Warszawa, 12 lutego 2021 r.
Stanowisko Związku Przedsiębiorców i Pracodawców ws. Projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy prawo telekomunikacyjne z dnia 20 stycznia 2021 roku
Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa już po raz drugi staje się przedmiotem analizy Związku Przedsiębiorców i Pracodawców. W ramach konsultacji społecznych odnoszących się do pierwszej wersji tego projektu, swoje komentarze zgłosiło wiele podmiotów, w tym również ZPP. Uwaga większości uczestników konsultacji koncentrowała się wokół procedury uznania dostawcy za dostawcę wysokiego ryzyka. Kwestia wykluczenia określonych dostawców sprzętu na terenie Unii Europejskiej jest tematem burzliwej dyskusji już od wielu miesięcy – zaproponowana w pierwotnym kształcie ustawy formuła zapewniała decydentom możliwość swobodnego manewru w warunkach zmieniającego się otoczenia geopolitycznego. ZPP rozumiejąc to podejście, jasno wyraził jednak w swoim stanowisku oczekiwanie, by procedura była ujęta w ramy gwarancji i reguł obowiązujących na gruncie Prawa przedsiębiorców i kodeksu postępowania administracyjnego.
Styczniowy projekt ustawy w pewnym stopniu spełnia powyższe oczekiwania (również w innych zakresach, takich jak m.in. wydłużenie okresu, w którym dopuszczalne jest wykorzystywanie sprzętu dostawcy uznanego za dostawcę wysokiego ryzyka), jednak należy zwrócić uwagę na elementy, które w naszym przekonaniu wymagają dalszych prac.
Przede wszystkim, niektóre z zaproponowanych rozwiązań sprawiają, że oparcie procedury uznawania dostawcy za dostawcę wysokiego ryzyko na przepisach KPA, może mieć w istocie charakter iluzoryczny. W tym zakresie, uwagę zwraca choćby umożliwienie odstąpienia od sporządzenia faktycznego uzasadnienia decyzji, czy też postanowienie, że decyzja ta będzie podlegała natychmiastowej wykonalności z mocy prawa. Pierwszy czynnik w praktyce ogranicza możliwość zaskarżania wydanych decyzji i budzi wątpliwości z punktu widzenia należytej ochrony podmiotów objętych decyzją. Drugi jest tym dalej idący, że w myśl projektu sąd administracyjny nie będzie mógł wstrzymać wykonalności takiej decyzji, po wniesieniu na nią skargi. Kombinacja tych czynników tworzy w naszym przekonaniu konstrukcję zbyt daleko idącą. Wydaje się, że należałoby rozważyć zastąpienie automatyzmu w zakresie nadawania decyzji rygoru natychmiastowej wykonalności, opcjonalnością tego rozwiązania, w ramach której statecznie decydowałby minister wydający decyzję. Analogiczne zastrzeżenie można poczynić w odniesieniu do poleceń zabezpieczających, w przypadku których również przewidziano mechanizm automatycznego nadawania rygoru natychmiastowej wykonalności.
Omówione wyżej regulacje powodują, że mimo uwzględnienia w projekcie ustawy bezpośredniego odniesienia do procedury administracyjnej, zakres ochrony podmiotów objętych postępowaniem jest znacznie ograniczony. Uważamy, że proponowane rozwiązania w zakresie automatycznej natychmiastowej wykonalności decyzji i poleceń zabezpieczających, przy jednoczesnym uniemożliwieniu wstrzymania ich wykonalności przez sąd, idą zbyt daleko i w nieproporcjonalny sposób ograniczają faktyczne możliwości odwoławcze dostawców. Co więcej, skargi od decyzji uznających dostawcę za dostawcę wysokiego ryzyka rozpoznawane mają być wyłącznie na posiedzeniach niejawnych.
Konkludując, wprowadzenie do projektu ustawy zastrzeżenia o stosowaniu odpowiednich przepisów dotyczących postępowania administracyjnego, nie powoduje utraty aktualności naszych uwag zgłoszonych w ramach konsultacji społecznych pierwszej wersji projektu. Wydaje się, że gwarantowane zasadami postępowania administracyjnego i ustawy Prawo przedsiębiorców prawa podmiotów, wobec których może zostać wydana omawiana decyzja, w dalszym ciągu nie są w należytym i wystarczającym stopniu zabezpieczone.
