Mec. Wąsowski o nowelizacji ustawy o KSC: piękne hasła maskują brutalną rzeczywistość proceduralną!

Parlament przyjął pod koniec stycznia ustawę o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Ustawa została przekazana prezydentowi do podpisu. Jeśli wejdzie w życie, przed tysiącami polskich firm stanie bezprecedensowe widmo wywłaszczenia, usunięcia kwestionowanego „w trybie natychmiastowej wykonalności” sprzętu. Na temat wadliwych elementów tej ustawy rozmawiamy z mec. Krzysztofem Wąsowskim, autorem miażdżącej opinii prawnej dotyczącej nowelizowanych przepisów KSC.

Maciej Wośko, wGospodarce.pl: Jedenaście kluczowych organizacji zrzeszających polski biznes, w tym m.in. Związek Pracodawców BCC, Federacja Przedsiębiorców Polskich, Polska Izba Handlu, Federacja Przedsiębiorcy.pl i Krajowa Izba Komunikacji Ethernetowej, wystosowało do Prezydenta RP „apel w przedmiocie braku pionowej zgodności z Konstytucją RP norm ustawy z dnia 23 stycznia 2026 r.”. Największe kontrowersje wzbudza instytucja dostawcy wysokiego ryzyka, określana skrótem DWR. Według sygnatariuszy apelu wprowadzenie tej instytucji do polskiego porządku prawnego „będzie prowadziło do faktycznego wywłaszczenia polskich przedsiębiorców korzystających ze sprzętu elektronicznego wskazanego przez Ministra Cyfryzacji z ich własności”.

Mecenas Krzysztof Wąsowski: Ten apel to swego rodzaju głos rozsądku polskiego biznesu, którego nie sposób zignorować. Mówimy tu o bezprecedensowej koalicji – od BCC, przez KIKE, po Polską Izbę Handlu. Ci przedsiębiorcy doskonale rozumieją, że termin „wywłaszczenie” nie jest tutaj figurą retoryczną, ale realną oceną prawną. Jeśli państwo mówi właścicielowi legalnie nabytego, sprawnego sprzętu: „musisz go wyrzucić i zniszczyć”, a jednocześnie dodaje: „nie dostaniesz za to ani złotówki”, to w języku prawa konstytucyjnego nazywamy to wywłaszczeniem faktycznym (de facto expropriation). Problem w tym, że art. 21 Konstytucji RP pozwala na wywłaszczenie tylko za słusznym odszkodowaniem. Ustawa o KSC tego warunku nie spełnia, dlatego obawy przedsiębiorców są w pełni uzasadnione.

Przygotował pan opinię prawną dla Krajowej Izby Komunikacji Elektronicznej, z której wynika wprost, że proponowana w nowelizacji o Krajowym Systemie Cyberbezpieczeństwa „procedura nakazu wycofania sprzętu narusza konstytucyjną ochronę prawa własności, stanowiąc w istocie bezprawne (pośrednie) wywłaszczenie przedsiębiorców pod pozorem regulacji administracyjnej, bez zagwarantowania im słusznego odszkodowania.” To mocny argument do zawetowania tej ustawy?

W moim przekonaniu jest to argument bardzo istotny. Należy przypomnieć, że zgodnie z naszą ustawą zasadniczą to Prezydent RP jest jej strażnikiem. Jeśli ustawa w sposób oczywisty godzi w prawo własności i zasadę proporcjonalności, to Prezydent nie tylko może, ale wręcz powinien interweniować. Nakaz usuwania sprzętu w połowie jego cyklu życia technicznego – w telekomunikacji czy energetyce to perspektywa 15–20 lat – bez mechanizmu prawnego kompensacyjnego, to systemowe bezprawie. Podpisanie takiej ustawy naraziłoby Skarb Państwa na falę pozwów odszkodowawczych, które finalnie obciążą wszystkich podatników. Weto lub skierowanie ustawy do Trybunału Konstytucyjnego to jedyny sposób na zatrzymanie tego niebezpiecznego mechanizmu.

»» O nowelizacji ustawy o KSC czytaj tutaj:

Konstytucyjny alarm biznesu. Nowelizacja KSC to „wywłaszczenie” przedsiębiorców?

„Nowe przepisy pozwolą wskazać producentów sprzętu i oprogramowania, którzy mogą zagrażać bezpieczeństwu kluczowych systemów państwa. Dzięki temu najważniejsze usługi, z których korzystają wszyscy obywatele - od dostaw energii i wody po bankowość - będą lepiej chronione przed cyberatakami i ingerencją z zewnątrz” – to cytat ze strony ministerstwa cyfryzacji. Jak rozumiem – jednym z głównych zarzutów wobec nowych przepisów jest fakt, że minister (urzędnik) arbitralnie podejmuje decyzję w trybie natychmiastowej wykonalności o wskazaniu DWR?

