Tomasz Siemiątkowski: Cyberbezpieczeństwo 5.0, czyli projektodawca nie odpuszcza podmiotom prywatnym

Regulację prawną cyberbezpieczeństwa trzeba stworzyć rozsądnie, napisać nową ustawę, a nie dokonywać łatania legislacyjnych dziur kolejnych wersji nowelizacji – mówi prof. Tomasz Siemiątkowski, adwokat.

Publikacja: 21.02.2025 07:36

Tomasz Siemiątkowski

Foto: Materiał prasowy

Szymon Cydzik

Na stronie Rządowego Centrum Legislacji pojawiła się 12 lutego 2025 r. kolejna, piąta już wersja projektu ustawy nowelizującej ustawę o Krajowym Systemie Cyberbezpieczeństwa, która ma dostosować polskie prawo do dyrektywy NIS-2. Czy to dobrze, bo świadczy o tym, że Ministerstwo Cyfryzacji słucha uwag zgłaszanych w konsultacjach, czy też jednak tyle wersji projektu wprowadza chaos i utrudnia wcześniejsze przygotowanie się do nowej ustawy?

Tak, to już piąta wersja projektu ustawy. Pierwsza liczyła 129 stron, obecnie są to 144 strony. Projekt więc pęcznieje, ale za tym nie idzie jakość prawa. Wręcz przeciwnie, można odnieść wrażenie, że z każdą kolejną wersją pogłębia się chaos. Wcześniejsze wersje projektu, które publikowało Ministerstwo Cyfryzacji, były przedmiotem licznych uwag krytycznych, niestety – nie zostały one w żaden sposób uwzględnione.

Czytaj więcej

Opinie Prawne

Tomasz Siemiątkowski: Szkodliwa nadregulacja w sprawie cyberbezpieczeństwa

W kwestii cyberbezpieczeństwa jesteśmy świadkami próby legitymizacji kontrowersyjnych instytucji prawnych rzekomymi wymogami unijnymi. To przykład tzw. goldplatingu – mówi prof. Tomasz Siemiątkowski, adwokat.

Czego więc dotyczą zmiany, jeśli nie tego, co było krytykowane?

Niestety, odnotowałem, że w piątej wersji projektu ustawodawca złagodził, z korzyścią dla podmiotów publicznych, kryteria zaliczenia do grupy podmiotów kluczowych. Teraz niektóre z nich mogą być zaliczone do kategorii podmiotów ważnych, dzięki czemu zwłaszcza samorządowe osoby prawne mogą odetchnąć z ulgą. Czekają je uproszczone obowiązki w zakresie zarządzania cyberbezpieczeństwem. Projektodawca w dalszym jednak ciągu nie odpuszcza podmiotom prywatnym, które po wejściu w życie nowelizacji czeka rewolucja.

Zmiany, które znajdują się w projekcie 5.0, nie poprawiają wadliwych konstrukcji, które przyjął projektodawca w pierwotnej wersji projektu i których kurczowo się trzyma.

Czyli kolejne wersje projektu z punktu widzenia przedsiębiorców niewiele zmieniają?

Uważam, że regulację prawną cyberbezpieczeństwa trzeba stworzyć rozsądnie, napisać nową ustawę, a nie dokonywać łatania legislacyjnych dziur kolejnych wersji nowelizacji. Nasze państwo musi sprawnie reagować na zmieniającą się sytuację międzynarodową i zagrożenia cyberbezpieczeństwa. Takich szans nie daje obowiązujące prawo, a nowelizacja nie poprawia tego stanu. Projektodawca mylnie rozkłada akcenty. Z pewnym zaskoczeniem odnotowałem, że zamiast wsłuchać się w głosy krytyki fundamentalnych propozycji konstrukcyjnych w zakresie cyberbezpieczeństwa, twórcy kolejnego projektu wzbogacili go o… nowelizację ustawy o Państwowej Straży Pożarnej. W projekcie dodano przepisy przewidujące przyznanie strażakowi wykonującemu zadania z zakresu cyberbezpieczeństwa świadczenia teleinformatycznego. Czy naprawdę to są zagadnienia kluczowe dla cyberbezpieczeństwa Polski w aktualnej sytuacji geopolitycznej?

