KSC: czy wdrożenie dyrektywy NIS2 musi być skomplikowane?

Niuanse i pułapki dotyczące wstrzymania działalności gospodarczej

Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażający NIS2, zawiera rozbudowany pakiet tzw. środków nadzorczych. W celu egzekwowania przepisów KSC właściwy organ może wydać szereg różnych nakazów. (1) Jeżeli podmiot kluczowy (jeden z dwóch głównych typów przedsiębiorców podlegających przepisom KSC) nakazu nie wykona, wówczas pojawia się możliwość wstrzymania koncesji, zezwolenia, czy wprost działalności (2) takiego podmiotu na 14 dni. (3) Wniesienie skargi wyłącznie na wstrzymanie działalności nie blokuje tego środka. Co więcej, środek ten może być przedłużany o kolejne okresy 14-dniowe. (4) Nic dziwnego, że przyszłe podmioty kluczowe, patrząc na regulację dotyczącą wstrzymania działalności, wstrzymują też oddech.

KSC zawiera niespójność, która wprowadza w błąd. W projekcie przewidziano możliwość wniesienia skargi administracyjnej zarówno na nakazy, jak i na wstrzymanie działalności, lecz tylko wniesienie skargi na nakaz powoduje „nie stosowanie” (5) wstrzymania działalności. Wniesienie skargi na samo wstrzymanie działalności nie powoduje „nie stosowania” tego środka. Przez 14 dni (i kolejne okresy przedłużenia) podmiot kluczowy będzie zamrożony. Czy takie było zamierzenie projektu? Niekoniecznie. Ta niespójność prawdopodobnie wynika ze stopnia skomplikowania projektu. KSC zawiera odesłania kaskadowe, w których łatwo stracić orientację.

Obawa o wstrzymanie działalności gospodarczej przez organ, bez rozstrzygnięcia sprawy przez sąd, jest zatem zasadna i aktualna. Podobne zastrzeżenia rodzi brak możliwości zaskarżenia zakazu pełnienia funkcji zarządczych przez kierownika do czasu usunięcia uchybień lub zaprzestania naruszeń.

Kwintesencja problemu DWR

Tematyce DWR poświęcono już morze atramentu i tonera. Warto jednak przypomnieć kwintesencję problemu. W moim przekonaniu sztorm na tym morzu można byłoby łatwo uspokoić, gdyby projekt ustawy nie wykraczał ponad to, co wynika z prawa UE. Gwarancje proceduralne w postępowaniu DWR są wręcz kadłubkowe, a skutki uznania za DWR są tak dotkliwe, że w oczywisty sposób naruszają nawet Konstytucję RP.

Dla porządku wypada przypomnieć, że dostawca sprzętu i oprogramowania może zostać uznany za DWR, jeżeli stanowi on zagrożenie dla podstawowego interesu bezpieczeństwa państwa. Co to znaczy? Pewne poszlaki w tym zakresie zawiera lista zagadnień stanowiących przedmiot opinii Kolegium ds. Cyberbezpieczeństwa, której zasięga organ przed wydaniem decyzji DWR. (6) Decyzja będzie zawierać listę sprzętu i oprogramowania, które podmioty kluczowe i ważne powinny wycofać z użytkowania. Pomimo, że decyzja dotyczy wskazania DWR, to podmioty kluczowe i ważne będą rozliczane z wykonania decyzji tj. z wycofania sprzętu z użytkowania pod groźbą kary. Tymczasem do postępowania w sprawie DWR, na prawach strony, będzie dopuszczonych zaledwie kilkunastu największych przedsiębiorców telekomunikacyjnych w Polsce, bez względu na to, że decyzja będzie skutkowała nałożeniem kosztownego obowiązku wymiany sprzętu na kilkadziesiąt tysięcy podmiotów. Projektodawca szacował liczbę podmiotów na 38 tys. NASK, w czasie niedawnego szkolenia z systemu zgłaszania incydentów, wskazał liczbę takich podmiotów na blisko 80 tys. Wisienką na torcie jest fakt że, posiedzenie sądu będzie niejawne, uzasadnienie wyroku również będzie w części niejawne. W konsekwencji nawet strony postępowania będą miały ograniczone możliwości odniesienia się do meritum decyzji.

Jedynym argumentem mającym przemawiać za dopuszczeniem do postępowania DWR wyłącznie kilkunastu największych telekomów jest ograniczenie liczby podmiotów postępowania. Merytorycznych argumentów nie ma. Mamy zatem do czynienia z oczywistym naruszeniem równości wobec prawa. Prof. Ryszard Piotrowski, w swojej opinii przygotowanej na zlecenie Krajowej Izby Komunikacji Ethernetowej, (7) określa to również naruszeniem zasady proporcjonalności, a nakaz wycofania sprzętu bez odszkodowania: upaństwowieniem podmiotów prywatnych. Nie sposób się z nim nie zgodzić.

