Prof. dr hab. Maciej Rogalski, radca prawny, w rozmowie z ISBtech o najnowszej wersji projektu ustawy o zmianie ustawy krajowym systemie cyberbezpieczeństwa (KSC).
Czy powinna się odbyć kolejna tura konsultacji społecznych nowej wersji projektu KSC?
Tak, zdecydowanie powinny się odbyć ponowne konsultacje publiczne.
Nowa wersja z 15 marca 2022 r. projektu ustawy o zmianie ustawy krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw jest już 7 wersją zmian do ustawy o krajowym systemie cyberbezpieczeństwa. Konsultacje publiczne zostały przeprowadzone tylko raz, we wrześniu 2020 r. do pierwszej wersji Projektu. Nie zostały przeprowadzone formalne konsultacje publiczne do wersji projektu z 12 października 2021 r., pomimo że w tej wersji wprowadzono nowe przepisy dotyczące m.in.: strategicznej sieci bezpieczeństwa, spółki Polskie 5G, funduszu celowego na rzecz strategicznej sieci bezpieczeństwa czy rozdysponowania częstotliwości 700 MHz.
Najnowsza wersja noweli z dnia 15 marca 2022 r., zawiera nie tylko bardzo istotne zmiany przepisów w stosunku do poprzedniej wersji projektu tj. z 12 października 2021 r., ale pojawiają się w niej całkowicie nowe, liczne przepisy, których nie było w poprzednich wersjach, np. dotyczące obowiązków przedsiębiorców komunikacji elektronicznej.
Trafna jest więc konkluzja zawarta w podsumowaniu licznych uwag przedstawionych w stanowisku Rządowego Centrum Legislacji w piśmie z dnia 25 marca 2022 r. W piśmie tym RCL wskazuje na potrzebę „skierowanie przedmiotowego projektu do dodatkowych uzgodnień” „ze względu na znacznie zwiększoną objętość przedstawionego do zaopiniowania projektu ustawy (ponad dwukrotnie), względem wersji skierowanej pod obrady Stałego Komitetu Rady Ministrów w marcu 2021 r., biorąc pod uwagę skalę przedstawionych uwag i wątpliwości”.
Jaki może być wpływ ustawy o KSC na operatorów telekomunikacyjnych?
W Projekcie z 15 marca 2022 r. zmieniono art. 1 ustawy o krajowym systemie cyberbezpieczeństwa w ten sposób, że obecnie to k.s.c. będzie określać zadania i obowiązki przedsiębiorców komunikacji elektronicznej w zakresie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów. To odwrócenie dotychczasowej zasady, że do przedsiębiorców telekomunikacyjnych, poza pewnymi wyjątkami, nie stosuje się k.s.c. W konsekwencji dodany został nowy rozdział 4a pt. „Obowiązki przedsiębiorców komunikacji elektronicznej” (art. 20a-h), co jest właśnie konsekwencją wprowadzenia stosowania k.s.c. do przedsiębiorców komunikacji elektronicznej. Część tych obowiązków pokrywa się z obowiązkami przewidzianymi w projekcie ustawy Prawo komunikacji elektronicznej. Skreślony zostanie rozdział VIIa Prawa telekomunikacyjnego „Bezpieczeństwo i integralność sieci i usług telekomunikacyjnych”.
Nowy rozdział 4a Projektu zawiera 8 szeroko rozbudowanych artykułów. Zgodnie z tymi przepisami, przedsiębiorcy komunikacji elektronicznej będą zobowiązani m.in. do szacowania wystąpienia ryzyka wystąpienia sytuacji szczególnego zagrożenia i podejmowania działań minimalizujących (art. 20a Projektu); Prezes Urzędu Komunikacji Elektronicznej będzie mógł dokonywać oceny podjętych środków przez przedsiębiorców komunikacji elektronicznej w celu minimalizacji konsekwencji zaistnienia sytuacji szczególnego zagrożenia (art. 20b Projektu); na przedsiębiorcę komunikacji elektronicznej został nałożony obowiązek obsługi incydentu i poważne incydentu telekomunikacyjnego (art. 20c-f Projektu); przedsiębiorca komunikacji elektronicznej będzie musiał informować o zagrożeniach związanych z bezpieczeństwem korzystania z usług telekomunikacyjnych (art. 20g Projektu). Nastąpiło więc znaczące poszerzone dotychczasowych obowiązków przedsiębiorców telekomunikacyjnych.