Dokładnie tak. Piękne hasła o „bezpieczeństwie obywateli” maskują tutaj brutalną rzeczywistość proceduralną. Organ administracji publicznej (władzy wykonawczej) otrzymuje do ręki swego rodzaju „przycisk atomowy”. Decyzja o uznaniu dostawcy za „dostawcę wysokiego ryzyka” (DWR) ma rygor natychmiastowej wykonalności. Co to oznacza w praktyce? Że zanim niezawisły sąd zdąży w ogóle przyjrzeć się sprawie (co w Polsce trwa średnio 1,5 do 2 lat), „wyrok” na sprzęt i dostawcę zostanie już wykonany. Infrastruktura zostanie usunięta, a rynek przejęty przez konkurencję. To jest prawna metoda faktów dokonanych. W państwie prawa kontrola sądowa nie może być fasadowa – a tutaj taka właśnie będzie, bo sąd ocenia zgliszcza po wykonanej decyzji administracyjnej. Warto też przypomnieć, że rygor natychmiastowej wykonalności był stosowany w sytuacjach nadzwyczajnych ściśle prawnie określonych.

Według pana opinii, nowe prawo obejmie aż 40 tysięcy firm i instytucji w Polsce. Czy to oznacza, że nawet lokalna mleczarnia, piekarnia czy firma wywożąca odpady, uznana za „ważną dla bezpieczeństwa państwa” będzie musiała spełniać te wszystkie surowe wymogi związane z cyberbezpieczeństwem?

Niestety tak. To jest klasyczny przykład tzw. _gold-platingu-, czyli unijnej nadgorliwości. Niemcy, mając gospodarkę o wiele większą, ograniczyły te restrykcje (odpowiednik naszego DWR) do niespełna dwóch tysięcy podmiotów infrastruktury krytycznej. Polski ustawodawca poszedł „na szeroko”, wciągając do systemu 19 sektorów gospodarki, w tym produkcję żywności czy gospodarkę odpadami. W efekcie lokalny dostawca internetu czy zakład komunalny będzie musiał spełniać rygory, które pierwotnie projektowano dla rdzenia sieci 5G czy elektrowni atomowych. To absurd, który sparaliżuje małe i średnie firmy kosztami audytów i wymiany sprzętu.

»» O nowelizacji ustawy o KSC czytaj tutaj:

Cyber-nowelizacja, która zaszkodzi biznesowi

Wspomina pan o ogromnych kosztach wymiany ciągle sprawnego sprzętu i o tym, że rząd nie odda ani grosza. Czy jeśli np. lokalna firma wodociągowa albo dostawca internetu zostaną zmuszeni do wyrzucenia dobrych urządzeń na śmietnik, to polscy obywatele odczują to w wyższych rachunkach za wodę i internet?

Ekonomia jest nieubłagana. Żadna firma, a zwłaszcza lokalny dostawca internetu czy wodociągi, nie ma w szufladzie wolnych milionów na wymianę sprawnej infrastruktury. Te koszty – nazywane CAPEX – zostaną w stu procentach przerzucone na klienta końcowego. Zapłacimy za to w wyższym abonamencie za internet, w cenie wody i ścieków, czy w cenie żywności. Rządowa Ocena Skutków Regulacji (OSR) to w tym zakresie fikcja literacka, bo całkowicie pominęła ten aspekt, udając, że koszty dotyczą tylko zakupu biurek dla urzędników. To ukryty podatek nałożony na obywateli pod hasłem cyberbezpieczeństwa.

Czy taki „zakazany” serwer albo router będzie można sprzedać innemu przedsiębiorcy? Czy ustawa nakazuje jego „wyeliminowanie” z obiegu?

Taki sprzęt otrzymuje swoisty „wilczy bilet”. Ustawa nakazuje jego wycofanie z użytkowania. W praktyce będzie to oznaczać konieczność jego utylizacji. Nie można go sprzedać innemu podmiotowi objętemu ustawą (a jest ich 40 tysięcy!), a nawet sprzedaż za granicę czy do podmiotu nieobjętego ustawą będzie w zasadzie niemożliwa, bo stygmat DWR czyni ten sprzęt „toksycznym” rynkowo. To jest nakaz zniszczenia mienia, bez żadnej rekompensaty za jego wartość rezydualną.

Nowe regulacje zakładają kary sięgające nawet 10 milionów euro. Czy pana zdaniem perspektywa takiej kary ma wywołać efekt mrożący? Przecież taka kara może zniszczyć każdą lokalną firmę.