Czytaj więcej:

ABC Firmy

Cyberbezpieczeństwo. Prawniczka: nadregulacja uderzy w biznes

Pro

To nasza druga rozmowa na temat projektowanych zmian w ustawie o KSC. Podczas pierwszego wywiadu zarzucał pan projektowi naruszenie zasady proporcjonalności, nietransparentne kryteria działania organów administracji publicznej odpowiedzialnych za cyberbezpieczeństwo. Na ile pozostaje to aktualne dla najnowszej wersji?

W tej materii kolejne wersje projektu nie wprowadzają zauważalnej poprawy. Wręcz przeciwnie – w najnowszej wersji minister cyfryzacji uzyskał nową kompetencję, a mianowicie będzie mógł wstrzymać lub ograniczyć koncesję podmiotu kluczowego, zawiesić jego działalność, lub zakazać wykonywania funkcji zarządczych w podmiocie kluczowym na wypadek niewykonywania uprzednio wydanych nakazów lub decyzji. We wcześniejszych wersjach projektu te kompetencje posiadał organ koncesyjny lub sąd rejestrowy, które mogły działać na wniosek ministra cyfryzacji. To kolejne nietypowe ustrojowo rozwiązanie nowelizacji, w którym minister przejmuje kompetencje wyspecjalizowanych organów ochrony prawnej.

Projekt ustawy nie wycofuje się z kontrowersyjnej konstrukcji dostawcy wysokiego ryzyka (HRV – high risk vendor). Uznanie za takiego będzie się wiązało z koniecznością wymiany sprzętu czy oprogramowania tego dostawcy przez podmioty ważne i kluczowe.

Zostały utrzymane kontrowersyjne i budzące zastrzeżenia konstytucyjne rozwiązania, zgodnie z którymi przedsiębiorca może w przypadkach podlegających uznaniu ministra cyfryzacji zostać uznany za dostawcę wysokiego ryzyka. Projekt ustawy podtrzymuje wariant weryfikacji podmiotowej (osoby dostawcy), a decydujące znaczenie będą mieć kryteria kraju pochodzenia, co ma oceniać Kolegium ds. Cyberbezpieczeństwa, czyli ciało quasi-rządowe. Uważam, że w miejsce nieostrych kryteriów podmiotowych efektywniejszą ochronę państwa zapewniłby system weryfikacji przedmiotowej, czyli sprzętu, a nie osoby wykonawcy.

Czytaj więcej

Administracja państwowa

Z cyberbezpieczeństwem jest trochę jak z RODO. Dużo straszenia

Kwestie związane z cyberbezpieczeństwem to już nie tylko problem techniczny, lecz w dużej mierze poważne ryzyko biznesowe – mówi Paweł Śmigielski, ekspert ds. cyberbezpieczeństwa.

Zastrzeżenia komentatorów budziły rozwiązania proceduralne w tej kwestii.

W tym zakresie nie ma żadnej poprawy. Projekt podtrzymuje też niejasną, skomplikowaną i nietransparentną procedurę w sprawie dostawcy wysokiego ryzyka, o czym już wspomniałem w naszej ostatniej rozmowie. Warto dopowiedzieć, że chaos proceduralny zatruwa też inne procedury przewidywane w projekcie. Podmioty kluczowe i ważne zostały zobowiązane do samodzielnej oceny, czy spełniają kryteria definicji ustawowej, a jeżeli tak – to powinny same złożyć wniosek o wpis do wykazu podmiotów ważnych i podmiotów kluczowych, prowadzonego przez ministra cyfryzacji. Wątpliwości w świetle zasad poprawnej legislacji i zasady prawa do sądu budzi zwłaszcza założenie zawarte w projekcie, że wpis, zmiana wpisu oraz wykreślenie wpisu z wykazu jest „czynnością materialno-techniczną i ma charakter deklaratoryjny” bez równoczesnego dodania, iż wskazana czynność podlega skardze do sądu administracyjnego. Ponadto zastrzeżenia może budzić fakt, że w przypadkach odmowy wykreślenia z wykazu oraz wpisania do wykazu projektodawca wprost ustanowił formę „czynności z zakresu administracji publicznej”, a nie formę decyzji administracyjnej.

