„Bezpieczeństwo nie ma barw partyjnych, dlatego tę ustawę podpisałem” — powiedział Karol Nawrocki w nagraniu opublikowanym na portalu X. Chodzi o nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, zwaną często Lex Huawei.
Prezydent, argumentując swoją decyzję, podkreślił, że ustawa wzmacnia mechanizmy obronne, poprawia współpracę instytucji i pozwala eliminować dostawców wysokiego ryzyka. Mimo to skierował ją w trybie kontroli następczej do Trybunału Konstytucyjnego z uwagi na dobro przedsiębiorców.
— Żyjemy w epoce, w której wojna nie zawsze zaczyna się od wystrzału, czasem zaczyna się od kliknięcia. Liczba cyberataków rośnie dramatycznie — powiedział prezydent w nagraniu opublikowanym na portalu X.
Informując o podpisaniu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, dodał, że bezpieczeństwo cyfrowe jest dziś elementem bezpieczeństwa państwa. — Ta ustawa wzmacnia mechanizmy obronne, poprawia współpracę instytucji i pozwala eliminować dostawców wysokiego ryzyka — powiedział.
Zobacz też: Nawrocki zaskoczył wszystkich! Jego projekt może rozpętać największy kryzys w sądach od czasów Ziobry
x.com
Dodał jednak, że musi także zareagować na głos przedsiębiorców, którzy uważają, że ustawowe obowiązki stosowane wobec nich są nadmiarowe i nieproporcjonalne. Dlatego w tej sprawie skieruje wniosek o kontrolę następczą do Trybunału Konstytucyjnego.
Nowelizacja to efekt prac zarówno rządu PiS, jak i koalicji 15 października. Pierwszy raz nowelizacja została upubliczniona we wrześniu 2020 r. Trzy lata później projekt trafił do Sejmu, ale rząd go wycofał przed rozpoczęciem prac. Po przejęciu władzy przez Koalicję 15 października prace nad przepisami ruszyły na nowo i w końcu zostały sfinalizowane. Ustawa wejdzie w życie po upływie miesiąca od dnia ogłoszenia.
Zobacz też: Prezydent Karol Nawrocki wetuje ustawę o KRS. Waldemar Żurek odpowiada
Co zmienia ustawa o KSC?
Ustawa wdraża dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, tzw. dyrektywę NIS 2 przyjętą w grudniu 2022 r. NIS to skrót od „Network and Information Systems Directive„.
Dyrektywa powinna być stosowana już od października 2024 r. Komisja Europejka już wezwała Polskę do wyjaśnienia opóźnień w jej wdrożeniu.
Nowelizacja m.in. rozszerza katalog podmiotów objętych wynikającymi z niej obowiązkami, wzmacnia systemy reagowania na incydenty oraz doprecyzowuje role organów odpowiedzialnych za cyberbezpieczeństwo.
Zobacz też: Własna broń nuklearna? Profesor wskazuje, co Polska musiałaby najpierw zrobić
Dostawcy wysokiego ryzyka
Najważniejsza zmiana dotyczy dostawców wysokiego ryzyka, a więc tych dostawców nowych technologii, sprzętu lub oprogramowania, którzy nie gwarantują bezpieczeństwa. Z tego powodu ustawa jest nazywana Lex Huawei.
Podmioty kluczowe dla funkcjonowania państwa nie będą mogły wprowadzać do systemów produktów od dostawcy wysokiego ryzyka, a jeśli takie posiadają — będą obowiązane do ich wycofania w ciągu 7 lat. Dostawca, który nie zgadza się z decyzją, będzie mógł wnieść skargę do sądu administracyjnego. I te przepisy też nie spodobały się prezydentowi.
„Przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania i to bez odszkodowania, i bez zabezpieczenia środków finansowych na ten cel. Ponadto wadliwy jest system podejmowania decyzji przez organy ds. cyberbezpieczeństwa wobec podmiotów kluczowych i ważnych, z punktu widzenia gwarancji proceduralnych oraz w zakresie ochrony sądowej. Przewidziany ustawą system kar administracyjnych jest restrykcyjny, a wysokość możliwych do nałożenia kar ma wręcz charakter samodzielnych środków karnych” — czytamy w informacji na stronie prezydenta.
18 branż to za dużo
Ponadto za sprawą ustawy krajowy system cyberbezpieczeństwa (KSC) zostanie rozszerzony o nowe sektory gospodarki, takie jak np. odprowadzanie ścieków, usługi pocztowe, przestrzeń kosmiczna czy produkcja i dystrybucja chemikaliów oraz żywności. Chodzi o to, że dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych zastąpi nowa kategoria podmiotów kluczowych i podmiotów ważnych. To oznacza, że więcej przedsiębiorstw będzie musiało spełniać wysokie wymogi dyrektywy NIS2, np. co do raportowania incydentów, szacowania ryzyka, odpowiedzialności kierownictwa.
