Cyberbezpieczeństwo czy gospodarczy paraliż? Kontrowersje wokół nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństw

Podczas ostatniego posiedzenia Parlamentarnego Zespołu do spraw wolności, badań, publikacji i debaty publicznej, które odbyło się 14 stycznia, niezwykle ostro wybrzmiała krytyka dotycząca wychwalanego przez polityków koalicji rządzącej projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Eksperci oraz przedstawiciele sektora prywatnego alarmują, że nowe przepisy, mające być jedynie teoretycznie implementacją unijnej dyrektywy NIS 2, w rzeczywistości wprowadzają nadregulację, która uderzy w tysiące polskich firm. Skutki finansowe proponowanych zmian szacowane są w miliardach złotych, a brak rzetelnej oceny wpływu na małe i średnie przedsiębiorstwa budzi poważne obawy o stabilność rodzimego rynku.

Z artykułu dowiesz się:

• Dlaczego nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa jest uważana za niezgodną z Konstytucją RP.

• Czemu nie przeliczono kosztów nowelizacji dla przedsiębiorców.

• Czym jest mechanizm dostawcy wysokiego ryzyka i dlaczego budzi on obawy o ręczne sterowanie rynkiem oraz korupcję.

• W jaki sposób nowe prawo może wykluczyć małe i średnie przedsiębiorstwa z możliwości obrony swoich interesów przed sądem.

Legislacyjna droga na skróty

Jednym z głównych zarzutów podniesionych podczas debaty była niewłaściwa forma prawna zmian. Zgodnie z zasadami techniki prawodawczej, przy tak dużej skali modyfikacji i wcześniejszych licznych nowelizacjach, rząd powinien przygotować ustawę od początku.

Zgodnie ze sztuką i rozporządzeniem zasad techniki prawodawczej, w przypadku nowelizacji ustawy, uprzednio wielokrotnie nowelizowanej powinna być przygotowana nowa ustawa - wyjaśniał Włodzimierz Skalik, przewodniczący Parlamentarnego Zespołu do spraw wolności, badań, publikacji i debaty publicznej.

Mnie martwiło to, że uczestnicząc w posiedzeniu sejmowej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii, dostrzegałem, zwłaszcza ze strony rządowej, zupełną ignorancję i dążenie do przerywania, niedopuszczania do dyskusji. I stąd posiedzenie naszego Zespołu w tej sprawie.

Kolejną fundamentalną wadą projektu jest niezgłoszenie przepisów dotyczących usuwania sprzętu i brak ich uzasadnienia w Komisji Europejskiej.

Brak takiej notyfikacji zgodnie z ukształtowanym orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej (…) oznacza to, że została naruszona dyrektywa (z 9 września 2015 roku ustanawiających procedurę udzielenia informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego) i może to oznaczać brak obowiązku stosowania takich przepisów - argumentował prof. Maciej Rogalski, rektor uczelni Łazarskiego i radca prawny.

Finansowe obciążenia bez rzetelnej oceny skutków

Przedsiębiorcy zwracają uwagę na drastyczne niedoszacowanie lub wręcz pominięcie kosztów, jakie poniosą polskie firmy w wyniku wdrożenia przepisów. Choć oficjalne dane mówią o ponad 41 tysiącach podmiotów objętych regulacjami, niektóre szacunki wskazują nawet na 60 tysięcy firm z 18 sektorów gospodarki.

Koszty wycofania sprzętu będą jednak dotkliwe także dla małych i średnich przedsiębiorców.

Tylko w sieciach stacjonarnych, tylko w telekomunikacji mówimy o nawet 10 miliardach zł. W tych 18 sektorach to jest ze trzy razy więcej – alarmował Karol Skupień, prezes Krajowej Izby Komunikacji Ethernetowej.

Dostawcy wysokiego ryzyka czyli ręczne sterowanie gospodarką

Najwięcej kontrowersji wzbudza procedura uznawania podmiotów za tzw. dostawców wysokiego ryzyka (DWR), która w opinii uczestników spotkania daje urzędnikom niemal nieograniczoną władzę nad rynkiem. Krytycy wskazują, że decyzje o wykluczeniu konkretnych producentów będą miały charakter arbitralny i polityczny, a nie techniczny.

To jest gospodarka stricte komunistyczna. Nie można w państwie prawa, w państwie demokratycznym w ten sposób tworzyć gospodarki, gdzie minister ręcznie zdecyduje, komu wolno pracować, komu nie – wyjaśniał prezes Karol Skupień. System uderza również w podstawowe prawa procesowe, ograniczając małym firmom możliwość udziału w postępowaniach i odwoływania się od krzywdzących decyzji.

Jeżeli w tym momencie rzeczywiście wejdzie ustawa w tym kształcie, blisko 40 tysięcy podmiotów, bo również obejmie te małe podmioty handlu detalicznego, handlu hurtowego w Polsce, co finalnie spowoduje dodatkowy wzrost kosztów – ostrzegał Maciej Ptaszyński, prezes Polskiej Izby Handlu.

Zagrożenie dla edukacji i polskiej konkurencyjności

Projekt ustawy nakłada nowe obowiązki również na podmioty sektora publicznego, w tym potencjalnie na szkoły i uczelnie, które już teraz borykają się z niedoborami kadrowymi i finansowymi. Eksperci ostrzegają, że zamiast realnego zwiększenia bezpieczeństwa, przepisy mogą doprowadzić do drenażu kapitału z polskich firm i osłabienia ich pozycji względem zagranicznych molochów.

Moje obawy dotyczą również tego, kto będzie w naszych firmach, instytucjach publicznych zajmował się wdrażaniem tych zapisów dyrektywy NIS 2 – wyjaśniała Agnieszka Macek, przedstawicielka sektora edukacji klas mundurowych, sygnalizując potężne braki w krajowych kadrach wysokospecjalistycznych stanowisk z dziedziny cyberbezpieczeństwa.

Podsumowując, uczestnicy wezwali do wycofania szkodliwych, nadregulacji w polskim projekcie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa i ograniczenia się do niezbędnego minimum zmian wymaganych przez unijną Dyrektywę NIS 2, aby chronić rodzimą przedsiębiorczość przed nieuzasadnioną opresją administracyjną.

Zespół wGospodarce.pl

Zapis posiedzenia Parlamentarnego Zespołu do spraw wolności, badań, publikacji i debaty publicznej dostępny na stronie: Sejm