- Polski rząd argumentuje, że projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) jest konieczny ze względu na rosnące zagrożenia cybernetyczne, zwłaszcza dla infrastruktury krytycznej
- Kluczowym i kontrowersyjnym elementem projektu jest instytucja Dostawcy Wysokiego Ryzyka (DWR), której rząd broni jako niezbędnego narzędzia prewencyjnego
- Krytycy projektu zarzucają mu „gold-plating”, czyli wyjście poza minimalne wymogi dyrektywy NIS2, rozszerzając regulacje na 18 sektorów gospodarki i przewidując dotknięcie ok. 38 tys. podmiotów
- Obawy budzą również uznaniowość regulacji, ograniczenie prawa do sądu i potencjalne naruszenie zasad państwa prawa, co może prowadzić do pozorności ochrony praw jednostki.
Argument rządu: bezpieczeństwo ponad wszystko
Przedstawiciele rządu, występujący m.in. podczas posiedzeń sejmowej Komisji Cyfryzacji, podnoszą przede wszystkim argument skali zagrożeń. Polska – jako państwo graniczne UE i NATO – ma być szczególnie narażona na cyberataki o charakterze hybrydowym, wymierzone w infrastrukturę krytyczną, administrację publiczną i sektor energetyczny. W tej logice minimalistyczne wdrożenie NIS2 byłoby zdaniem rządu niewystarczające.
Kluczowym (i jednym z bardziej kontrowersyjnych) elementem projektu jest instytucja Dostawcy Wysokiego Ryzyka (DWR). Podczas posiedzenia Komisji Cyfryzacji z 16 grudnia wiceminister cyfryzacji Paweł Olszewski jednoznacznie podkreślił, że DWR jest elementem „nie do ruszenia”, ponieważ państwo musi mieć możliwość prewencyjnego reagowania, a nie jedynie działania po wystąpieniu incydentu. Rząd argumentuje także, że wysokie kary administracyjne i szeroki katalog obowiązków nie są represją, lecz inwestycją w bezpieczeństwo, porównywalną do norm BHP czy ochrony środowiska. Bez realnych sankcji – jak twierdzą autorzy projektu – ustawa pozostałaby martwa.
Gdzie zaczyna się nadregulacja?
Krytycy nie kwestionują potrzeby wzmocnienia cyberbezpieczeństwa. Kwestionują natomiast sposób, w jaki rząd chce ten cel osiągnąć. Ich zdaniem projekt KSC jest klasycznym przykładem gold-platingu, czyli wyjścia poza minimalne wymogi prawa unijnego.
Dyrektywa NIS2 zakłada minimalną harmonizację, neutralność technologiczną i decyzje oparte na analizie ryzyka. Tymczasem polska ustawa wprowadza DWR w kształcie niewynikającym wprost z NIS2, a dodatkowo rozszerza rozwiązania wypracowane w ramach unijnego 5G Toolbox (dotyczącego telekomunikacji) na aż 18 sektorów gospodarki – od energetyki i bankowości po ochronę zdrowia, produkcję żywności i samorządy.
Jak szacuje prof. Maciej Rogalski, radca prawny z kancelarii Rogalski i Wspólnicy, regulacje mogą dotknąć około 38 tysięcy podmiotów z rozmaitych sektorów, począwszy od infrastruktury cyfrowej, a na przetwórstwie żywności kończąc. Prof. Paweł Wajda, adwokat i naukowiec z Uniwersytetu Warszawskiego, krytykuje projekt za nadmierne wzmocnienie obowiązków, co może być niezgodne z prawem unijnym i krajowym. Profesor konsekwentnie sprzeciwia się wykorzystywaniu unijnych regulacji jako pretekstu do forsowania przepisów dogodnych dla aktualnej władzy. W komentarzu cytowanym przez Business Insider Polska podkreślał on:
- Nie wolno nadinterpretować intencji ustawodawcy unijnego ani „udoskonalać” przepisów przez dopisywanie rozwiązań, które wykraczają poza to, co jest wymagane przez prawo UE. Zdaniem prawników właśnie z takim mechanizmem mamy do czynienia w KSC: państwo sięga po najdalej idące środki, mimo że NIS2 pozostawia przestrzeń dla rozwiązań bardziej elastycznych i mniej ingerujących w rynek.
Wyjątkowo ostro projekt oceniają przedstawiciele sektora cyfrowego. Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej (KIKE), mówi wprost: w tej ustawie polityka wygrywa z bezpieczeństwem Polaków. Skupień podkreśla, że NIS2 nie wymaga tak szerokiego zakresu regulacji, a polski projekt „dokłada kolejne obowiązki i sankcje bez wykazania realnych korzyści dla cyberbezpieczeństwa”. Jego zdaniem ustawa zwiększa uznaniowość administracji zamiast wzmacniać faktyczną odporność systemów.
Uznaniowe regulacje, ograniczone prawo do sądu
Jeszcze dalej idzie krytyka Andrzeja Sadowskiego, prezydenta Centrum im. Adama Smitha. W jego ocenie, projekt ustawy o KSC wprowadza niezwykle uznaniowe prawo. A każde uznaniowe prawo oznacza również upowszechnienie korupcji. Ekspert jest zdania, że proponowane prawo „pozwala wąskiej grupie urzędników decydować o dostępie do rynku w sposób arbitralny i poza realną kontrolą sądową”.
Szczególne wątpliwości budzą gwarancje procesowe. Projekt ogranicza stosowanie Kodeksu postępowania administracyjnego, zawęża krąg stron postępowania i dopuszcza niejawność uzasadnień decyzji – także na etapie sądowym. Rzecznik Praw Obywatelskich jeszcze w 2024 roku ostrzegał, że takie rozwiązania mogą prowadzić do pozorności prawa do sądu, co stoi w sprzeczności z konstytucyjnymi standardami ochrony praw jednostki.
Jaki musi być koszt naszego cyberbezpieczeństwa?
Spór o KSC nie dotyczy pytania, czy wzmacniać cyberbezpieczeństwo – co do tego panuje zgoda. Dotyczy natomiast granic ingerencji państwa. Krytycy wskazują, że projekt w obecnym kształcie wychodzi poza wymogi NIS2, zwiększa uznaniowość władzy wykonawczej i osłabia gwarancje procesowe, a tym samym ryzykuje naruszenie zasad państwa prawa. Rząd odpowiada, że w warunkach realnych zagrożeń bezpieczeństwo nie może być traktowane minimalistycznie.
Ostateczny kształt ustawy pokaże, czy Polska wybierze model cyberbezpieczeństwa oparty na proporcjonalności i analizie ryzyka, czy też na centralizacji decyzji i prewencyjnej kontroli rynku – czego boją się przedsiębiorcy.
Podcasty
Playlisty tematyczne