Wątpliwości prezydenta budzi objęcie ustawą aż 18 branż gospodarki pogrupowanych w podmioty kluczowe i ważne. Przy czym jego zdanie rozszerzenie to nie wynika z przepisów europejskich, a jest samodzielną inicjatywą rządu. Z tego powodu skierował te przepisy do TK.
Jak wyjaśnia Adam Woźniak, partner w Grant Thornton, lider zespołu Cyberbezpieczeństwa Technology, istniejące standardy dotyczyły wąskiej grupy przedsiębiorstw, a wdrożenie nowych wymogów będzie kosztowne. Jego zdaniem jednak lepiej potraktować to jako inwestycję.
I wskazuje na jeszcze jedną ważną zmianę, która dotyczy członków zarządów. Będą oni ponosili osobistą odpowiedzialność za naruszenia, z odpowiedzialnością karną włącznie. Kary administracyjne są dotkliwe — do 10 mln euro lub 2 proc. globalnego obrotu. Niezbędne staje się wdrożenie procesu zarządzania ryzykiem oraz odpowiedzialności.
Co może zrobić Trybunał?
Ustawy skierowane do TK w trybie następczym, a więc po podpisaniu, są rozpatrywane tak jak inne. Nie ma terminu na rozpoznanie wniosku prezydenta, np. w okresie vacatio legis ustawy, a więc przed jej wejściem w życie.
Trybunał może podzielić wątpliwości prezydenta i uznać, że dany przepis jest niekonstytucyjny. Może on stracić moc w dniu ogłoszenia wyroku, ale nie musi. TK może też wskazać termin na jego usunięcie. Obecny rząd nie publikuje wyroków TK, co może skomplikować sytuację firm objętych przepisami.
Trybunał może też nie zgodzić się z argumentami prezydenta, a wówczas przepisy będą nadal obowiązywały.
Wyniki Biznes Fakty:
- Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), znana jako Lex Huawei, została podpisana przez Prezydenta RP.
- Ustawa wdraża unijną dyrektywę NIS 2, która ma na celu podniesienie poziomu cyberbezpieczeństwa w Unii Europejskiej. Dyrektywa ta miała wejść w życie w październiku 2024 r.
- Główna zmiana dotyczy kategorii „dostawców wysokiego ryzyka”, czyli dostawców technologii, sprzętu lub oprogramowania, którzy nie zapewniają wystarczających gwarancji bezpieczeństwa.
- Podmioty kluczowe dla państwa nie będą mogły używać produktów od tych dostawców i będą musiały je wycofać w ciągu 7 lat.
- Prezydent skierował ustawę do Trybunału Konstytucyjnego (TK) w trybie kontroli następczej, ze względu na wątpliwości dotyczące ochrony przedsiębiorców.
- Główne zastrzeżenia Prezydenta dotyczą:
- Obowiązku wymiany sprzętu i oprogramowania bez odszkodowania i zabezpieczenia środków finansowych dla przedsiębiorców.
- Wadliwego systemu podejmowania decyzji przez organy ds. cyberbezpieczeństwa, w tym braku odpowiednich gwarancji proceduralnych i ochrony sądowej dla podmiotów kluczowych i ważnych.
- Restrykcyjnego systemu kar administracyjnych, które mogą być bardzo wysokie (do 10 mln euro lub 2% globalnego obrotu).
- KSC zostanie rozszerzony o nowe sektory gospodarki (łącznie 18 branż) poprzez wprowadzenie kategorii podmiotów kluczowych i ważnych. Wymaga to od przedsiębiorstw spełnienia m.in. wymogów dotyczących raportowania incydentów, szacowania ryzyka i odpowiedzialności kierownictwa.
- Prezydent ma zastrzeżenia do objęcia ochroną KSC aż 18 branż, co uważa za inicjatywę niezwiązaną z przepisami europejskimi.
- Członkowie zarządów będą ponosić osobistą odpowiedzialność za naruszenia, w tym odpowiedzialność karną.
- Trybunał Konstytucyjny może uznać przepisy za niekonstytucyjne, co może spowodować utratę ich mocy obowiązującej, ale nie ma gwarancji natychmiastowego wejścia w życie orzeczenia.
- Przepisy ustawy wejdą w życie miesiąc po jej ogłoszeniu, chyba że Trybunał Konstytucyjny zdecyduje inaczej.
Oryginał artykułu : businessinsider.com.pl