Rządowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, którego gospodarzem jest resort Krzysztofa Gawkowskiego, to cios wymierzony prosto w chińskich dostawców sprzętu i oprogramowania - słyszymy w biznesowych kuluarach. Skutki skracania łańcucha dostaw odczuje aż 38,5 tys. podmiotów z sektora prywatnego i publicznego.
Dostawcy wysokiego ryzyka
Rzeczony projekt ustawy zakłada wprowadzenie do porządku prawnego definicji dostawcy wysokiego ryzyka (DWR). W efekcie podmioty z kluczowych dla państwa sektorów (łącznie 18 - m.in. energetycznego, transportowego, bankowego, ochrony zdrowia, administracji publicznej, żywnościowego, pocztowego czy gospodarowania odpadami) nie będą mogły używać sprzętu i oprogramowania firm uznanych za DWR. Kto o tym zdecyduje?
Dalsza część artykułu pod materiałem wideo
Zgodnie z projektem ustawy powstanie instytucja, która w drodze decyzji administracyjnej będzie mogła decydować o tym, czy dany dostawca produktów, usług, procesów spoza Unii Europejskiej (UE) i Stanów Zjednoczonych jest dostawcą wysokiego ryzyka. W ustawie nie wpisano wprost Chin, ale wszyscy wiedzą, że właśnie o nie chodzi - mówi money.pl konstytucjonalista prof. Marek Chmaj.
Według firmy COIG w Polsce działa prawie 4 tys. podmiotów z kapitałem chińskim. Znakomita część importu z Państwa Środka to elektronika. Chińskie podzespoły, skomputeryzowane maszyny i komponenty są wykorzystywane m.in. w taśmach produkcyjnych, urządzeniach energetycznych, samochodach, maszynach budowlanych urządzeniach do przeprowadzania in vitro.
Z interpretacją konstytucjonalisty nie zgadza się wiceminister cyfryzacji Paweł Olszewski, opiekun projektu ustawy. W rozmowie z money.pl prezentują własną wykładnię:
Za dostawcę wysokiego ryzyka będzie mogła zostać uznana nie tylko firma chińska, a każda inna bez względu na kraj pochodzenia, w tym również firma polska. Procedura uwzględnia relacje z krajami UE oraz NATO, natomiast jest to jedna kwestia z wielu, które muszą zostać ustalone podczas sformalizowanej, wieloetapowej, indywidualnej procedury administracyjnej.
Zgodnie z projektem postępowanie będzie mogło być wszczęte z urzędu przez ministra cyfryzacji - np. w sytuacji, gdy otrzyma sygnały o potencjalnym zagrożeniu naruszenia bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, jak i na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa, czyli premiera.
Kary za niesubordynację
Jeżeli w trakcie takiego postępowania okaże się, że dostawca jednak nie stanowi zagrożenia, zostanie ono umorzone. Co w sytuacji, gdy firmy i instytucje korzystają już z oferty dostawców, których państwo dopiero uzna za ryzykownych? Zgodnie z projektem będą musiały wycofać zakupiony od niego sprzęt czy oprogramowanie w ciągu siedmiu lub czterech lat.
Jeśli tego nie zrobią, zapłacą karę: w przypadku podmiotów z sektorów kluczowych co najmniej 20 tys. zł, a z ważnych - co najmniej 15 tys. zł. Zgodnie z projektem kara może być kwotowa lub stanowić procent rocznych przychodów firmy. Zastosowanie będzie mieć kwota wyższa.
To nie wszystko. Jeśli firma nie dostosuje się i spowoduje "bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi, lub zagrożenie wywołania poważnej szkody majątkowej, lub poważne utrudnienia w świadczeniu usług", zapłaci nawet 100 mln zł kary.
Bezpieczeństwo nad swobodami
Resort cyfryzacji przekonuje, że sprzęt lub oprogramowanie będą wycofywane tylko w nadzwyczajnych przypadkach zagrożenia bezpieczeństwa państwa i obywateli. Zapewnia, że decyzję poprzedzi "rzetelne postępowanie administracyjne, angażujące wiele organów władzy publicznej, posiadających informacje niezbędne do podjęcia właściwego rozstrzygnięcia".
Większość krajów UE, które wdrożyły Toolboxa 5G (unijny zestaw środków dla cyberbezpieczeństwa sieci 5G - przyp. red.), wprowadziła tego typu rozwiązanie. Idziemy dokładnie środkiem drogi wytyczonej w dyrektywie NIS 2 (nowelizacji pierwszego europejskiego prawa dotyczącego cyberbezpieczeństwa - przyp. red.). Nie będziemy ani zbyt liberalni, ani zbyt konserwatywni - podkreśla w rozmowie z nami przedstawiciel resortu cyfryzacji z ramienia Platformy Obywatelskiej.
I dodaje: - kwestie bezpieczeństwa w przypadku kolizji (interesów - przyp. red.) powinny mieć pierwszeństwo przed swobodą działalności, co wynika z Konstytucji. Ostatecznie kwestia bezpieczeństwa dotyczy również przedsiębiorców jako członków społeczeństwa.