Co w tym złego?

Rezygnacja z formy decyzji administracyjnej stawia pod znakiem zapytania formę i podstawę prawną czynności wyjaśniających, jakie właściwy organ prowadzi celem zbadania, czy określony podmiot spełnia kryteria podmiotu kluczowego lub podmiotu ważnego; zastrzeżenie formy prawnej „czynności” w szczególności powoduje, że czynności wyjaśniające organu nie będą podlegać wymogom przewidzianym w kodeksie postępowania administracyjnego. W konsekwencji utrudniona bądź iluzoryczna może się stać następcza kontrola sądowoadministracyjna tak podjętej czynności dotyczącej odmowy wykreślenia lub wpisania do analizowanego wykazu. Sprawa procedury jest w tym przypadku niezwykle istotna, bo skala obowiązków nałożonych na podmioty zaliczone do kategorii „kluczowe/ważne” zatrważa. Szereg z tych obowiązków ma charakter administracyjny, dokumentacyjny, wymagają zasobów czasowych, kadrowych i finansowych. Nie sądzę, aby taka nadregulacja rzeczywiście zwiększała poziom cyberbezpieczeństwa. Skala nakładanych przez państwo obowiązków powinna być bardziej proporcjonalna i adekwatna do spodziewanych celów.

Czytaj więcej:

ABC Firmy

Nowa ustawa rządu w ogniu krytyki. Wymusi na firmach milionowe wydatki

Pro

A jakie obowiązki czekają na kierowników podmiotów ważnych i kluczowych?

Kierowników tych podmiotów i zarządy spółek czeka sporo żmudnej interdyscyplinarnej pracy wymagającej zespołów informatyków, prawników itd. Projektodawca określa obowiązki podmiotów kluczowych i ważnych w zakresie wdrażania systemu zarządzania bezpieczeństwem informacji, który musi obejmować szacowanie ryzyka, wdrażanie odpowiednich środków ochrony, monitorowanie zagrożeń oraz zarządzanie incydentami.

Kierownik podmiotu odpowiada za wdrożenie systemu, zapewnienie środków finansowych oraz nadzór nad cyberbezpieczeństwem, a raz w roku musi przejść obowiązkowe szkolenie. Ponadto podmioty kluczowe i ważne mają obowiązek współpracy, wymiany informacji o zagrożeniach oraz przechowywania i aktualizacji dokumentacji bezpieczeństwa systemu informacyjnego, a także umożliwienia użytkownikom zgłaszania cyberzagrożeń.

Czytaj więcej

Wicepremier, minister cyfryzacji Krzysztof Gawkowski podczas konferencji prasowej nt. cyberbezpiecze

Prawo w Polsce

Zmiany w systemie cyberbezpieczeństwa: niepełny kompromis i kontrowersje

Choć ministerstwo cyfryzacji uwzględniło sporo postulatów przedsiębiorców, np. w zakresie kontroli, kar i audytów, to przepisy budzące największe ich obawy nie będą zmienione.

Za naruszenie obowiązków czekają liczne sankcje. Czy nie są one zbyt surowe?

