Rząd wydłuża konsultacje nad ustawą o cyberbezpieczeństwie. Może ona doprowadzić do wzrostu cen usług telekomunikacyjnych

– Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa nie spełnia wymogów legislacyjnych – alarmuje Michał Kuliński, adwokat i wspólnik w Kancelarii BBK. Brakuje w nim odpowiedniego uzasadnienia i rzetelnej oceny skutków proponowanych zmian. Eksperci krytykują też krótki czas konsultacji, początkowo przewidziany tylko na 14 dni, a teraz wydłużony do 6 października. – To istotny projekt, który może mieć dalekosiężne skutki i wprowadza nowe, niestosowane do tej pory regulacje i ingerencje w gospodarkę – mówi prawnik.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma wdrożyć zalecenia i standardy opublikowane w tzw. 5G Toolbox, czyli zestawie narzędzi przygotowanych przez Komisję Europejską i Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Wątpliwości ekspertów budzi przygotowanie projektu od strony legislacyjnej.

– Projekt zgłaszany do Sejmu powinien mieć uzasadnienie, a w nim powinno znajdować się określenie przewidywanych skutków gospodarczych, społecznych, prawnych i finansowych wprowadzanych zmian. W tym projekcie uzasadnienie ma półtorej strony A4, na której znajduje się informacja, że wszyscy będą zadowoleni i na wszystkich zmiany proponowane w projekcie wpłyną pozytywnie – mówi agencji Newseria Biznes dr Michał Kuliński, adwokat i wspólnik w Kancelarii BBK.

Jak podkreśla, w uzasadnieniu nie uwzględniono w ogóle wpływu nowych przepisów na prawa konkurencji i wolności gospodarczej, a także na międzynarodowe zobowiązania wiążące Polskę, natomiast skutki gospodarcze i prawne potraktowano zbyt powierzchownie.

– Jako skutki gospodarcze wymieniono to, że operatorzy będą musieli dołożyć starań, by poprawić kwestię cyberbezpieczeństwa, ale to jest z korzyścią dla nich, bo zwiększy to ich bezpieczeństwo oraz zaufanie osób trzecich. I tyle. Natomiast ocena skutków prawnych to są tylko cztery ogólnikowe zdania – mówi adwokat.

Podkreśla, że również w ocenie skutków społecznych zabrakło uwzględnienia konsekwencji decyzji Kolegium ds. Cyberbezpieczeństwa. Zgodnie z nowelizacją organ ten otrzyma kompetencje do oceny ryzyka dostawców sprzętu lub oprogramowania istotnego dla krajowego cyberbezpieczeństwa i bezpieczeństwa narodowego. Kolegium będzie oceniać ryzyko dostawcy trzystopniowo. Najwyższy stopień jest przewidziany dla firm, które stanowią poważne zagrożenie dla cyberbezpieczeństwa państwa i jednocześnie zmniejszenie poziomu tego ryzyka przez wdrożenie środków technicznych lub organizacyjnych nie jest możliwe. Dostawca uznany za zagrożenie zostanie odcięty od kontraktów na sprzęt, oprogramowanie i usługi. Co więcej, operatorzy będą mieli pięć lat na usunięcie produktów, które już zostały dostarczone przez tę firmę.  

– Niewątpliwie wpłynie to na operatorów. Zresztą oni sami podkreślają, że to będą ogromne koszty związane z utopionymi inwestycjami, które trzeba będzie powtórzyć. W gospodarce wolnorynkowej te koszty muszą zostać przerzucone na klientów końcowych, a klientem końcowym telekomów, całej branży telekomunikacyjnej są wszyscy Polacy. Każdy korzysta z telefonów, sieci, internetu, więc wszyscy poniosą koszty. To jest właśnie jeden z podstawowych zarzutów, że ten projekt ustawy w ogóle w uzasadnieniu o tym nie mówi, nie przewiduje, jakie będą jej skutki – mówi wspólnik w Kancelarii BBK.

Propozycja, by operatorzy musieli wycofać się także z już prowadzonych inwestycji, jest kontrowersyjna także ze względów prawnych.

– Projekt ewidentnie zawiera przepisy, które prowadzą do zakazu prowadzenia działalności gospodarczej, a nawet przewiduje konieczność wycofania poczynionych już inwestycji. To jest forma wywłaszczenia. Konstytucja w art. 21 ust. 1 mówi o tym, że w Polsce wywłaszczenie może się odbyć tylko w zamian za odpowiednie odszkodowanie. W nowelizacji nie ma jednak ani słowa o odszkodowaniu – zwraca uwagę Michał Kuliński.

Konsekwencje prawne proponowanych przepisów również mogą być daleko idące. Ekspert przewiduje, że mogą one wywołać liczne pozwy na gruncie prawa unijnego czy międzynarodowego.

– Chodzi m.in. o wiążące Polskę umowy o wolnym handlu w ramach Światowej Organizacji Handlu. Takimi sporami zajmują się także organy sądowe, quasi-sądowe, które mają instrumenty, by wyegzekwować swoje orzeczenie – mówi wspólnik w Kancelarii BBK.

Tym bardziej że Kolegium ds. Cyberbezpieczeństwa będzie mogło wykluczyć z rynku dany podmiot na podstawie takiego kryterium jak przestrzeganie praw człowieka w kraju, z którego dany podmiot pochodzi.

– Kryterium samo w sobie jest szlachetne, ale ocena tego przez organ stricte administracyjny, bez żadnej kontroli, bo do tego służy odwołanie do sądu, wydaje się zbyt uznaniowa – dodaje Michał Kuliński.

Eksperci krytycznie odnosili się także do 14-dniowego terminu konsultacji projektu zmian w ustawie o KSC, nazywając tę sytuację pozorem prawa. 17 września minister cyfryzacji zdecydował się jednak wydłużyć go do 30 dni, o co apelowały izby branżowe i przedsiębiorcy telekomunikacyjni. Termin na przekazywanie uwag upływa 6 października.