Rzecz w tym, że prawo unijne opiera się na swobodach, w tym również na swobodzie prowadzenia działalności czy swobodzie świadczenia usług. Jak tłumaczy money.pl prof. Chmaj, jeśli jedno z państw wprowadza do prawa definicję DWR, to oznacza, że zamyka się na określone usługi i produkty i tym samym ogranicza unijnym podmiotom działającym w Polsce dostęp do dostawców, z którymi one może chcą współpracować.
Jakie mogą być tego skutki uchwalenia tych przepisów? Zdaniem prawnika daleko idące podmioty uznane za dostawców wysokiego ryzyka nie będą mogły odwołać się od decyzji na drodze sądowej. Będą mogły jedynie wnioskować o ponowne rozpatrzenie sprawy przez tę samą instytucję, która wcześniej uznała ich za ryzykowne.
- Jeśli ustawa zostanie uchwalona w obecnym kształcie, może zostać uznana za niezgodną z konstytucją przez polski Trybunał Konstytucyjny. Może być też przedmiotem postępowań UE. Zakładam, że projekt ustawy będzie notyfikowany w Komisji Europejskiej, więc może zostać na tę ustawę złożona skarga do Trybunału Sprawiedliwości Unii Europejskiej (TSUE), a to są już bardzo poważne kwestie - ostrzega prof. Chmaj.
- TSUE stoi na straży jednolitości prawa europejskiego i przestrzegania traktatów. Jeśli my wprowadzimy przepisy, które uderzają w podmioty z jednego państwa, to ono uzna, że my je dyskryminujemy gospodarczo, a na spory gospodarcze z Chinami to chyba nas nie stać - dodaje ekspert.
Czas nagli
Każdy zainteresowany podmiot mógł przesłać uwagi do projektu resortowi cyfryzacji do 24 maja. Wiceminister Olszewski zapewnia, że wszystkie zostaną przeanalizowane, a uwzględnione - tylko te, które będą zasadne.
Zaktualizowaną wersję projektu powinniśmy poznać w ciągu kilku najbliższych tygodni. Według agendy rząd musi uchwalić przepisy do października. Czy zdąży?
- Chciałbym, abyśmy uchwalili ustawę do końca roku, o ile nic nadzwyczajnego się nie wydarzy. Miesięczne vacatio legis plus pół roku na dostosowanie to wystarczająco dużo czasu na przystosowanie się nowych wymogów prawnych - odpowiada wiceminister.
Polska jest jednym z ostatnich krajów, który tych rozwiązań jeszcze nie wdrożyły. Do czerwca ubiegłego roku 21 członków UE przyjęło przepisy w zakresie oceny profili dostawców i ograniczeń dla dostawców wysokiego ryzyka.
Według wiceministra Olszewskiego wiele z nich - np. Dania, Holandia i Litwa - przyjęło rozwiązania zbliżone do tych, które proponuje polskie Ministerstwo Cyfryzacji.
Zapewniam, że staramy się zrobić absolutnie wszystko, aby zabezpieczyć konkurencyjność podmiotów i nikogo nie dyskryminować. W tym celu w Kolegium ds. cyberbezpieczeństwa zasiądzie prezes Urzędu Ochrony Konkurencji i Konsumentów (UOKiK) i będzie jednym z organów przedstawiających swoje stanowisko podczas postępowania - mówi polityk.
Wojna handlowa z Chinami?
Te słowa nie przekonują jednak prof. Chmaja. - Protestowaliśmy, gdy PiS chciało takie przepisy przeforsować, podnosząc argument, że są niezgodne z konstytucją. A teraz, gdy wartości konstytucje są dla nas absolutnie cenne, dopuszczamy projekt ustawy, który powiela błędy poprzedników. Zakładam, że ministra cyfryzacji wprowadzono w błąd, że nie ma pełnej wiedzy na temat skutków tej ustawy - mówi nam konstytucjonalista.
Przypomnijmy: przepisy o krajowym systemie cyberbezpieczeństwa usiłował znowelizować rząd Zjednoczonej Prawicy. Prace nad projektem koordynował ówczesny minister cyfryzacji Janusz Cieszyński. Choć projekt doczekał się kilku wersji, ostatecznie - 11 września 2023 r., czyli niedługo przed końcem kadencji Sejmu - wycofano go z prac legislacyjnych
Pojęcie DWR wprowadzał zarówno wcześniejszy, jak i obecny projekt ustawy. Z tą różnicą, że wcześniej proponowane przepisy odnosiły się tylko do dostawców usług i sprzętu w branży telekomunikacyjnej. Z tego też względu o ustawie mówiło się potocznie lex Huawei. Teraz proponowane przepisy rozszerzono na 18 sektorów gospodarki. Stąd przyjęte w kuluarach potoczne określenie lex China.
Karolina Wysota, dziennikarka money.pl