Uzupełniając powyższe, pragniemy zwrócić uwagę na możliwe konsekwencje potencjalnego wykluczenia z rynku niektórych dostawców produktów w branżach niezwiązanych bezpośrednio z szeroko pojętym sektorem informatycznym, czy telekomunikacyjnym. Istnieje np. prawdopodobieństwo, że producent objęty taką decyzją byłby dostawcą urządzeń ściśle specjalistycznych (bądź części do nich), niezbędnych dla procesu produkcyjnego określonych kategorii towarów. Sytuacja taka generowałaby ryzyko przerwy w dostawach – konkurencyjne zamienniki dla tego rodzaju części mogą nie istnieć, bądź ich zastosowanie mogłoby wymagać kompleksowych zmian technologicznych. Np. w przypadku leków szpitalnych każda zmiana w zakresie linii produkcyjnej powoduje zatrzymanie produkcji na dłuższy czas, a są to produkty decydujące o możliwości wykonywania rozmaitych procedur medycznych. Przewidziany w projekcie okres na wycofanie z użytkowania produktów zastrzeżonego producenta (jakkolwiek pozytywnie oceniamy fakt, że został wydłużony) może nie wystarczyć na skonstruowanie, wyprodukowanie i przetestowanie urządzeń alternatywnych. Wiązałoby się to z koniecznością przerwania produkcji, a skutki takiego stanu rzeczy w przypadku np. wspomnianych już leków i produktów leczniczych, mogłyby być katastrofalne. Zagrożenie jest tym większe, że projekt całkowicie abstrahuje od możliwości indywidualnego dokonywania analizy ryzyka przez podmioty. W tym kontekście zwracamy uwagę również na przewidziane w projekcie wyjątkowo wysokie – sięgające 3% światowego obrotu firmy – kary, które grozić będą również w przypadku, w którym realizacja obowiązku wycofania produktów określonych dostawców wiązałaby się z koniecznością zatrzymania produkcji kluczowych dóbr.
Zwracamy ponadto uwagę na fakt, że w treści projektu pojawiły się nowe – nieistniejące w pierwotnej wersji i przez to nieskonsultowane z partnerami społecznymi – elementy normujące operatora Sieci Komunikacji Strategicznej. Z uwagi na zakres tych przepisów i ich znaczenie dla rynku, dziwić musi fakt, że pojawiły się one w proponowanej regulacji dopiero po etapie formalnych konsultacji społecznych. O ile rozumiemy konieczność wydzielenia pewnych krytycznych fragmentów infrastruktury na potrzeby całkowicie bezpiecznej komunikacji strategicznej, o tyle zaproponowane przepisy wykraczają znacznie poza ten zakres. Przewidziane w przepisach kryteria kwalifikacji do świadczenia usług przez operatora SKS (będącego jednoosobową spółką Skarbu Państwa) są na tyle szerokie, że umożliwiają zakwalifikowanie wielu stanów faktycznych jako uzasadniających świadczenie usług właśnie przez operatora SKS, a nie funkcjonujący na rynku podmiot prywatny. Brak doprecyzowania regulacji w tym zakresie generuje istotne ryzyka z punktu widzenia zachowania konkurencyjności wewnątrz rynku telekomunikacyjnego w Polsce. Wydaje się zatem, że zasadne byłoby wydzielenie przepisów dot. operatora SKS do oddzielnego projektu ustawy, poddanego pełnym konsultacjom, ewentualnie przeprowadzenie ponownych oficjalnych konsultacji już procedowanego projektu.
Tytułem komentarza uzupełniającego zwracamy również uwagę na potrzebę doprecyzowania definicji produktu ICT, która w analizowanym projekcie nie odnosi się w żaden sposób do cech bądź przymiotów elementu lub grupy elementów systemu informatycznego, które wiązałyby się z uznaniem ich za produkt ICT.
Reasumując, apelujemy o kontynuowanie prac nad projektem, w tym w szczególności uruchomienie formalnych konsultacji dotyczących drugiej jego wersji oraz zorganizowanie konferencji uzgodnieniowej, w trakcie której podmioty uczestniczące w konsultacjach miałyby szansę dodatkowo uargumentować swoje stanowiska.