“Bezpieczeństwo nie zna podziałów partyjnych, stąd moja aprobata dla tej regulacji” – oznajmił Karol Nawrocki w komunikacie zamieszczonym w serwisie X. Mowa o nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, powszechnie znanej jako Lex Huawei.
Uzasadniając swoje postanowienie, Prezydent zaznaczył, że akt prawny umacnia systemy obronne, usprawnia kooperację instytucji i umożliwia eliminację dostawców stwarzających duże ryzyko. Niemniej jednak, z uwagi na interes przedsiębiorców, przekazał ją do Trybunału Konstytucyjnego w ramach kontroli następczej.
— Egzystujemy w czasach, kiedy konflikt nie zawsze rozpoczyna się od wystrzału, czasami inicjuje go kliknięcie. Ilość cyberataków gwałtownie wzrasta — podkreślił prezydent w komunikacie zamieszczonym w serwisie X.
Informując o podpisaniu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, dodał, że ochrona cyfrowa stanowi obecnie element bezpieczeństwa państwa. — Ta ustawa wzmacnia mechanizmy obronne, usprawnia kooperację instytucji i umożliwia eliminację dostawców stwarzających duże ryzyko — powiedział.
Zobacz też: Nawrocki zadziwił wszystkich! Jego projekt może wywołać największy kryzys w sądach od czasów Ziobry
x.com
Dodał jednocześnie, że musi również odpowiedzieć na apel przedsiębiorców, którzy uważają, że nałożone na nich obowiązki ustawowe są nadmierne i nieproporcjonalne. Z tej przyczyny skieruje wniosek o kontrolę następczą do Trybunału Konstytucyjnego w tej kwestii.
Nowelizacja jest efektem prac zarówno rządu PiS, jak i koalicji 15 października. Pierwszy raz o nowelizacji poinformowano publicznie we wrześniu 2020 r. Trzy lata później projekt trafił do Sejmu, ale rząd go cofnął przed rozpoczęciem prac. Po przejęciu władzy przez Koalicję 15 października prace nad regulacjami ruszyły na nowo i w końcu zostały ukończone. Ustawa wejdzie w życie po upływie miesiąca od daty ogłoszenia.
Zobacz też: Prezydent Karol Nawrocki zawetował ustawę o KRS. Waldemar Żurek odpowiada
Co zmienia ustawa o KSC?
Ustawa wprowadza dyrektywę w sprawie środków zapewniających wysoki wspólny poziom cyberbezpieczeństwa w Unii, znaną jako dyrektywa NIS 2 uchwaloną w grudniu 2022 r. NIS to akronim od “Network and Information Systems Directive“.
Dyrektywa powinna być wdrażana już od października 2024 r. Komisja Europejska zwróciła się już do Polski o wyjaśnienie przyczyn zwłoki w jej implementacji.
Nowelizacja m.in. poszerza wykaz podmiotów objętych wynikającymi z niej obowiązkami, wzmacnia system reagowania na incydenty oraz uszczegóławia role organów odpowiedzialnych za cyberbezpieczeństwo.
Zobacz też: Prywatna broń nuklearna? Ekspert wskazuje, co Polska musiałaby wpierw zrobić
Dostawcy stwarzający duże ryzyko
Najistotniejsza zmiana dotyczy dostawców stwarzających duże ryzyko, czyli tych dostawców nowych technologii, urządzeń lub oprogramowania, którzy nie gwarantują ochrony. Z tego powodu ustawa ta bywa nazywana Lex Huawei.
Podmioty o kluczowym znaczeniu dla funkcjonowania państwa nie będą mogły wprowadzać do systemów produktów od dostawcy stanowiącego wysokie ryzyko, a jeśli takie posiadają — będą zobligowane do ich likwidacji w ciągu 7 lat. Dostawca, który nie zgadza się z decyzją, będzie miał możliwość wniesienia odwołania do sądu administracyjnego. I te przepisy również nie zyskały akceptacji prezydenta.
“Te regulacje ingerują w niezależność działania przedsiębiorców, m.in. poprzez nałożenie obowiązku wymiany sprzętu i oprogramowania bez odszkodowania i bez zabezpieczenia środków finansowych na ten cel. Ponadto mankamentem jest system podejmowania decyzji przez organy ds. cyberbezpieczeństwa wobec podmiotów kluczowych i ważnych, z punktu widzenia gwarancji proceduralnych oraz w zakresie ochrony sądowej. Przewidziany ustawą system kar administracyjnych jest surowy, a wysokość kar, które można nałożyć, ma charakter samodzielnych środków karnych” — czytamy w komunikacie na stronie prezydenta.
18 branż to zbyt wiele
Dodatkowo, za sprawą ustawy krajowy system cyberbezpieczeństwa (KSC) zostanie rozszerzony o kolejne sektory gospodarki, takie jak na przykład odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna oraz produkcja i dystrybucja substancji chemicznych i żywności. Chodzi o to, że dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych zostanie zastąpiony przez nową kategorię podmiotów kluczowych i podmiotów ważnych. To oznacza, że większa liczba przedsiębiorstw będzie musiała spełniać wygórowane wymogi dyrektywy NIS2, na przykład w zakresie raportowania incydentów, szacowania ryzyka i odpowiedzialności kierownictwa.
Wątpliwości prezydenta wzbudza objęcie ustawą aż 18 sektorów gospodarki zgrupowanych w podmioty kluczowe i ważne. Przy czym, jego zdaniem, rozszerzenie to nie wynika z regulacji europejskich, ale jest samodzielną inicjatywą rządu. Z tego powodu skierował te przepisy do TK.
Jak tłumaczy Adam Woźniak, partner w Grant Thornton, lider zespołu Cyberbezpieczeństwa Technology, dotychczasowe standardy dotyczyły wąskiej grupy przedsiębiorstw, a wdrożenie nowych wymogów będzie generować koszty. Jego zdaniem jednak lepiej rozpatrywać to jako inwestycję.
I wskazuje na jeszcze jedną istotną zmianę, która dotyczy członków zarządów. Będą oni ponosili indywidualną odpowiedzialność za naruszenia, w tym odpowiedzialność karną. Kary administracyjne są bardzo dotkliwe — do 10 mln euro lub 2 proc. globalnego obrotu. Wdrożenie procesu zarządzania ryzykiem oraz odpowiedzialności staje się koniecznością.
Co może zrobić Trybunał?
Ustawy przekazane do TK w trybie następczym, czyli po zatwierdzeniu, są rozpatrywane tak samo, jak inne. Nie ma określonego terminu na rozpatrzenie wniosku prezydenta, na przykład w okresie vacatio legis ustawy, czyli przed jej wejściem w życie.
Trybunał może podzielić obawy prezydenta i uznać dany przepis za niezgodny z konstytucją. Może on utracić moc w dniu ogłoszenia wyroku, ale nie musi. TK może również wyznaczyć termin na jego usunięcie. Obecny rząd nie publikuje orzeczeń TK, co może skomplikować sytuację firm objętych regulacjami.
Trybunał może także nie zgodzić się z argumentami prezydenta, a wtedy przepisy będą nadal obowiązywać.
Dziękujemy za przeczytanie naszego artykułu. Bądź na bieżąco! Obserwuj nas w Google.