Nowelizacja KSC rodzi wiele pytań. Oto co musisz wiedzieć

• Czy w przypadku nowelizacji ustawy o KSC faktycznie możemy mówić o nadregulacji?
• Polska wyprzedziła ruch Unii Europejskiej, która podobne rozwiązania dopiero przyjmie. 
• „Decyzja Ministra Cyfryzacji będzie podlegać weryfikacji sądowej, aczkolwiek dostawca wysokiego ryzyka i operatorzy telekomunikacyjni nie będą mieli dostępu do wszystkich informacji z przyczyn bezpieczeństwa".
• Co dalej z ustawą skoro trafiła do Trybunału Konstytucyjnego?

W czwartek 19 lutego br. Prezydent RP Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, tym samym zamykając proces legislacyjny nad procedowanym od 6 lat projektem. 

Zapisy regulacji implementują do polskiego porządku prawnego postanowienia unijnej dyrektywy NIS 2, o czym więcej pisaliśmy w materiale Prezydent podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Jej treść do dzisiaj budzi emocje, które dotyczą m.in. instytucji dostawcy wysokiego ryzyka. Krytycy mówią wprost o nadregulacji.

Na budzące wątpliwości pytania związane z nowym prawem odpowiadają Marta Kupczak-Strzelecka i Michał Opala z Kancelarii Sołtysiński Kawecki & Szlęzak.

Polska wyprzedziła ruch UE

Krytycy wskazują, że nowelizacja ustawy o KSC to przykład nadregulacji (kontekst NIS 2, 5G Toolbox). Zwolennicy powołują się na argument, że nowela jest narzędziem implementacji wymogów NIS2. Kto ma rację?

Nowelizacja ustawy o KSC implementuje przepisy dyrektywy NIS-2. Sama dyrektywa NIS-2 w swoim art. 5 przewiduje jedynie obowiązek minimalnej harmonizacji przepisów krajowych z jej postanowieniami. Oznacza to, że państwa członkowskie mogą przyjmować nowe przepisy lub utrzymywać dotychczasowe, zapewniające wyższy poziom cyberbezpieczeństwa, pod warunkiem, że takie są one spójne z obowiązkami państw członkowskich, ustanowionymi w prawie UE. Przepisy dyrektywy nie zabraniają wprowadzania dalej idących wymogów w przepisach krajowych. 

5G Toolbox nie wynika z przepisów unijnych, ale z zaleceń m.in. Komisji Europejskiej (tzw. soft law). W Komunikacie Komisji Europejskiej z 29 stycznia 2020 r. o nazwie „Bezpieczne wprowadzanie sieci 5G w UE – wdrażanie unijnego zestawu narzędzi”, wezwano państwa członkowskie do zapewnienia szybkiego wdrożenia skutecznych i odpowiednich strategii ograniczania ryzyka w całej UE, zgodnie z unijnym zestawem narzędzi 5G Toolbox.

Należy zauważyć, że 5G Toolbox został przygotowany jedynie dla branży telekomunikacyjnej – sieci mobilnych 5G, podczas gdy nowelizacja ustawy o KSC wprowadza jego rozwiązania dla wszystkich sektorów gospodarki nią objętych. 

Jednak, 20 stycznia 2026 r. KE opublikowała projekt nowego rozporządzenia zwanego Cybersecurity Act 2. Przewiduje podobny mechanizm dotyczący wycofania komponentów ICT pochodzących od dostawców wysokiego ryzyka z kluczowych asetów mobilnych sieci komunikacji elektronicznej.  Termin na wycofanie komponentów ma wynieść 36 miesięcy od publikacji przez KE listy dostawców wysokiego ryzyka. Komisja, poza listą dostawców wysokiego ryzyka, będzie też stwierdzać, które państwa trzecie stwarzają zagrożenie dla cyberbezpieczeństwa łańcuchów dostaw ICT. 

Projektowane przez KE przepisy mają dotyczyć podmiotów działających w 18 sektorach, wskazanych w NIS-2 i będą nakładać zakaz używania wymienionych przez KE komponentów ICT, pochodzących od dostawców wysokiego ryzyka lub wymagać wdrożenia określonych przez KE środków zaradczych w odniesieniu do ich łańcucha dostaw ICT.

Zatem to, co obecnie stanowi zalecenie Komisji Europejskiej dla sieci 5G, w przyszłości prawdopodobnie zostanie przekształcone w przepisy rozporządzenia, które będą bezpośrednio stosowane w każdym państwie członkowskim w odniesieniu do łańcucha dostaw ICT w 18 sektorach wskazanych w NIS-2. 

Czyli Polska wyprzedziła ruch UE?

Polski ustawodawca już teraz przyjął rozwiązania w pełnym zakresie, w pewien sposób wpisując się w trend, który dopiero ma nadejść. 

