Cyberbezpieczeństwo czy nadregulacja? Gorąca dyskusja nad projektem ustawy o KSC

DWR w ogniu krytyki

Występujący w imieniu rządu wiceminister cyfryzacji Paweł Olszewski wskazywał, że bezpieczeństwo Polski wymaga dobrych regulacji, które idą dalej, niż minimum wymagane przez Unię Europejską. Zdaniem strony rządowej nie ma czasu na drobiazgowe dyskusje, czas gra bowiem na niekorzyść Polski.

Tymczasem wydaje się, że problem można szybko i sprawnie rozwiązać, nie narażając się przy tym na weto prezydenta. Bowiem wiele uwag zgłaszanych przez biznes jest na tyle solidnie uzasadnionych, że wymaga dyskusji. Co więcej, już w ubiegłym roku swoje uwagi do projektu zgłaszał Rzecznik Praw Obywatelskich. Nie wszystkie zostały uwzględnione.

Jednym z najbardziej kontrowersyjnych punktów jest instytucja Dostawcy Wysokiego Ryzyka (DWR). Podczas prac komisji przedstawiciele rządu jasno dali do zrozumienia, że ten element projektu nie podlega negocjacjom. Wiceminister cyfryzacji Paweł Olszewski podkreślał, że „Dostawcy Wysokiego Ryzyka nie są do ruszenia”. A „ruszenia” tych przepisów chce branża cyfrowa. 

Krytycy projektu zwracają uwagę, że DWR opiera się na niemierzalnych, politycznych kryteriach, takich jak prawo państwa pochodzenia dostawcy, i że rozwiązania, zaprojektowane pierwotnie z myślą o telekomunikacji, zostały finalnie rozszerzone na 18 sektorów gospodarki. Oznacza to, że skutki ustawy odczują nie tylko operatorzy sieci, lecz także firmy z branży energetycznej, transportowej, spożywczej, ochrony zdrowia czy samorządy.

Podczas prac komisji szczególnie mocno wybrzmiał głos środowisk przedsiębiorców. Prezes Krajowej Izby Komunikacji Ethernetowej (KIKE) Karol Skupień nie owijał w bawełnę, mówiąc wprost, że w projekcie „polityka wygrywa z bezpieczeństwem Polaków”. W jego ocenie ustawa w obecnym kształcie nie zwiększa realnie odporności państwa, za to przerzuca na firmy ogromne koszty i ryzyka, których skali rząd nawet nie próbuje rzetelnie oszacować. To jedna z najczęściej powtarzanych pretensji: brak wiarygodnej oceny skutków regulacji, zwłaszcza kosztów wymiany sprzętu i reorganizacji systemów.

Wielkie kompetencje dla ministra

Kolejnym źródłem napięć jest system kar administracyjnych. Przedstawiciele rządu argumentują, że bez dotkliwych kar ustawa będzie martwa. I trudno się z tym nie zgodzić. Krytycy odpowiadają, że w połączeniu z niejasnymi kryteriami i szeroką uznaniowością decyzji może to prowadzić do paraliżu inwestycyjnego i odstraszania przedsiębiorców. Szczególnie, że projekt daje dużą władzę ministrowi cyfryzacji – w myśl projektu z dnia na dzień możliwe będzie zablokowanie zakupu produktów lub usług danego dostawcy, nawet jeśli są one kluczowe dla produkcji leków, żywności czy energii. Skala ryzyka jest ogromna – ustawa nie przewiduje okresów przejściowych ani realnych mechanizmów amortyzujących skutki takich decyzji. Decyzje administracyjne mogą z dnia na dzień wykluczyć określonych dostawców z rynku. W praktyce oznaczałoby to, że firmy z kluczowych sektorów gospodarki mogłyby zostać zmuszone do nagłej wymiany technologii, bez okresów przejściowych i bez gwarancji alternatyw.

Co więcej, mimo uwag zgłaszanych podczas procesu legislacyjnego m.in. przez Rzecznika Praw Obywatelskich, nawet w postępowaniu sądowym podmiot zaskarżający decyzję może nie otrzymać jej uzasadnienia. Tym samym prawo do rozpatrzenia sprawy przez niezawisły sąd, zgodnie z regułami prawa, zostanie znacząco ograniczone. Jak bowiem zaskarżyć decyzję sądu, nie znając jej motywów?

Wątpliwości nie kryją i inni prawnicy: cytowany przez „Rzeczpospolitą” prof. Paweł Wajda z Wydziału Prawa i Administracji Uniwersytetu Warszawskiego wyraził opinię, że nowelizacja ustawy o KSC prowadzi do ingerencji w sferę wolności działalności gospodarczej. Wskazał tu przede wszystkim na przepisy odnoszące się do mechanizmu uznawania dostawców technologii teleinformatycznych za dostawców wysokiego ryzyka.

Eksperci i biznes ostrzegają

Rządowi przedstawiciele przekonują, że bezpieczeństwo cyfrowe musi mieć swoją cenę. Przeciwnicy projektu ripostują, że trudno mówić o inwestycji, jeśli państwo nie pokazuje rachunku ekonomicznego i nie bierze odpowiedzialności za skutki swoich decyzji. Kto ma rację? Paradoksalnie – obie strony.

Państwo musi mieć narzędzia, by kontrolować, kto wchodzi z technologiami na nasz rynek. Problem tkwi w tym, że przy okazji można wprowadzić rozwiązania, które będą słabo egzekwowalne. Czy faktycznie w Polsce aż 40 tysięcy firm – znacznie więcej, niż w Niemczech – musi zostać objętych procedurą DWR? I czy mamy odpowiednie zaplecze audytorskie? Fikcyjne rozwiązania będą prezentem dla tych, których ustawa ma skutecznie zablokować – czyli podmiotów pośrednio lub bezpośrednio powiązanych z Rosją.

I warto rozmawiać o tym, czy minister – a więc z definicji polityk – powinien mieć „guzik atomowy”, naciśnięciem którego może sparaliżować działalność wielu polskich firm. Nie dostawców rozwiązań, ale ich użytkowników. O tym, że szyte pod daną ekipę rozwiązania mogą być skutecznie użyte potem przeciw tej ekipie, przekonuje się dziś choćby Zbigniew Ziobro. 

Ustawa może być wielkim sukcesem lewicowego wicepremiera

Nasz projekt idzie dalej z tej przyczyny, że Polska leży na wschodniej flance NATO i musimy w możliwie skuteczny sposób zapewnić cyberbezpieczeństwo kraju – podkreślał cytowany Paweł Olszewski.

Trudno się nie podpisać pod tym stwierdzeniem. I trzeba oddać sprawiedliwość: po wielu latach kręcenia się w kółko to obecna ekipa chce sfinalizować potrzebne regulacje. Krzysztof Gawkowski jako minister cyfryzacji może mieć tu bardzo wymierny sukces. Tylko, że ten sukces można osiągnąć w drodze merytorycznej dyskusji, a nie poprzez stosowanie zasady: „ani kroku w tył”. Bo finalnie chodzi o to, aby ustawa zyskała jak najszersze poparcie, a Karol Nawrocki bez wahania złożył pod nią podpis. Jest ona bowiem potrzebna – lecz musi być jak najlepsza.