Notyfikacja Komisji Europejskiej w nowelizacji KSC. Rząd usunął zapisy?

W tym tygodniu, w trakcie posiedzenia Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej dyskutowano o rządowym projekcie ustawy nowelizującej przepisy krajowego systemu cyberbezpieczeństwa (potocznie ustawy o KSC).

Ostatecznie w tej sprawie odbędzie się – decyzją posłów – wysłuchanie publiczne, które zaplanowano na 11 września. Czy wydłuży to proces legislacyjny i okres przyjęcia projektu? O to zapytaliśmy ekspertów, który wypowiedzieli się w tym materiale .

Konieczność notyfikacji projektu przez KE?

Kolejną kwestią, co do której - w przypadku jednego z najważniejszych (jeśli nie najważniejszego projektu) dla branży cyberbezpieczeństwa - są wątpliwości, to konieczność jego notyfikacji technicznej przez Komisję Europejską.

W czasie posiedzenia komisji zwrócono uwagę na usunięcie notyfikacji technicznej do Komisji Europejskiej z obecnego kształtu nowelizacji KSC. Zapisy te widniały jednak we wcześniejszych wersjach regulacji - zanim trafiła ona do Sejmu.

Konfederacja Lewiatan podkreśliła w czasie obrad, że występuje problem ze zgodnością projektu ustawy z Konstytucją. Chodzi o zapisy odnoszące się do procedury określania i wykluczania dostawców wysokiego ryzyka. W takim kształcie przepisów, podmioty uznane za takiego dostawcę nie mają pełnych praw - w tym prawa dostępu do uzasadnienia wyroku sądu administracyjnego. Dodatkowo, zdaniem Konfederacji Lewiatan, wiąże się to również z naruszeniem Traktatu o funkcjonowaniu UE, który przewiduje swobodny przepływ towarów i usług.

Brak jednoznacznego stanowiska

Co na to przedstawiciele rynku? Michał Kanownik, prezes Związku Cyfrowa Polska uważa, że „w opinii ich ekspertów nie ma potrzeby, aby zapisy nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa były przekładane do notyfikacji technicznej Komisji Europejskiej”.

„W projekcie nie ma mowy o konkretnych zapisach technicznych, a jedynie regulacje dotyczą warunków bezpieczeństwa” – dodaje.

Natomiast dr Aleksandra Musielak, dyrektorka Departamentu Rynku Cyfrowego z Konfederacji Lewiatan ocenia, że rynek z zaskoczeniem przyjmuje informacje o braku notyfikacji technicznej projektu ustawy - tym bardziej, że w poprzednich wersjach projektu, procedowanych na etapie rządowym, ten wymóg był zamieszczony w treści projektu ustawy. „Wątpliwości budzi fakt usunięcia tego wymogu na ostatnim etapie prac nad projektem po przyjęciu go przez Radę Ministrów” – uważa.

„Niezgłoszenie Projektu do Komisji Europejskiej stanowi naruszenie obowiązków Dyrektywy TRIS i Rozporządzenia, a konsekwencją naruszenia tych przepisów może być uznanie przez TSUE lub sądy krajowe przepisów technicznych za nieobowiązujące, co będzie oznaczać, że przepisy te są niewykonalne zarówno w stosunku do przedsiębiorstw, jak i osób fizycznych. W wersji Projektu z 7 czerwca 2023 r. Projektodawca odstąpił jednak od wskazywanej przez niego we wcześniejszych wersjach projektu konieczności notyfikacji przepisów, uzasadniając to obecnie zgodnością projektowanych zmian z regulacjami unijnymi – ocenia dr Aleksandra Musielak dla CyberDefence24.pl.

Usunięcie notyfikacji „to błąd”

Robert Kośla, członek Rady Fundacji Bezpieczna Cyberprzestrzeń, były dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji i KPRM mówi nam, że rezygnacja z notyfikacji technicznej treści projektu nowelizacji ustawy o KSC do Komisji Europejskiej jest błędem.

„Notyfikacja techniczna do Komisji Europejskiej to procedura, która ma na celu zapewnienie zgodności przepisów technicznych wprowadzanych przez państwa członkowskie z prawem unijnym. Notyfikacja polega na przekazaniu Komisji Europejskiej projektów aktów prawnych zawierających przepisy techniczne oraz dokumentów uzasadniających ich potrzebę i proporcjonalność. Notyfikacji w przypadku tego projektu powinny podlegać przede wszystkim przepisy dotyczące dostawców wysokiego ryzyka – taką notyfikację przeprowadziły inne państwa członkowskie UE, które dokonały zmian przepisów krajowych wprowadzając nowe środki dotyczące dostawców wysokiego ryzyka wynikające z uzgodnień przeprowadzonych przez wszystkie państwa członkowskie UE i zawartych we wspólnym dokumencie z dnia 23 marca 2021 roku” – objaśnia.

Jak przypomina, Polska wielokrotnie deklarowała przekazanie projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa do notyfikacji technicznej w Komisji Europejskiej po jego przyjęciu przez Radę Ministrów.

„Rezygnacja z notyfikacji technicznej tego projektu nowelizacji w Komisji Europejskiej może narazić Polskę na kolejne zarzuty niestosowania się do dyrektywy Parlamentu Europejskiego i Rady UE (2015/1535 z dnia 9 września 2015 r. ustanawiającej procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego – red.)” – podsumowuje Robert Kośla.

Wysłuchanie publiczne w sprawie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa odbędzie się 11 września br. o godzinie 12:00.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].