W międzyczasie, tj. 30 stycznia br., unijna grupa ds. współpracy w zakresie bezpieczeństwa sieci i informacji (NIS), w skład której wchodzą przedstawiciele państw członkowskich UE, Komisja Europejska i Agencja UE ds. bezpieczeństwa cyberprzestrzeni (ENISA), przyjęła nowy toolbox zawierający zestaw narzędzi dotyczących bezpieczeństwa łańcucha dostaw ICT, obejmującego sprzęt (hardware), oprogramowanie (software),w tym oprogramowanie bezpłatne i typu open-source oraz usługi zarządzane w zakresie bezpieczeństwa (EU ICT Supply Chain Security Toolbox.

Nowy toolbox nie jest prawnie wiążący, ale zawiera zalecania dotyczące środków ograniczających ryzyko dla łańcucha dostaw ICT, w tym przezwyciężenie zależności od dostawców wysokiego ryzyka. Dedykowany jest dla państw członkowskim oraz podmiotów publicznych i prywatnych oraz zgodny z zapisami ww. projektu nowego rozporządzenia Cybersecurity Act 2. 

Nowy toolbox także rekomenduje państwom członkowskim identyfikację dostawców wysokiego ryzyka i zapewnienie możliwości wykluczenia takiego dostawcy z krytycznych łańcuchów dostaw.

(Nie) wszystko w rękach ministra?

Czy obecne przepisy nowelizacji stwarzają możliwość, aby urzędnik państwowy (minister cyfryzacji) mógł decydować, jaki sprzęt mają wykorzystywać polskie firmy? Inaczej mówiąc, czy minister cyfryzacji może nakazać wymianę określonego sprzętu odgórnie?

Przewidziany w nowelizacji mechanizm będzie działał w ten sposób, że Minister Cyfryzacji, po przeprowadzeniu postępowania – a więc nie automatycznie – wyda decyzję, w której uzna daną firmę dostarczającą sprzęt lub oprogramowanie oraz całą jej grupę kapitałową za dostawcę wysokiego ryzyka, gdy uzna, że dostawca ten stanowi zagrożenie dla podstawowego interesu bezpieczeństwa państwa. Decyzja będzie natychmiast wykonalna.

W takiej decyzji zostaną określone także typy produktów ICT, rodzaje usług ICT lub konkretne procesy ICT, które pochodzą od takiego dostawcy. W konsekwencji podmioty kluczowe i ważne, które wykorzystują takie produkty/usługi/ procesy, będą miały 7 lat od dnia ogłoszenia decyzji na wycofanie ich z użytkowania. Nie mogą ich także wprowadzać do użytkowania. W przypadku przedsiębiorców telekomunikacyjnych (których roczne przychody z tytułu wykonywania działalności telekomunikacyjnej w poprzednim roku obrotowym były wyższe od kwoty 10 milionów złotych), okres ten został skrócony do 4 lat.

Zatem obowiązek wymiany sprzętu będzie dotyczył podmiotów kluczowych i ważnych z mocy przepisów ustawy KSC, jeśli użytkowane przez nich komponenty zostaną objęte decyzją Ministra Cyfryzacji.

Czy zapisy noweli stwarzają możliwość nadużywania władzy?

Takie ryzyko istnieje zawsze niezależnie od tego, czego dotyczą przepisy. Nadużycia dotyczą praktyki stosowania prawa. 

Nowelizacja ustawy KSC przewiduje, że choć decyzja o uznaniu danego dostawcę za dostawcę wysokiego ryzyka będzie natychmiast wykonalna, jednak będzie on mógł złożyć skargę do sądu administracyjnego. Dotyczy to również dużych przedsiębiorców telekomunikacyjnych z siedzibą w Polsce. Skarga będzie rozpatrywana na posiedzeniu niejawnym (a więc nie na rozprawie) w składzie trzech sędziów. Uzasadnienie wyroku, jakie otrzyma skarżący dostawca lub firma telekomunikacyjna, nie może zawierać informacji niejawnych.

Tak więc decyzja Ministra Cyfryzacji będzie podlegać weryfikacji sądowej, aczkolwiek dostawca wysokiego ryzyka i operatorzy telekomunikacyjni nie będą mieli dostępu do wszystkich informacji z przyczyn bezpieczeństwa. W ten sposób polski ustawodawca podjął próbę wyważenia interesu prywatnego i publicznego. 

Dostawcy wysokiego ryzyka. Dwie strony medalu

Jak oceniają Państwo mechanizm dotyczący procedury uznania za DWR i odwołania opisany w noweli? Czy daje gwarancję obiektywizmu? Jest spójny, klarowny, przejrzysty? Bez pułapek?

Trudno uznać, że mechanizm uznawania podmiotów za dostawców wysokiego ryzyka jest całkowicie przejrzysty, skoro taki podmiot nie będzie miał dostępu do całości akt postępowania, a decyzja Ministra Cyfryzacji będzie podlegać natychmiastowemu wykonaniu. Samo sformułowanie „zagrożenie dla podstawowego interesu bezpieczeństwa państwa” też oczywiście nie jest precyzyjne i może podlegać interpretacji. 

