Polski rząd pracuje nad nowelizacją ustawy o cyberbezpieczeństwie. Trudno jednoznacznie przewidzieć, z jakimi zmianami będzie się to wiązało, ale jeden z prawników jest zdania, że wyeliminuje to chiński sprzęt i oprogramowanie z polskiego rynku. Wskazują na to wypowiedzi polityków, dla których najważniejsze jest bezpieczeństwo państwa ponad swobodą działalności przedsiębiorców.
Rządowy projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa może utrudnić funkcjonowanie polskich przedsiębiorców. Wszystko przez eliminowanie z polskiego rynku chińskich dostawców sprzętu i oprogramowania. Krótszy łańcuch dostaw może być problemem dla 38,5 tys. podmiotów z sektora prywatnego i publicznego.
Jakie firmy będą DWR i kto będzie o tym decydował?
W projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa pojawia się określenie dostawcy wysokiego ryzyka (DWR). Oznacza to, że w kluczowych dla państwa sektorach jak:
– energetyczny,
– transportowy,
– bankowy,
– ochrony zdrowia,
– administracji publicznej,
– żywnościowy,
– pocztowy
– gospodarowania odpadami
nie będzie można korzystać ze sprzętu i oprogramowania firm, które za takiego dostawcę wysokiego ryzyka zostaną uznane.
Projekt ustawy zakłada powołanie w tym celu nowej instytucji.
– Zgodnie z projektem ustawy powstanie instytucja, która w drodze decyzji administracyjnej będzie mogła decydować o tym, czy dany dostawca produktów, usług, procesów spoza Unii Europejskiej (UE) i Stanów Zjednoczonych jest dostawcą wysokiego ryzyka. W ustawie nie wpisano wprost Chin, ale wszyscy wiedzą, że właśnie o nie chodzi – mówi prof. Marek Chmaj, konstytucjonalista.
Firma COIG podaje, że w Polsce działa prawie 4 tys. podmiotów z kapitałem chińskim. Większość z nich dostarcza elektronikę. Chińskie podzespoły, skomputeryzowane maszyny i inne komponenty wykorzystuje się w taśmach produkcyjnych, urządzeniach energetycznych, samochodach, maszynach budowlanych urządzeniach do przeprowadzania in vitro. Właściwie trudno znaleźć gałąź gospodarki, w której nie występują. Ich zakaz może nie tylko utrudnić działania w wielu branżach, ale też całkiem nie uniemożliwić.
Paweł Olszewski uspokaja i zapewnia, że nie ma jednoznacznej przesłanki, iż wszelkie produkty związane z Chinami będą w Polsce zakazane. Mówi też o tym, że DWR to definicja, która niekoniecznie będzie dotyczyć Chin.
– Za dostawcę wysokiego ryzyka będzie mogła zostać uznana nie tylko firma chińska, a każda inna bez względu na kraj pochodzenia, w tym również firma polska. Procedura uwzględnia relacje z krajami UE oraz NATO, natomiast jest to jedna kwestia z wielu, które muszą zostać ustalone podczas sformalizowanej, wieloetapowej, indywidualnej procedury administracyjnej – zapewnia Paweł Olszewski, wiceminister cyfryzacji i opiekun projektu ustawy.
Projekt ustawy zakłada, że postępowanie będzie mogło być wszczęte z urzędu przez ministra cyfryzacji. Będzie się to odbywało chociażby w sytuacji, gdy otrzyma on sygnały o potencjalnym zagrożeniu naruszenia bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Postępowanie będzie wszczynane również na wniosek przewodniczącego Kolegium ds. Cyberbezpieczeństwa, czyli premiera.
Korzystanie ze sprzętu DWR oznacza kary
W przypadku uznania w postępowaniu, że dany dostawca nie stanowi zagrożenia, będzie ono umarzane. Jednak istnieje obawa, że firmy i instytucje już teraz korzystają z oferty dostawców, których państwo dopiero uzna za ryzykownych czy nawet w większości opierają na takim sprzęcie działalność. Zgodnie z ustawą będą one musiały wycofać taki sprzęt czy oprogramowanie ciągu siedmiu lub czterech lat. Dla wielu firm to koniec działalności.
Kary za niedostosowanie się do przepisów są znaczne. W przypadku podmiotów z sektorów kluczowych to co najmniej 20 tys. zł. W sektorach ważnych – co najmniej 15 tys. zł. Nałożona kara może być kwotowa lub zależeć od rocznych dochodów i stanowić ich wartość procentową. Zależy to od tego, która kwota będzie wyższa.
Rząd przekonuje jednak, że sprzęt lub oprogramowanie będą wycofywane tylko w nadzwyczajnych przypadkach zagrożenia bezpieczeństwa państwa i obywateli.
– Większość krajów UE, które wdrożyły Toolboxa 5G [red.:unijny zestaw środków dla cyberbezpieczeństwa sieci 5G] wprowadziła tego typu rozwiązanie. Idziemy dokładnie środkiem drogi wytyczonej w dyrektywie NIS 2. Nie będziemy ani zbyt liberalni, ani zbyt konserwatywni – przekonuje Paweł Olszewski.
Prawnik jednak obawia się skutków uchwalenia tych przepisów. Jedną z obaw jest to, że podmioty uznane za dostawców wysokiego ryzyka nie będą mogły odwołać się od decyzji na drodze sądowej. Jedyne kroki, jakie będą mogły podejmować, to wnioskowanie o ponowne rozpatrzenie sprawy. Ale odbywać się to będzie w tej samej instytucji, która wcześniej uznała daną firmę za DWR, więc szanse na zmianę decyzji są znikome.
– Jeśli ustawa zostanie uchwalona w obecnym kształcie, może zostać uznana za niezgodną z konstytucją przez polski Trybunał Konstytucyjny. Może być też przedmiotem postępowań UE. Zakładam, że projekt ustawy będzie notyfikowany w Komisji Europejskiej, więc może zostać na tę ustawę złożona skarga do Trybunału Sprawiedliwości Unii Europejskiej (TSUE), a to są już bardzo poważne kwestie – ostrzega prof. Marek Chmaj.
Źródło: money.pl
