Cyberbezpieczeństwo. Polska naraża się na kolejne procesy przed TSUE?

BIZNES INTERIA na Facebooku i jesteś na bieżąco z najnowszymi wydarzeniami

Wykluczanie z rynku dostawców technologii, których nowo powołane kolegium ds. cyberbezpieczeństwa określi jako dostawców wysokiego ryzyka, może naruszać szereg różnych przepisów międzynarodowych. Takie propozycje przepisów znajdują się w procedowanej ustawie o cyberbezpieczeństwie. Wątpliwości prawników budzą m.in. kryteria narodowościowe, czyli analiza pozostawania pod kontrolą państwa spoza UE i NATO, natychmiastowa wykonalność decyzji kolegium i brak możliwości odwołania się od niej. Istnieje ryzyko, że w przypadku wykluczenia z rynku koncern będzie dochodzić swoich praw przed unijnym trybunałem.

- W obecnym kształcie przepisy regulujące postępowanie w sprawie uznania dostawcy za tzw. dostawcę wysokiego ryzyka mogą być uznane za naruszające przepisy unijne oraz umowy międzynarodowe - wskazuje w komentarzu dla agencji Newseria Biznes prof. dr hab. Maciej Rogalski, rektor Uczelni Łazarskiego, radca prawny w kancelarii Rogalski i Wspólnicy.

Kwestia tzw. dostawców wysokiego ryzyka jest jedną z najbardziej kontrowersyjnych w projektowanej nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Rząd pracuje nad nią już od ponad roku. Nowa regulacja ma być podstawą do rozwijania polskiego systemu cyberbezpieczeństwa, ale będzie mieć też duże przełożenie m.in. na wdrażanie w Polsce technologii 5G.

Nowela budzi duże zainteresowanie nie tylko ze strony rynku telekomunikacyjnego, o czym świadczy m.in. fakt, że do pierwszej wersji projektu wpłynęło ponad 750 uwag, zgłoszonych nie tylko przez instytucje takie jak NASK, Związek Cyfrowa Polska, UKE, Agencja Wywiadu i BBN, ale również KGHM, PKN Orlen, NBP, Komisja Nadzoru Finansowego, fundacja Digital Poland, Federacja Konsumentów czy Związek Banków Polskich. W połowie października odpowiedzialny za cyfryzację KPRM opublikował kolejną, trzecią już wersję projektu tej nowelizacji, która w niewielkim zakresie uwzględnia uwagi zgłoszone w toku konsultacji społecznych.

Dla branży telekomunikacyjnej problematyczny jest zwłaszcza mechanizm oceny ryzyka dostawców usług i sprzętu ICT. W tej chwili zapisy projektu pozwalają bowiem wykluczyć z polskiego rynku część dostawców na podstawie kryteriów politycznych i narodowościowych.

- W obecnym kształcie przepisy projektu mogą naruszać zasadę równego traktowania ze względu na przynależność państwową, która została określona w art. 18 Traktatu o funkcjonowaniu UE oraz art. 20 i art. 21 ust. 2 Karty Praw Podstawowych - zauważa prof. Maciej Rogalski.

Projekt noweli ustawy o KSC zakłada, że oceny dostawców infrastruktury - istotnej z punktu widzenia krajowego cyberbezpieczeństwa i sieci 5G - ma dokonywać Kolegium ds. Cyberbezpieczeństwa, którego przewodniczącym będzie premier, a w jego skład wejdą ministrowie (m.in. do spraw informatyzacji, spraw wewnętrznych, obrony narodowej i spraw zagranicznych) oraz przedstawiciele służb odpowiedzialnych za krajowe bezpieczeństwo i obronność. W trakcie tej oceny Kolegium weźmie pod uwagę nie tylko potencjalne zagrożenia dla bezpieczeństwa publicznego "o charakterze ekonomicznym, kontrwywiadowczym i terrorystycznym", ale również prawdopodobieństwo, że dostawca znajduje się pod wpływem państwa spoza UE bądź NATO.

Firmy, które na tej podstawie zostaną uznane za dostawców wysokiego ryzyka, zostaną de facto wykluczone z polskiego rynku, z ograniczoną możliwością odwołania. Ponadto operatorzy telekomunikacyjni, którzy korzystają z ich sprzętu lub usług, będą zmuszeni wycofać je w ciągu pięciu-siedmiu lat.

Prawnicy i eksperci podkreślają, że ustawa w aktualnym kształcie - z mechanizmem zaprojektowanym w celu wykluczenia konkretnych dostawców na podstawie kryteriów narodowościowych - jest wątpliwa z punktu widzenia zgodności z międzynarodowymi i unijnymi przepisami dotyczącymi m.in. wolnego handlu i swobody prowadzenia działalności gospodarczej.

***