Z drugiej jednak strony nowelizacja przewiduje pewne bezpieczniki: decyzja Ministra będzie poprzedzona analizami bezpieczeństwa i opinią sporządzoną przez zespół opiniujący Kolegium do Spraw Cyberbezpieczeństwa (w skład, którego może wchodzić Szef Biura Bezpieczeństwa Narodowego). Opinia powinna uwzględniać takie kwestie jak analizę zagrożeń bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, w tym na podstawie informacji od sojuszników; analizę prawdopodobieństwa z jakim dostawca znajduje się pod kontrolą państwa spoza UE/NATO; czy też liczby i rodzajów wykrytych podatności i incydentów cyberbezpieczeństwa u takiego dostawcy oraz sposobu i czasu ich eliminowania.

Praktyka pokaże jak te procedury będą stosowane w praktyce. Przy czym należy mieć w pamięci, że w nieodległej przyszłości polskie procedury zostaną zastąpione przez powyżej wspomniane przepisy nowego rozporządzenia UE zwanego Cybersecurity Act 2.

Czy nowelizacja ustawy o KSC zawiera zapisy, które są niezgodne z Konstytucją?

W przestrzeni publicznej obserwowaliśmy ostatnio wypowiedzi prawników, profesorów prawa wskazujących, iż jest takie ryzyko. Także Prezydent RP wskazał na nie, kierując następczo podpisaną przez siebie nowelizację do Trybunału Konstytucyjnego.

Ustawa w Trybunale Konstytucyjnym. Co dalej?

Prezydent podpisał ustawę, ale skierował ją do kontroli następczej przez Trybunał Konstytucyjny. Co to w praktyce oznacza?

Oznacza to, że ustawa zostanie opublikowana i wejdzie w życie zgodnie z jej postanowieniami, czyli w przypadku nowelizacji ustawy KSC po upływie miesiąca od dnia ogłoszenia. Jednocześnie ustawą powinien zająć się Trybunał Konstytucyjny, żeby zweryfikować podniesione przez Prezydenta RP zarzuty dotyczące naruszenia przepisów Konstytucji RP. 

Patrząc ogólnie, w jakich przypadkach ustawa może zostać skierowana do TK w trybie kontroli następczej?

Kontrola następcza dotyczy ustaw uchwalonych przez parlament i podpisanych przez Prezydenta. Jest to decyzja głowy państwa, czy chce skierować daną ustawę do weryfikacji przez TK. 

Na chwilę obecną nie opublikowano jeszcze wniosku Prezydenta o skierowaniu nowelizacji ustawy o KSC do TK. Nie znamy więc pełnego uzasadnienia i zakresu tego wniosku. Z informacji prasowej Kancelarii Prezydenta wynika, że wątpliwości wzbudziło objęcie ustawą aż 18 sektorów gospodarki, przepisy regulujące zasady uznawania podmiotów za dostawców wysokiego ryzyka (DWR) oraz zasady wydawania tzw. „poleceń zabezpieczających”. 

Zdaniem Prezydenta, przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania i to bez odszkodowania, i bez zabezpieczenia środków finansowych na ten cel. Głowa państwa wskazuje także na – jego zdaniem – wadliwy system podejmowania decyzji przez organy ds. cyberbezpieczeństwa wobec podmiotów kluczowych i ważnych, z punktu widzenia gwarancji proceduralnych oraz w zakresie ochrony sądowej. 

Według Prezydenta, również przewidziany system kar administracyjnych jest restrykcyjny, a wysokość możliwych do nałożenia kar ma wręcz charakter samodzielnych środków karnych.

Jaki czas ma TK na zajęcie się sprawą?

Trybunał Konstytucyjny nie ma ustawowo zakreślonego terminu, w którym musi rozpoznać sprawę, która do niego wpłynęła. Zależy to od organizacji pracy TK. 

Jakie scenariusze czekają nas w związku z kontrolą Trybunału Konstytucyjnego? Jakie orzeczenia może wydać TK i co się z nimi wiąże?

Jeżeli chodzi o kontrolę następczą w związku ze złożeniem przez Prezydenta do Trybunału Konstytucyjnego wniosku o zbadanie zgodności ustawy z Konstytucją, to prawo przewiduje zasadniczo dwie możliwości, zakładając, że Trybunał przyjmie daną sprawę do rozpoznania. 

Trybunał Konstytucyjny może przede wszystkim stwierdzić niezgodność określonych przepisów kontrolowanej ustawy z Konstytucją – wtedy albo z dniem ogłoszenia jego wyroku, albo też po upływie określonego w wyroku terminu, dochodzi do utraty mocy obowiązującej przez takie przepisy, tj. przestają one obowiązywać. 

Trybunał może też uznać kwestionowane przepisy za zgodne z Konstytucją.

Istotą jest jednak to, że orzeczenie Trybunału Konstytucyjnego wchodzi w życie z dniem ogłoszenia, co w obecnych warunkach nie zawsze ma miejsce. Rząd odpowiedzialny za publikację orzeczeń TK może, z przyczyn poza prawnych, nie dokonać takiej publikacji.

Teoretycznie więc, nawet jeśli Trybunał Konstytucyjny stwierdziłby niekonstytucyjność określonych przepisów ustawy, nie będzie to miało praktycznego znaczenia, dopóki jego orzeczenie nie zostanie opublikowane.