich decyzji – przecież to właśnie rząd kształtuje politykę zagraniczną, więc to on powinien też decydować, z którym państwem mamy dobre stosunki, a z którym niekoniecznie.

Projekt ustawy odnosi się do styku gospodarki i polityki, a od decyzji politycznych uzależnia decyzje gospodarcze. Nowelizacja nie daje możliwości elastycznego reagowania na rzeczywistość geopolityczną. Ponadto trzeba pamiętać o tym, że ideą zmian prawnych jest przeniesienie punktu ciężkości w koncepcji myślenia o cyberbezpieczeństwie jako problemie „wewnętrznym” państw członkowskich do dobra Unii Europejskiej jako całości. Polski projekt w ogóle nie bierze tego kontekstu pod uwagę.

Krytykuje pan też stosowanie w przepisach klauzul generalnych, co jest przecież powszechną praktyką w prawodawstwie i sprawia, że prawa nie trzeba co chwila zmieniać i poprawiać. Zwłaszcza że kryteria, takie jak „bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi”, są wskazywane w samej konstytucji jako przesłanki ograniczenia praw i wolności, w tym gospodarczych.

Powiedziałbym, że każdy kij ma dwa końce – klauzule generalne są udanym zabiegiem, jeżeli są prawidłowo wykładane i stosowane przez organy administracji publicznej. Co ważne w kontekście tych klauzul, to fakt, że ograniczenie praw i wolności, także z powołaniem na powyższe klauzule, nie może nigdy naruszać ich „jądra”, istoty, a ingerencja musi być proporcjonalna – tego wymaga art. 2 i art. 31 ust. 3 Konstytucji RP. Moim zdaniem te warunki nie są spełnione.

Czytaj więcej

Te przepisy budzą kontrowersje. "Polska nadreguluje" - twierdzą jedni. Inni: to uzasadnione

Co jest niezgodnego z konstytucją w kreowaniu nowych organów administracji rządowej? Który artykuł miałby to naruszać?

Ustawodawca zwykły może kreować nowe organy, ale powinien w związku z tym przestrzegać określonej prakseologii, a sam problem nie ma wyłącznie charakteru ustrojowego, lecz także proceduralny, jeżeli ten organ uczestniczy w postępowaniach z udziałem jednostek, także przedsiębiorców. Postępowanie przed organami władzy publicznej musi być przejrzyste i uporządkowane, tego wymaga art. 2 Konstytucji RP; w mojej ocenie wymogi te narusza konstrukcja postępowania w sprawie uznania określonego dostawcy za dostawcę wysokiego ryzyka, w której minister cyfryzacji jest zobowiązany zasięgnąć „opinii” o niejasnym charakterze prawnym od kolegium ds. cyberbezpieczeństwa. Przewodniczącym kolegium jest prezes Rady Ministrów, a skład kolegium konstytuują członkowie Rady Ministrów. To rządowy organ, a nie grono specjalistyczne, jak myląco mogłaby wskazywać nazwa. Kolegium nie posiada zasobów informacyjnych służb specjalnych i powinno być raczej organem umiejscowionym w strukturze ministra – koordynatora służb specjalnych, aby mogło wydawać opinie rezonujące na prawa i obowiązki przedsiębiorców w postępowaniu administracyjnym. Odpowiadając na drugie pytanie: prawo własności i wolność gospodarcza są to prawa człowieka chronione Konstytucją RP w sposób szczególny, na tym opiera się podstawa funkcjonowania państwa, także w kontekście jego cyberzagrożeń. Nie powinno być tak, że państwo, skupiając się na walce z cyberbezpieczeństwem, zaniedbuje jednocześnie bezpieczeństwo ekonomiczne i gospodarcze.

Tomasz Siemiątkowski jest profesorem Szkoły Głównej Handlowej w Warszawie, kierownikiem Katedry Prawa Gospodarczego, adwokatem w Kancelarii Głuchowski Siemiątkowski Zwara, członkiem zespołu doradczego przy ministrze sprawiedliwości do spraw prawa Unii Europejskiej

Opinie Prawne
Piotr Szymaniak: Tortur nie było, można się rozejść?
Opinie Prawne
Paulina Szewioła: Wolna Wigilia? Pokaz niekonsekwencji rządu Donalda Tuska
Opinie Prawne
Pietryga: Słowa sędziego Marciniaka jak kasandryczna przepowiednia
Opinie Prawne
Pietryga: Czy pięciominutowy „comeback” Ryszarda Kalisza zagrozi demokracji?
Materiał Promocyjny
Najlepszy program księgowy dla biura rachunkowego
Opinie Prawne
Kappes, Skrzydło: Neosędziowie SN mieliby orzekać o ważności wyborów? Naprawdę?
Materiał Promocyjny
„Nowy finansowy ja” w nowym roku