Profesor SGH też krytykuje zapisy KSC - to overimplementation

Według prof. Tomasza Siemiątkowskiego w kwestii cyberbezpieczeństwa jesteśmy świadkami próby legitymizacji kontrowersyjnych instytucji prawnych rzekomymi wymogami unijnymi. To przykład tzw. goldplatingu. Overimplementation,  pozłacanie (gold-plating) prawa UE, to nakładanie przez państwo członkowskie wyższych standardów prawnych, niż wynikałoby to z bezpośredniego brzmienia przepisów unijnych.

Tomasz Siemiątkowski jest profesorem Szkoły Głównej Handlowej, członkiem zespołu doradczego przy ministrze sprawiedliwości do spraw prawa Unii Europejskiej

Pełna treść artykułu znajduje się tutaj.

W toku postępowania minister cyfryzacji jest zobowiązany zasięgnąć „opinii” kolegium ds. cyberbezpieczeństwa, której charakter prawny jest niejasny. Kolegium analizuje w opinii przede wszystkim kryteria narodowościowe (kryteria pochodzenia) dostawcy, co określa się jako „zagrożenia bezpieczeństwa narodowego o charakterze ekonomicznym, wywiadowczym i terrorystycznym oraz zagrożeń dla realizacji zobowiązań sojuszniczych i europejskich, jakie stanowi dostawca sprzętu i oprogramowania” i „prawdopodobieństwo, z jakim dostawca sprzętu lub oprogramowania znajduje się pod kontrolą państwa spoza terytorium Unii Europejskiej lub Organizacji Traktatu Północnoatlantyckiego”. Kryteria techniczne (przedmiotowe) schodzą na dalszy plan. Po zakończeniu postępowania minister cyfryzacji wydaje decyzję o uznaniu dostawcy za DWR, jeżeli „dostawca stanowi poważne zagrożenie dla obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, lub życia i zdrowia ludzi”.

Ponownie, jak w przypadku opinii kolegium, projektowana regulacja posługuje się przesłankami nieostrymi, uznaniowymi, o dalece niejednoznacznej treści, zasiewanymi przecież na gruncie podatnym na interpretacje zależne od opcji politycznej, z której wywodzi się minister.

Od decyzji ministra cyfryzacji nie służy ani odwołanie, ani wniosek o ponowne rozpatrzenie sprawy, co kłóci się z gwarancją dwuinstancyjnego postępowania administracyjnego z art. 78 konstytucji. Decyzja o uznaniu za DWR, pomimo swojej dotkliwości dla jej adresatów, podlega rygorowi natychmiastowej wykonalności, co czyni następczą kontrolę sądową raczej symboliczną. Ponadto sąd rozpoznaje skargę na posiedzeniu niejawnym, a odpis sentencji wyroku z uzasadnieniem doręcza się wyłącznie ministrowi cyfryzacji. Skarżącemu doręcza się odpis wyroku z tą częścią uzasadnienia, która nie zawiera informacji niejawnych, co może uniemożliwiać podmiotowi uznanemu za DWR nie tylko obronę swoich praw, ale i zrozumienie racji, które doprowadzają do eliminacji go z polskiego rynku.

Okres wymiany sprzętu to cztery–siedem lat, ale skutki projektowanych zmian obserwujemy już obecnie. Uczestnicy obrotu obawiają się, że będą zmuszeni dokonywać wymian, więc usiłują antycypować ryzyka i już teraz starają się przewidywać, jakiego rodzaju sprzęt jest nieopłacalny.

Siemiątkowski uważa, że tylko przejrzyste i zgodne z prawem ponadustawowym kryteria są w stanie zapewnić, że podmioty zagrażające cyberbezpieczeństwu zostaną wyeliminowane z rynku, a podmioty, które temu cyberbezpieczeństwu nie zagrażają, będą na rynku działać. Procedura nierzetelna przy niejasno określonych, dyskryminacyjnych i politycznych przesłankach materialnoprawnych tych gwarancji nie daje. Zakres zadań stawianych przed ministrem cyfryzacji i kolegium ds. cyberbezpieczeństwa, brak wyspecjalizowanych kadr urzędniczych w zestawieniu z ogromnym zakresem podmiotowym ustawy, obejmującym rekordowe na tle Unii Europejskiej 18 sektorów, skłaniają do refleksji, że obrona przed cyberzagrożeniami pozostanie sloganem aktu prawnego, a nie realnym działaniem władzy.

Według prawnika, błędna i nieefektywna, niemniej podtrzymywana w kolejnej wersji projektu, jest koncepcja weryfikacji podmiotowej, którą należałoby zastąpić weryfikacją przedmiotową (techniczną), certyfikacją. W Niemczech funkcjonuje model, który mógłbym określić modelem uprzedniej weryfikacji przedmiotowej (certyfikacji). Operator musi powiadomić organ o planowanym pierwszym użyciu komponentu krytycznego, dołączając w razie potrzeby deklaracje gwarancyjne itd. Taka procedura, z udziałem wyspecjalizowanych organów technicznych, tworzy sito, przez które „niebezpieczne komponenty” wraz z ich producentami nie powinny przejść. Bez wątpienia należy postulować jasne i przejrzyste zasady materialnoprawne, ustrojowe i proceduralne, z poszanowaniem zasady proporcjonalności i sprawiedliwości proceduralnej i przy równoczesnym, pełnym i efektywnym, wykorzystaniu zasobów informacyjnych służb specjalnych. W mętnej wodzie – mętnym otoczeniu prawnym – ci, co są „winni”, dopłyną do brzegu, a ci, co są „niewinni”, utoną. W mętnej wodzie dobrze ryby łowić, a mętna regulacja tworzy zachętę do zachowań patogennych, lobbystycznych, korupcyjnych i nie zapewnia cyberbezpieczeństwa na żadnym poziomie.

Pełna treść artykułu znajduje się tutaj.