Kolejny profesor ostro krytykuje zapisy noweli KSC

Prof. dr hab. Marek Chmaj, wspólnik zarządzający kancelarii Chmaj i Partnerzy, w Dzienniku Gazecie Prawnej krytykuje zapisy, które mają zostać wprowadzone w nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.

Pełna treść artykułu znajduje się tutaj.

Według założeń projektu, minister właściwy do spraw informatyzacji może wszcząć postępowanie w sprawie uznania za dostawcę wysokiego ryzyka. Kryteria do zainicjowania postępowania kontrolnego to ochrona bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego.

Nowe przepisy przewidują , że przed wydaniem decyzji minister zasięgnie opinii Kolegium tj. organu krajowego systemu cyberbezpieczeństwa. Kolegium zbada między innymi prawdopodobieństwo z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego. Decyzja o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka ma być udostępniona w Monitorze Polskim oraz w Biuletynie Informacji Publicznej.

Zgodnie z postanowieniami projektu decyzja taka będzie podlegała natychmiastowemu wykonaniu, a dostawcy nie przysługuje prawo do wnioskowania o ponowne rozpoznanie sprawy. Sankcją dla dostawcy uznanego za dostawcę wysokiego ryzyka jest zakaz wprowadzania do użytkowania produktów, usług i procesów ICT w zakresie objętym decyzją oraz nakazy wycofania z użytkowania typów produktów, usług i procesów ICT, w zakresie objętym decyzją, dostarczanych przez dostawcę wysokiego ryzyka nie później niż 7 lat od dnia ogłoszenia lub udostępnienia informacji o decyzji.

Według Chmaja, opisany proces kontroli to wyłącznie kosmetycznie zmodyfikowana pierwotna wizja projektodawcy na zmianę przepisów o krajowym systemie cyberbezpieczeństwa. Poprzednie próby nowelizowania ww. przepisów zostały krytycznie ocenione przez przedsiębiorców telekomunikacyjnych i konstytucjonalistów. Wydaje się, że projektodawca podejmując kolejną inicjatywę legislacyjną pod przykrywką nowego projektu dąży do przeforsowania swojego, sobie podporządkowanego, pomysłu na działalność branży telekomunikacyjnej.

Projektowany tryb oceny dostawców sprzętu, usług i oprogramowania budzi istotne wątpliwości w zakresie zgodności z Konstytucją. Ustrojodawca, w ustawie zasadniczej, określił fundamenty demokratycznego państwa prawnego, które powinny mieć odzwierciedlenie w prawie stanowionym. Zgodnie z Konstytucją projektowane akty prawne powinny chronić praw nabyte osób fizycznych oraz prawnych, powinny być zgodne z zasadą niedziałania prawa wstecz oraz zasadą równości. Analiza przepisów projektu dotyczących postępowania kontrolnego, już na pierwszy rzut oka, prowadzi do wniosku, że zupełnie nie zastosowano się do wskazanych zasad ustawy zasadniczej.

Według Chmaja, postępowanie kontrolne od sposobu zawiadomienia o jego wszczęciu po formę jego zakończenia nie odpowiada standardom demokratycznego państwa prawa.