Busiło: nowa ustawa o cyberbezpieczeństwie nie spełnia zasad demokratycznego państwa prawa

Mariusz Busiło z kancelarii Bącal, Busiło Sp. k. ocenił w dzienniku Rzeczpospolita, że mechanizm ingerowania administracji publicznej w budowę sieci telekomunikacyjnych przez prywatnych operatorów budzi kontrowersje, a rządowa propozycja zmian do ustawy o krajowym systemie negatywnie zaskoczyła chyba wszystkie podmioty działające na rynku telekomunikacyjnym w Polsce. Przygotowywany w atmosferze tajemnicy, został w końcu przedstawiony do publicznych konsultacji, z niezwykle krótkim, jak na zakres proponowanych zmian i skutki terminem 14 dni na zgłaszanie uwag.

Pierwszą kwestią budzącą wątpliwości prawnika jest włączenie wszystkich sieci telekomunikacyjnych, w zakres działania ustawy o systemie cyberbezpieczeństwa RP, mimo że od siedmiu lat mają one swoją osobną regulację bezpieczeństwa. Ministerstwo Cyfryzacji, wskazuje że „zmiany są konieczne z powodu podjętych na poziomie europejskim zobowiązań”, wskazując jako ich źródło tak zwany „5G Toolbox”, czyli zestaw narzędzi przygotowanych przez Komisję Europejską, Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).

Według Busiło, implementacja 5G Toolbox powinna zostać wykonana w przepisach wykonawczych do ustawy Prawo telekomunikacyjne, a nie zostać objęta oddzielnym reżimem ustawowym, wynikającym z dyrektywy NIS. W tym kontekście, projekt ustawy wydaje się sprzeczny z harmonizacją europejską, a część przepisów tam zawartych powiela obecnie już zawarte w innej ustawie (Prawo Telekomunikacyjne) oraz w projekcie ustawy Prawo Komunikacji Elektronicznej.

Kolejna regulacja, która wpada w oko już w pierwszym czytaniu, to kontrowersyjny mechanizm ingerowania administracji publicznej w budowę sieci telekomunikacyjnych przez prywatnych operatorów.

Mowa o projektowanym art. 66b, który stwierdza, że „w przypadku sporządzenia oceny ryzyka określającej wysokie ryzyko dostawcy sprzętu lub oprogramowania” podmioty objęte ustawą (w tym operatorzy telekomunikacyjni) muszą wprowadzać do użytkowania sprzęt, oprogramowania lub usługi określone w ocenie danego dostawcy sprzętu lub oprogramowania oraz wycofać z użytkowania sprzęt, oprogramowanie i usługi określone w ocenie danego dostawcy sprzętu lub oprogramowania nie później niż 5 lat od dnia ogłoszenia komunikatu o ocenie. Nie przewidziano żadnych odszkodowań od Skarbu Państwa z tytułu tego swoistego wywłaszczenia.

Ocena ogłaszana jest Monitorze Polskim, w procesie bez udziału zainteresowanych podmiotów (ani dostawca, ani podmioty, na które nakłada się kosztowne obowiązki nie mają na nią wpływu) oraz bez możliwości jakiegokolwiek odwołania się do niezależnego organu wyższej instancji czy kontroli sądowej.

Jedynie w przypadku określenia umiarkowanego lub niskiego ryzyka dostawca, którego  dotyczy  ta ocena  dostawcy sprzętu  lub oprogramowania, może przedstawić Kolegium środki zaradcze i plan naprawczy, a Kolegium wydające ocenę w przypadku akceptacji tych środków i planu naprawczego może zmienić ocenę. Sama ocena jest dokonywana w oparciu o bardzo ogólne i arbitralne kryteria, bez konkretnych miar i obiektywnych wskaźników. Z inicjatywą przeprowadzenia oceny może zwrócić się dowolny członek Kolegium. Ocena może dotyczyć arbitralnie wybranego dostawcy. W efekcie mamy sytuację, w której w niejawnej procedurze zbliżonej w działaniu do sądu kapturowego nakładane mogą być obowiązki, których wykonanie może kosztować prywatne przedsiębiorstwa nawet miliardy złotych. Negatywny wpływ na konkurencję (wykluczanie dostawców może sprzyjać tworzeniem monopoli i oligopoli), skutków społecznych (wzrost cen, który będzie musiał rekompensować koszty wycofywania sprzętu, odbije się negatywnie na konsumentach) i wzrostu wykluczenia cyfrowego.

Przewidziane w art. 66b i nn. regulacje nie spełniają podstawowych zasad demokratycznego państwa prawa.