Rozwiązania projektu wpisują się w bardzo niekorzystne – z perspektywy standardu konstytucyjnego – zjawisko, które polega na wprowadzaniu dotkliwej odpowiedzialności administracyjnej w miejsce odpowiedzialności karnej, w której obowiązują m.in. zasady wyłączności niezawisłego sądu, zasady domniemania niewinności, zasady prawa do obrony, zasady zawinienia. Takich gwarancji nie przyznaje reżim odpowiedzialności administracyjnoprawnej z tytułu kar pieniężnych, która ma zasadniczo charakter obiektywny (niezależny od zawinienia) i jest orzekana przez organy administracji publicznej, co dopiero następczo podlega kontroli sądowoadministracyjnej. Stawia to podmiot zagrożony karą administracyjną w gorszej sytuacji prawnej, aniżeli miałby ją w przypadku zagrożenia sankcją prawa karnego. Ważkie wątpliwości rodzi obciążanie administracyjną karą pieniężną nie tylko podmiotu kluczowego czy podmiotu ważnego, ale również osoby fizycznej – kierownika podmiotu kluczowego/ważnego. Pociąganie osoby fizycznej do odpowiedzialności administracyjnej o charakterze majątkowym (pieniężnym), niezależnie od zawinienia, powinno być oceniane jako sprzeczne z art. 2 Konstytucji RP.

dr hab. Tomasz Siemiątkowski jest profesorem Szkoły Głównej Handlowej w Warszawie, kierownikiem Katedry Prawa Gospodarczego, adwokatem w Kancelarii Głuchowski Siemiątkowski Zwara

Czytaj więcej

Opinie Prawne

Bogusław Chrabota: Między cyberbezpieczeństwem i nadgorliwością

Przepisy o Krajowym Systemie Cyberbezpieczeństwa na równi winny służyć bezpieczeństwu i biznesowi. Tylko taka równowaga jest racjonalna.

biznes cyberbezpieczeństwo Regulacje legislacja przedsiębiorczość

Pozostało jeszcze 91% artykułu

Dodatki do emerytur i rent od 1 marca 2025. Ile wyniosą po waloryzacji?

Praca, Emerytury i renty

Dodatki do emerytur i rent od 1 marca 2025. Ile wyniosą po podwyżce?

Wraz z nadchodzącą waloryzacją rent i emerytur w górę pójdą także dodatki do tych świadczeń – na przykład dodatek pielęgnacyjny, dodatek dla sieroty zupełnej czy ryczałt energetyczny. Oto, jakich kwot od 1 marca mogą spodziewać się osoby uprawnione.

Od 25 lutego osoby, które chcą korzystać z mObywatela, muszą mieć jej aktualną wersję – oznaczoną nu

W sądzie i w urzędzie

Ważny komunikat w sprawie mObywatela. Termin mija już 25 lutego

Od 25 lutego osoby, które chcą nadal korzystać z aplikacji mObywatel, muszą mieć jej aktualną wersję. „Jeśli nie zaktualizujesz mObywatela przed 25 lutego, nie będziesz mieć dostępu do żadnych możliwości aplikacji i nawet się do niej nie zalogujesz” – czytamy na rządowej stronie info.mobywatel.gov.pl. Posiadacze starszych wersji mObywatela otrzymali powiadomienia o konieczności przeprowadzenia aktualizacji. Przy okazji wprowadzono do niej dwie nowości.

Prawo drogowe

Prawo jazdy mimo sądowego zakazu prowadzenia? Cwaniacy wykorzystują lukę

Po drogach jeżdżą kierowcy, którzy zdobyli prawo jazdy mimo orzeczonego przez sąd zakazu prowadzenia pojazdów. W systemie jest luka - twierdzi serwis brd24.pl.

Sądy i trybunały

Prawnicy kojarzeni z poprzednią władzą jednoczą siły. Inicjatywa wyszła z TK

W Trybunale Konstytucyjnym odbyło się w czwartek spotkanie z przedstawicielami organizacji skupiających prawników sympatyzujących lub kojarzonych z poprzednią władzą.

Konsumenci

Jest pierwszy „polski” wyrok dotyczący sankcji kredytu darmowego

W razie niewykonania obowiązku informacyjnego bank (lub pożyczkodawca) może zostać pozbawiony prawa do odsetek. Może tak być nawet wtedy, gdy indywidualna waga naruszenia tego obowiązku i jego konsekwencje dla konsumenta będą się różnić w zależności od przypadku - to sedno czwartkowego wyroku Trybunału Sprawiedliwości UE w pierwszej polskiej sprawie dotyczącej „darmowego” kredytu.

