Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa miała być jednym z kluczowych projektów porządkujących bezpieczeństwo cyfrowe państwa i domykających wieloletni proces implementacji unijnej dyrektywy NIS2. Po latach zapowiedzi i kolejnych podejść legislacyjnych ustawa została wreszcie uchwalona. Nie zakończyło to jednak debaty, a przeciwnie, przeniosło ją na poziom konstytucyjny. Dziś, gdy projekt czeka na podpis Prezydenta RP, pytanie nie brzmi już, czy Polska potrzebuje cyberbezpieczeństwa, lecz czy przyjęte rozwiązania nie naruszają fundamentów państwa prawa.
Projekt o długiej historii i nagłym finale
Historia nowelizacji ustawy o KSC jest długa i pełna zwrotów. Prace nad nią trwały przez kilka lat, rozpoczęły się jeszcze za rządów PiS. To jednak obecna koalicja sfinalizowała jej uchwalenie. Projekt był wielokrotnie krytykowany – zarówno przez środowiska biznesowe, jak i część klasy politycznej. Zwracano uwagę, że znacznie wychodzi poza unijną dyrektywę, obejmie obowiązkami aż 40 tys. polskich firm i daje ministrowi właściwemu ds. cyfryzacji (czyli obecnie Krzysztofowi Gawkowskiemu) ogromną władzę. Tą drogą nie poszły Niemcy, Hiszpania czy Czechy. Z kolei każdą krytykę projektu strona rządowa kwitowała oskarżeniami o torpedowanie cyberbezpieczeństwa i zapowiadała, że projekt nie podlega negocjacjom.
Co istotne, także Prawo i Sprawiedliwość przez długi czas zgłaszało daleko idące zastrzeżenia wobec proponowanych rozwiązań. Tym bardziej zaskakujący był końcowy zwrot, gdy ugrupowanie to poparło ustawę w decydującym głosowaniu, w zamian za kilka mało istotnych dla meritum regulacji poprawek. Konsekwentne w swojej krytyce, po wycofaniu się PiS, pozostały Konfederacja oraz Konfederacja Korony Polskiej. W ten sposób projekt trafił na biurko prezydenta, a ciężar odpowiedzialności przesunął się z parlamentu na głowę państwa.
Eksperci: cel słuszny, środki problematyczne
Wątpliwości wobec ustawy nie mają charakteru wyłącznie politycznego. Najpoważniejsze zarzuty w przekazanych Sejmowi opiniach formułują konstytucjonaliści i eksperci prawa UE. W swojej opinii prof. Ryszard Piotrowski wskazuje, że projekt narusza zasadę proporcjonalności (art. 31 ust. 3 Konstytucji RP), ponieważ sięga po środki bardzo dolegliwe, mimo istnienia alternatywnych, mniej restrykcyjnych instrumentów — takich jak certyfikacja cyberbezpieczeństwa czy dywersyfikacja dostawców technologii.
Ten sam autor podnosi również zarzut ingerencji w prawo własności (art. 21 i 64 Konstytucji RP). Obowiązek usuwania sprzętu lub oprogramowania, przy braku realnego mechanizmu słusznego odszkodowania, może — w jego ocenie — prowadzić do formy wywłaszczenia.
Procedury, które osłabiają ochronę sądową
Kolejny blok zastrzeżeń dotyczy gwarancji proceduralnych. Prof. Maciej Rogalski zwraca uwagę, że projektowane przepisy ograniczają realne prawo do sądu (art. 45 i 77 Konstytucji RP). Wyłączenie standardowych zasad postępowania administracyjnego, zawężenie kręgu stron oraz nadanie decyzjom rygoru natychmiastowej wykonalności powodują, że nawet późniejsze korzystne orzeczenie sądu może nie usunąć skutków decyzji administracyjnej. W praktyce kontrola sądowa może stać się iluzoryczna.
Ryzyka unijne: gold-plating i brak notyfikacji
Zastrzeżenia pojawiają się także na poziomie prawa UE. Dr hab. Piotr Bogdanowicz wskazuje, że część przepisów nowelizacji ma charakter techniczny i powinna zostać notyfikowana Komisji Europejskiej zgodnie z dyrektywą 2015/1535. Brak notyfikacji rodzi ryzyko odmowy stosowania tych przepisów przez sądy krajowe.
Z kolei prof. Paweł Wajda ocenia projekt jako przykład niedopuszczalnego gold-platingu — wyjścia poza minimalne wymogi dyrektywy NIS2. W jego ocenie ustawa rezygnuje z podejścia opartego na stopniowej ocenie realnych zagrożeń i reagowaniu adekwatnie do ryzyka. Zamiast tego wprowadza twarde, ostateczne decyzje, które z góry eliminują określone rozwiązania ze względu nie na związane z nimi ryzyka, a dostawców. Może to doprowadzić do sytuacji, w której te same technologie będą dopuszczone w jednych krajach Unii, a zakazane w innych, co rozbije wspólny rynek i utrudni działalność firm działających transgranicznie.
Co może zrobić prezydent Nawrocki?
W tej sytuacji rola Prezydenta RP nie sprowadza się do formalnego zatwierdzenia decyzji większości parlamentarnej. Konstytucja czyni go strażnikiem jej przestrzegania. Prezydent ma trzy drogi: podpisanie ustawy, skierowanie jej do Trybunału Konstytucyjnego w trybie kontroli prewencyjnej albo zawetowanie projektu. Podpisanie ustawy bez reakcji byłoby równoznaczne z akceptacją ryzyka, że poważne wątpliwości konstytucyjne zostaną rozstrzygnięte dopiero w praktyce – przez sądy, przedsiębiorców i instytucje unijne. Z kolei skierowanie ustawy do Trybunału Konstytucyjnegonie blokuje ochrony cyberbezpieczeństwa, lecz daje szansę na jej uporządkowanie w granicach konstytucji. To rozwiązanie pozwoliłoby oddzielić słuszny cel od wadliwych środków.
Jest jeszcze możliwość odesłania ustawy do ponownego rozpoznania przez Sejm, czyli zawetowania. Prezydent mógłby skorzystać z tego prawa, jednocześnie zapowiadając złożenie własnego projektu. To wymagałoby elastyczności ze strony koalicji rządzącej, ale dałoby realną szansę na przyjęcie regulacji, która zyska poparcie całej klasy politycznej i nie będzie niosła ryzyka niekonstytucyjności. I, co równie istotne, zapewni cyberbezpieczeństwo bez konieczności poświęcania polskiej gospodarki.
Cyberbezpieczeństwo wymaga stanowczych działań. Ale historia pokazuje, że najgroźniejsze dla państwa są nie te ustawy, które niczego nie regulują, lecz te, które regulują zbyt dużo i zbyt brutalnie. Bezpieczeństwo i konstytucja nie są wartościami konkurencyjnymi. Są współzależne. I żadna z nich nie powinna być poświęcana w imię drugiej.
Tym tekstem rozpoczynamy cykl analiz, poświęconych ważnej dla polskich przedsiębiorców i dla bezpieczeństwa Polski ustawy. Ustawa budziła podczas jej procedowania wielkie emocje, budzi również wątpliwości prawne. Czy prezydent Nawrocki zdecyduje się ją podpisać?