Dodany został przez Projekt nowy art. 66a ust. 5 w następującym brzmieniu: „Do postępowania [1} może przystąpić, na wniosek, na prawach strony, przedsiębiorca telekomunikacyjny, który w poprzednim roku obrotowym, uzyskał przychód z tytułu prowadzenia działalności telekomunikacyjnej w wysokości co najmniej dwudziestotysięcznej krotności przeciętnego wynagrodzenia w gospodarce narodowej, wskazanego w ostatnim komunikacie Prezesa Głównego Urzędu Statystycznego, o którym mowa w art. 20 pkt 1 lit. a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (Dz. U. z 2022 r. poz. 504).” Rozwiązanie to należy ocenić co do zasady pozytywnie.
Niestety Projektodawcy zatrzymali się w pół kroku. Dopuścili bowiem do postępowania tylko największych przedsiębiorców telekomunikacyjnych. Rozwiązanie to budzić poważne wątpliwości co do zgodności z przepisami prawa, w tym Konstytucji i ukształtowanym orzecznictwem Trybunału Konstytucyjnego. Uznane może zostać za naruszające zasadę równości wobec prawa i niedyskryminacji. Wyklucza bowiem z udziału w tym postępowaniu podmioty, które nawet jeżeli są mniejsze z uwagi na przychody, to mogą posiadać interes prawny w udziale w postępowaniu, zgodnie z art. 28 kodeksu postępowania administracyjnego („k.p.a.”), lub z uwagi na społeczny charakter działalności, co gwarantuje im art. 31 k.p.k.
Czy nowa wersja ustawy o KSC w jakiś sposób może naruszać istniejące obecnie przepisy prawne?
Niestety z przykrością muszę stwierdzić, że kolejne wersje Projektu pogłębiają rozdźwięk, pomiędzy podstawowymi, ukształtowanymi od dawna i potwierdzonymi orzecznictwem sądowym, zasadami i standardami prawa, a „rozwiązaniami i konstrukcjami” przyjmowanymi w Projekcie, które kształtują na nowo instytucje i procedury postępowania, uzasadniając te wszystkie zmiany szczególnymi wymaganiami w zakresie bezpieczeństwa. Pomimo, że Projekt jest relatywnie niewielką regulacją prawną to lista odstępstw od podstawowych zasad prawnych jest już długa:
– wyłączonych ze stosowania zostało szereg przepisów k.p.a., w tym wspomnianych już art. 28, art. 31, a także art. 51, art. 66a i art. 79 k.p.k.
– stroną postępowania nie może być każdy, kto ma interes prawny, zgodnie z art. 28 k.p.a., ale tylko ten kogo dotyczy to postępowanie
– decyzji o wyłączeniu dostawcy z dostaw sprzętu nadawany jest rygor natychmiastowej wykonalności, którego wstrzymać nie może nawet sąd
– sprawa jest rozpatrywana przez sąd niejawnie
– podmiot, którego dotyczy wyrok, nie otrzyma pełnego uzasadnienia wyroku, tylko część jawną.
Można jeszcze by wymieniać inne odstępstwa od podstawowych reguł prawnych. Kluczowe jest jednak to, że są to odstępstwa, które po prostu ograniczają zainteresowanym podmiotom korzystanie z podstawowych praw gwarantowanych konstytucyjnie, przysługującym im w toku prowadzonych podobnych postępowań. Na niektóre z tych wadliwych rozwiązań w Projekcie zwracała nawet uwagę Rada Legislacyjna, np. na kwestię braku jawności postępowania. Należy więc postulować zmianę, w szczególności wskazanych odstępstw prawnych, gdyż po prostu w trybie kontroli konstytucyjnej czy nawet dokonywanej przez sąd powszechny, mogą zostać uznane za sprzeczne z Konstytucją.
[1] Postępowanie w zakresie oceny dostawcy sprzętu telekomunikacyjnego w zakresie uznania go jako dostawcę wysokiego ryzyka.