Materiał Promocyjny

Sprawdź atrakcyjne kursy walut. Wymieniaj walutę korzystnie i bezpiecznie

Plus Minus

Łukasz Pietrzak: Z narzędzi AI najbardziej skorzystają MŚP

Jak wynika z najnowszych danych Eurostatu w 2024 roku w Polsce ze sztucznej inteligencji sięgało zaledwie 6 proc. polskich przedsiębiorstw. W grupie małych i średnich przedsiębiorstw odsetek ten był jeszcze niższy.

dr Grzegorz Makowski, adiunkt w kolegium społeczno-ekonomicznym SGH

Magazyn o biznesie

Prezydent Trump otwiera szeroko drzwi korupcji

Czy prezydent Trump rozmontowuje swój system antykorupcyjny? Jaki wpływ ma zawieszenie przepisów antykorupcyjnych i likwidacja USAID? Jak wygląda sytuacja z korupcją w Polsce i Ukrainie? Na ten temat rozmawialiśmy w programie Rzecz o Biznesie. Gościem Aleksandry Ptak-Iglewskiej był dr Grzegorz Makowski, adiunkt w kolegium społeczno-ekonomicznym SGH.

Biznes

Negocjacje UE i USA w sprawie ceł – czy dojdzie do porozumienia?

Negocjacje celne między UE a USA nabierają tempa, polski przemysł AGD traci pozycję lidera na rzecz Chin, a wydatki na obronność w Polsce wzrosną do 5% PKB w 2026 roku. Jakie konsekwencje przyniosą te zmiany dla gospodarki?

Biznes

Trochę inna współpraca, czyli porozmawiajmy po partnersku

Partnerstwo publiczno-prywatne (PPP) jest formą realizacji inwestycji publicznych opartej na podziale zadań i ryzyk pomiędzy podmiotem publicznym i partnerem prywatnym.

Oświata i nauczyciele

Zmiany w Karcie Nauczyciela. Nadgodziny i zastępstwa do kontroli

Szykowane przez rząd zmiany w Karcie Nauczyciela mają pomóc zapanować nad sposobem rozliczania nadprogramowych godzin i zastępstwami pełnionymi np. przez psychologów kosztem ich własnej pracy. Ułatwią też dostęp do urlopu dla poratowania zdrowia.

Anna Podkowińska-Tretyn: Moim marzeniem jest, aby świadomość marnowania żywności zmieniała nasze cod

Biznes

Szefowa Too Good To Go: Marzy mi się świat, w którym nie marnuje się jedzenia

Staramy się podpowiadać, jak marnować mniej żywności, co można zrobić z produktami, które wydają się bliskie terminu ważności, oraz dzielimy się przepisami na wykorzystanie resztek - mówi Anna Podkowińska-Tretyn, szefowa Too Good To Go na Polskę i Czechy.

Biznes

UE rozważa gigantyczny pakiet pomocowy dla Ukrainy

Unia Europejska rozważa gigantyczny pakiet pomocy wojskowej dla Ukrainy o wartości 700 miliardów euro. Eksperci przewidują, że zakończenie wojny może wywołać odpływ ukraińskich pracowników z Polski, co wpłynie na rynek pracy. Chiny ograniczają eksport technologii do produkcji baterii, a Francja okazuje się głównym importerem rosyjskiego LNG w Europie.

Urząd Skarbowy przestrzega przed oszustami, którzy wysyłają maile podszywając się pod Krajową Admini

Podatki

Dostałeś maila o „zwrocie podatku”? Urząd skarbowy ostrzega

Na portalu e-Urzędu Skarbowego pojawił się komunikat dotyczący powrotu popularnego typu oszustwa. W wirtualnych skrzynkach pocztowych mogą pojawić się maile o potencjalnie niebezpiecznej zawartości. Na jakie wiadomości należy uważać?