Pokusa sztucznego ograniczania liczby i uprawnień uczestników postępowania zapewne nie pojawiłaby się, gdyby decyzja DWR dotyczyła tego, czego dotyczy w innych państwach członkowskich: wyłącznie elementów krytycznych sieci 5G. W takim przypadku decyzja DWR nakładałaby obowiązki na kilka podmiotów, a nie na nawet kilkadziesiąt tysięcy podmiotów w 18 sektorach gospodarki. Szczególne przepisy proceduralne byłyby wówczas niepotrzebne.

Obszerność regulacji i „wyjątki od wyjątków”

Dyrektywa NIS(1) zajmowała 30 stron w Dzienniku Urzędowym UE. Ustawa wdrażająca NIS(1) miała 44 strony w Dzienniku Ustaw. Dyrektywa NIS2 zajmuje 73 strony. Jednak projekt ustawy wdrażającej NIS2 ma aktualnie… 183 strony. Już to proste zestawienie obrazuje skalę pracy i wyzwańzwiązanych z projektem wdrażającym NIS2.

Obszerność i wysoki poziom skomplikowania projektu prowadzi niestety do luk w sprawach kluczowych z praktycznego punktu widzenia. Przykładowo:

• obowiązki ujęte w KSC będą spoczywać na podmiotach kluczowych i ważnych. Obowiązki te są kosztowne, a na dodatek obwarowane uciążliwymi sankcjami i środkami nadzorczymi, z których tylko jeden został omówiony na początku artykułu. Co do zasady każdy podmiot będzie oceniał samodzielnie, czy jest podmiotem kluczowym lub ważnym m.in. na podstawie zakresu prowadzonej działalności. Dlatego zakres działalności podlegający ustawie powinien zostać jednoznacznie określony, tak by podmioty mogły bez wątpliwości ustalić, czy są nią objęte. Tymczasem projekt ustawy nie zawiera np. definicji dostawcy punktu wymiany ruchu internetowego (IXP). Jeżeli projekt nie zostanie uzupełniony w tym zakresie, dostawcy IXP i usług wspierających lub pokrewnych nie będą wiedzieli, czy podlegają pod KSC, czy też nie;
• kwalifikacja podmiotu jako kluczowego lub ważnego zależy m.in. od ustalenia jego wielkości (liczba pracowników, roczny przychód). Jeżeli podmiot jest związany osobowo lub kapitałowo z innymi jednostkami (podmioty powiązane i partnerskie), jego wielkość jest powiększana o wielkość tych jednostek. Od zasady doliczania podmiotów powiązanych i partnerskich wprowadzono istotny wyjątek. Nie trzeba ich doliczać, jeżeli podmiot kluczowy lub ważny ma system informacyjny niezależny od podmiotów powiązanych lub partnerskich lub nie świadczy wspólnie z nimi usług. (8) Z ww. wyjątku nie będą mogli skorzystać m.in. średni, mali i mikro przedsiębiorcy komunikacji elektronicznej, czy też mali dostawcy usług zarządzanych w zakresie cyberbezpieczeństwa. Stanowi to wyjątek od wyjątku, który nie ma żadnego uzasadnienia poza prawdopodobnym przeoczeniem legislacyjnym.

Rynek potrzebuje przejrzystych regulacji cyberbezpieczeństwa

Projekt ustawy wdrażającej NIS2 jest coraz dłuższy (pierwotnie miał 133 strony, obecnie: 183) i coraz bardziej skomplikowany. Na stronie Rządowego Procesu Legislacyjnego publikowane są kolejne obszerne stanowiska wielu resortów z uwagami do projektu. Uwagi przedsiębiorców są regularnie poddawane dyskusji w mediach. W tej sytuacji wydaje się, że gdyby chociaż krytykowane przez przedsiębiorców nadregulacje zostały usunięte z projektu ustawy, być może łatwiej byłoby pracować stronie rządowej nad spójnością, a przede wszystkim nad zgodnością z Konstytucją RP tego obszernego dokumentu. Rynek potrzebuje spójnych i zrozumiałych regulacji, które będą wspierały bezpieczeństwo w cyberprzestrzeni.

----------------------------------

(1) Projekt art. 53 ust. 5 KSC.

(2) Projekt art. 53 ust. 9 KSC.

(3) Projekt art. 53e ust. 2 w zw. z art. 53 ust. 9 KSC.

(4) Projekt art. 53e ust. 4 w zw. z art. 53 ust. 9 KSC.

(5) W projekcie art. 53 ust. 11 KSC mowa jest wyłącznie o „nie stosowaniu” środka w postaci wstrzymania działalności, gdy wniesiona zostanie skarga na jeden z nakazów.

(6) Projekt art. 67b ust. 11 KSC.

(7) ^https://kike.pl/2025/06/prof-piotrowski-przepisy-dwr-niezgodne-z-konstytucja/

^(8) Projekt art. 5 ust. 6 i 7 KSC.