Polityka i prawo
Notyfikacja Komisji Europejskiej w nowelizacji KSC. Rząd usunął zapisy?
Rząd usunął konieczność notyfikacji technicznej do Komisji Europejskiej z obecnego kształtu projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Zapisy te widniały jednak we wcześniejszych wersjach regulacji - zanim trafiła do Sejmu. Jak ten krok oceniają eksperci?
W tym tygodniu, w trakcie posiedzenia Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz Komisji Obrony Narodowej dyskutowano o rządowym projekcie ustawy nowelizującej przepisy krajowego systemu cyberbezpieczeństwa (potocznie ustawy o KSC).
Ostatecznie w tej sprawie odbędzie się – decyzją posłów – wysłuchanie publiczne, które zaplanowano na 11 września. Czy wydłuży to proces legislacyjny i okres przyjęcia projektu? O to zapytaliśmy ekspertów, który wypowiedzieli się w tym materiale .
Czytaj też
Konieczność notyfikacji projektu przez KE?
Kolejną kwestią, co do której - w przypadku jednego z najważniejszych (jeśli nie najważniejszego projektu) dla branży cyberbezpieczeństwa - są wątpliwości, to konieczność jego notyfikacji technicznej przez Komisję Europejską.
W czasie posiedzenia komisji zwrócono uwagę na usunięcie notyfikacji technicznej do Komisji Europejskiej z obecnego kształtu nowelizacji KSC. Zapisy te widniały jednak we wcześniejszych wersjach regulacji - zanim trafiła ona do Sejmu.
Konfederacja Lewiatan podkreśliła w czasie obrad, że występuje problem ze zgodnością projektu ustawy z Konstytucją. Chodzi o zapisy odnoszące się do procedury określania i wykluczania dostawców wysokiego ryzyka. W takim kształcie przepisów, podmioty uznane za takiego dostawcę nie mają pełnych praw - w tym prawa dostępu do uzasadnienia wyroku sądu administracyjnego. Dodatkowo, zdaniem Konfederacji Lewiatan, wiąże się to również z naruszeniem Traktatu o funkcjonowaniu UE, który przewiduje swobodny przepływ towarów i usług.
Brak jednoznacznego stanowiska
Co na to przedstawiciele rynku? Michał Kanownik, prezes Związku Cyfrowa Polska uważa, że „w opinii ich ekspertów nie ma potrzeby, aby zapisy nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa były przekładane do notyfikacji technicznej Komisji Europejskiej”.
„W projekcie nie ma mowy o konkretnych zapisach technicznych, a jedynie regulacje dotyczą warunków bezpieczeństwa” – dodaje.
Natomiast dr Aleksandra Musielak, dyrektorka Departamentu Rynku Cyfrowego z Konfederacji Lewiatan ocenia, że rynek z zaskoczeniem przyjmuje informacje o braku notyfikacji technicznej projektu ustawy - tym bardziej, że w poprzednich wersjach projektu, procedowanych na etapie rządowym, ten wymóg był zamieszczony w treści projektu ustawy. „Wątpliwości budzi fakt usunięcia tego wymogu na ostatnim etapie prac nad projektem po przyjęciu go przez Radę Ministrów” – uważa.
„Niezgłoszenie Projektu do Komisji Europejskiej stanowi naruszenie obowiązków Dyrektywy TRIS i Rozporządzenia, a konsekwencją naruszenia tych przepisów może być uznanie przez TSUE lub sądy krajowe przepisów technicznych za nieobowiązujące, co będzie oznaczać, że przepisy te są niewykonalne zarówno w stosunku do przedsiębiorstw, jak i osób fizycznych. W wersji Projektu z 7 czerwca 2023 r. Projektodawca odstąpił jednak od wskazywanej przez niego we wcześniejszych wersjach projektu konieczności notyfikacji przepisów, uzasadniając to obecnie zgodnością projektowanych zmian z regulacjami unijnymi – ocenia dr Aleksandra Musielak dla CyberDefence24.pl.
Usunięcie notyfikacji „to błąd”
Robert Kośla, członek Rady Fundacji Bezpieczna Cyberprzestrzeń, były dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji i KPRM mówi nam, że rezygnacja z notyfikacji technicznej treści projektu nowelizacji ustawy o KSC do Komisji Europejskiej jest błędem.
„Notyfikacja techniczna do Komisji Europejskiej to procedura, która ma na celu zapewnienie zgodności przepisów technicznych wprowadzanych przez państwa członkowskie z prawem unijnym. Notyfikacja polega na przekazaniu Komisji Europejskiej projektów aktów prawnych zawierających przepisy techniczne oraz dokumentów uzasadniających ich potrzebę i proporcjonalność. Notyfikacji w przypadku tego projektu powinny podlegać przede wszystkim przepisy dotyczące dostawców wysokiego ryzyka – taką notyfikację przeprowadziły inne państwa członkowskie UE, które dokonały zmian przepisów krajowych wprowadzając nowe środki dotyczące dostawców wysokiego ryzyka wynikające z uzgodnień przeprowadzonych przez wszystkie państwa członkowskie UE i zawartych we wspólnym dokumencie z dnia 23 marca 2021 roku” – objaśnia.
Jak przypomina, Polska wielokrotnie deklarowała przekazanie projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa do notyfikacji technicznej w Komisji Europejskiej po jego przyjęciu przez Radę Ministrów.
„Rezygnacja z notyfikacji technicznej tego projektu nowelizacji w Komisji Europejskiej może narazić Polskę na kolejne zarzuty niestosowania się do dyrektywy Parlamentu Europejskiego i Rady UE (2015/1535 z dnia 9 września 2015 r. ustanawiającej procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego – red.)” – podsumowuje Robert Kośla.
Wysłuchanie publiczne w sprawie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa odbędzie się 11 września br. o godzinie 12:00.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].