Oczywiście. To jest bat na przedsiębiorców. Dla lokalnej firmy telekomunikacyjnej zrzeszonej w KIKE kara rzędu 10 mln euro czy 2 proc. obrotu to wyrok śmierci, upadłość. Taka konstrukcja przepisów – niejasne kryteria, szeroki zakres podmiotowy i drakońskie kary – ma zmusić firmy do nadgorliwości. Przedsiębiorcy będą usuwać sprzęt „na wszelki wypadek”, bojąc się ryzyka, nawet jeśli ten sprzęt jest bezpieczny. To nie ma nic wspólnego z racjonalnym zarządzaniem ryzykiem, to zarządzanie strachem.

Z Pana analizy wynika, że o tym czy dany sprzęt jest „zły”, nie decyduje jego usterka, ale to, skąd pochodzi firma. To decyzja, która ma charakter geopolityczny i dyskryminacyjny. Czy Polacy będą faktycznie bardziej bezpieczni? Czy może po prostu staną się zakładnikami wielkiej polityki i arbitralnych decyzji rządu, ministra czy urzędnika?

Polacy staną się zakładnikami wielkiej polityki. Kryteria oceny DWR w ustawie są geopolityczne („prawdopodobieństwo wpływu państwa”), a nie techniczne. Nie trzeba udowodnić, że router ma „tylną furtkę” czy awarię. Wystarczy, że producent ma centralę w kraju, który politycznie „podpadnie”. To jest dyskryminacja. Prawdziwe bezpieczeństwo buduje się na weryfikacji kodu, certyfikatach i testach, a nie na paszportach korporacyjnych. Wyrzucenie jednego dostawcy i zastąpienie go monokulturą innego (często droższego) wcale nie zwiększa bezpieczeństwa sieci, a jedynie uzależnia nas od jednego źródła.

Ostrzega pan, że rząd nie dopełnił formalności w Brukseli? Co to oznacza w praktyce, jeśli chodzi o ustalenie instytucji „dostawców wysokiego ryzyka”?

To jest „opcja atomowa” w prawie unijnym. Przepisy nakazujące usuwanie sprzętu są tzw. przepisami technicznymi. Zgodnie z Dyrektywą TRIS, rząd musiał je notyfikować (zgłosić) Komisji Europejskiej. Nie zrobił tego. Zgodnie z orzecznictwem Trybunału Sprawiedliwości UE, nienotyfikowane przepisy są bezskuteczne wobec jednostek. Oznacza to, że każdy przedsiębiorca, który dostanie decyzję nakazującą usunięcie sprzętu, będzie mógł pójść do sądu i powiedzieć: „ta ustawa mnie nie obowiązuje, bo rząd naruszył procedurę unijną”. I sąd będzie musiał przyznać mu rację. Grozi nam paraliż prawny całej ustawy.

Pełny tekst opinii prawnej na stronach Krajowej Izby Komunikacji Elektronicznej: https://kike.pl/2026/02/ksc-wskazujemy-kolejne-wady-opinia-prawna-dr-wasowskiego/

Czy pana zdaniem weto prezydenta jest w przypadku ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, uchwalonej przez Sejm 23 stycznia 2026 r. jest zasadne? Czego możemy się spodziewać?

Nie chcę sugerować Panu Prezydentowi z jakiej swej prerogatywy winien w tym wypadku skorzystać. Niewątpliwie weto jest jedną z takich możliwości. Inną jest zwrócenie się przez Pana Prezydenta do Trybunału Konstytucyjnego o zbadanie treści tej ustawy (jej konkretnych przepisów) z Konstytucją RP, w tak zwanym trybie prewencyjnym. Ustawa w obecnym kształcie jest obarczona wieloma – delikatnie mówiąc – niedociągnięciami prawnymi. Według mnie jest w wielu miejscach (i to tych kluczowych z gospodarczego punktu widzenia) po prostu niekonstytucyjna i naruszająca prawo unijne. Wierzę, że doradcy Pana Prezydenta szczegółowo przeanalizują wszelkie wątpliwości wyrażone jeszcze na etapie parlamentarnego procesu legislacyjnego a także wyrażone w jasnych stanowiskach organizacji przedsiębiorców. Ufam też, że Pan Prezydent mając rzetelnie przedstawioną sytuację związaną z konsekwencjami, które niesie ten akt prawny – podejmie dobrą dla Polski decyzję.

Rozmawiał Maciej Wośko, redaktor naczelny wGospodarce.pl

»» Odwiedź wgospodarce.pl na GOOGLE NEWS, aby codziennie śledzić aktualne informacje