29 czerwca 2023

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa. Przepisy dotyczące dostawców wysokiego ryzyka powinny zostać notyfikowane

Do Sejmu skierowany został Rządowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Choć we wcześniejszych wersjach projektu zapowiadano jego notyfikację Komisji Europejskiej, w jego obecnej wersji deklaruje się odstąpienie od tej procedury, motywując to m.in. wdrożeniem projektowaną regulacją przepisów unijnych. Charakter zawartych w projekcie przepisów dotyczących dostawców wysokiego ryzyka i dotkliwe skutki braku notyfikacji wskazują jednak, że zgłoszenie takie powinno zostać dokonane.

Zgodnie z planowaną nowelizacją, minister ds. informatyzacji będzie mógł uznać dostawcę sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, jeżeli dostawca ten stanowić będzie poważne zagrożenie dla obronności lub bezpieczeństwa państwa, dla bezpieczeństwa i porządku publicznego lub też dla życia i zdrowia ludzi. Jeśli decyzja taka zostanie wydana, podmioty krajowego systemu cyberbezpieczeństwa, dysponenci infrastruktury krytycznej oraz przedsiębiorcy komunikacji elektronicznej zobowiązani do posiadania planów dotyczących sytuacji szczególnego zagrożenia, zmuszeni będą do zaprzestania stosowania pochodzących od tego dostawcy: sprzętu, oprogramowania, usług lub procesów, wskazanych w wydanej przez Ministra decyzji. Zakaz ten dotyczyć będzie nie tylko nowych inwestycji, ale oznacza również obowiązek wycofania z użycia takich produktów, usług lub procesów w ciągu 5 bądź 7 lat.

Wiele przemawia przy tym za uznaniem, że regulacje te stanowią podlegające notyfikacji przepisy techniczne w rozumieniu unijnej Dyrektywy 2015/1535. Przez przepisy techniczne dyrektywa rozumie m.in. wymagania dotyczące produktów, które wpływają na obrót nimi i skracają cykl ich życia. Taki charakter będą zaś mieć zakazy odnoszące się do używania produktów od dostawcy wysokiego ryzyka. Przepisami technicznymi są też zasady dotyczące usług społeczeństwa informacyjnego. Przez pryzmat tych ostatnich postrzegać można zaś usługi i procesy zapewniane przez dostawców wysokiego ryzyka.

Brak notyfikacji powyższych przepisów ich twórcy tłumaczą implementacją do polskiego systemu prawnego Unijnego zestawu narzędzi cyberbezpieczeństwa sieci 5G (tzw. Toolbox 5G) oraz art. 40 ektronicznej (EKŁE). Wyłączenie obowiązku notyfikacji dotyczy jednak przepisów wdrażających wiążące akty unijne – a Toolbox 5G nie ma takiego charakteru. Z kolei art. 40 EKŁE nakłada jedynie ogólny obowiązek stosowania proporcjonalnych środków w celu zapewnienia bezpieczeństwa usług i sieci. Na gruncie orzeczenia TSUE w sprawie Unilever pozostawienie w tym zakresie państwom członkowskim swobody doboru sposobu implementacji przemawia za przyjęciem, że notyfikacja powinna zostać dokonana.

Skutkiem braku notyfikacji przepisu technicznego jest obowiązek odmowy jego zastosowania przez sąd, zarówno w sporach pomiędzy państwem a jednostką, jak i pomiędzy podmiotami prywatnymi. Brak notyfikacji to też naruszenie obowiązków państwa członkowskiego. Biorąc powyższe pod uwagę, uznać należy, że przepisy dotyczące dostawców wysokiego ryzyka powinny zostać notyfikowane. Jak bowiem wskazuje Trybunał Konstytucyjny: „ze względu na nieprecyzyjność pojęcia przepisów technicznych, (…) we wszystkich sytuacjach wątpliwych ostrożność nakazywałaby uczynić zadość wymogom notyfikacji potencjalnych przepisów technicznych Komisji Europejskiej” (sygn. P 4/14).

Szersze argumenty wskazujące na powinność notyfikacji zawarte są w opracowaniu, które Kancelaria Prawna Media przygotowała dla Polskiej Izby Komunikacji Elektronicznej.

← poprzedni wpis następny wpis →

Cookie	Czas przechowywania	Opis
cookielawinfo-checkbox-advertisement	1 rok	Ten plik „cookie”, ustawiony przez wtyczkę RODO Cookie Consent, służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Reklama”.
CookieLawInfoConsent	1 rok	Ten plik „cookie” służy do przechowywania informacji o ustawieniach wyrażonej zgody na wykorzystywanie plików „cookies”.
cookielawinfo-checkbox-others	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Inne”.
cookielawinfo-checkbox-analytics	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Analityka”.
cookielawinfo-checkbox-performance	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Wydajnościowe”.
cookielawinfo-checkbox-functional	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Funkcjonalne”.
cookielawinfo-checkbox-necessary	12 miesięcy	Ten plik „cookie” jest ustawiany przez wtyczkę „RODO Cookie Consent”. Plik służy do przechowywania zgody użytkownika na pliki „cookies” w kategorii „Niezbędne”.
viewed_cookie_policy	12 miesięcy	Niezbędne pliki „cookies” są konieczne do prawidłowego funkcjonowania strony internetowej. Te pliki „cookies” zapewniają anonimowe działanie podstawowych funkcji i zabezpieczeń strony internetowej.

Cookie	Czas przechowywania	Opis
_ga	2 lata	Ten plik „cookie” instalowany przez Google Analytics, oblicza dane dotyczące odwiedzających, sesji i kampanii, a także śledzi wykorzystanie witryny na potrzeby raportu analitycznego witryny. Plik cookie przechowuje informacje anonimowo i przypisuje losowo wygenerowany numer w celu rozpoznania unikalnych użytkowników.
_gat_gtag_UA_221281335_1	1 minuta	Ten plik „cookie” instalowany przez Google Analytics, pozwala na rozróżnienie użytkowników.
_gid	1 dzień	Ten plik „cookie” instalowany przez Google Analytics przechowuje informacje o tym, w jaki sposób odwiedzający korzystają ze strony internetowej, jednocześnie tworząc raport analityczny dotyczący wydajności strony internetowej.