Czy nowela ustawy o krajowym systemie cyberbezpieczeństwa wymaga zgłoszenia do TRIS?
Prace legislacyjne nad ustawą o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw („nowela k.s.c.”) trwały prawie 3 lata. W dniu 6 czerwca Rada Ministrów („RM”) zatwierdziła 11 wersję tej noweli. Rozszerza ona zakres ustawy z dnia 5.07.2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r., poz. 1560 ze zm., “k.s.c.”) o procedurę dotyczącą tzw. dostawców wysokiego ryzyka. Przewiduje w art. 66a ust. 1, że Minister właściwy do spraw informatyzacji („Minister”), w celu ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, może wszcząć postępowanie w sprawie uznania dostawcy produktów lub usług ICT, które są wykorzystywane przez podmioty w tym przepisie wskazane, za dostawcę wysokiego ryzyka. Decyzja Ministra powinna wskazywać typy produktów i usług ICT pochodzące od takiego dostawcy (art. 66a ust. 12-13 noweli k.s.c.), które nie będą mogły być wprowadzane do obrotu oraz będą musiały być wycofane z infrastruktury przez przedsiębiorców posiadających je w swojej sieci (art. 66b ust. 1-3 noweli k.s.c.).
W wersji noweli k.s.c. już z 4.03.2021 r., w przypisie nr 2, zawarta była informacja, że niniejsza nowela k.s.c. została notyfikowana Komisji Europejskiej („KE”), zgodnie z § 4 rozporządzenia RM z 23.12.2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji norm i aktów prawnych (Dz.U. Nr 239, poz. 2039 ze zm., „Rozporządzenie”), które wdraża postanowienia dyrektywy (UE) 2015/1535 Parlamentu Europejskiego i Rady z 9.09. września 2015 r. ustanawiającej procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego (Dz. Urz. UE L 241 z 17.09.2015, „Dyrektywa 2015/1535”). Również w kolejnych 9 wersjach noweli k.s.c. była przewidziana notyfikacja, a dopiero w ostatniej wersji z 7.06.2023 r. przypis nr 2 w powyżej zacytowanym brzmieniu został skreślony. W uzasadnieniu noweli k.s.c. z 7.06.2023 r. można tylko przeczytać, że nowela k.s.c. nie podlega jednak notyfikacji na podstawie Rozporządzenia, ale nie jest wyjaśnione, dlaczego uznano notyfikację za zbędną.
Zgodnie z art. 5 Dyrektywy 2015/1535 państwa członkowskie Unii Europejskiej („UE”) są zobowiązane powiadamiać KE i pozostałe państwa UE o każdym projekcie przepisów technicznych dotyczącym produktów i usług społeczeństwa informacyjnego przed przyjęciem go w prawodawstwie krajowym. KE opracowała kompleksową bazę danych zawierającą wszystkie zgłoszone projekty, zwaną TRIS (ang. Technical Regulations Information System).
W Polsce aktem prawa krajowego na podstawie którego dokonuje się notyfikacji jest wspomniane Rozporządzenie, które nie posiada jednak nadrzędnego charakteru nad Dyrektywą 1535/2015 i powinno być interpretowane w taki sposób, aby zapewnić wykonalność postanowień tej dyrektywy. Potwierdza to także orzecznictwo sądowe: Zgodnie z zasadą pierwszeństwa stosowania prawa wspólnotowego, nikt (…) nie może powoływać się na przepis (…) rozporządzenia dla uzasadnienia odstąpienia od obowiązku notyfikacji przepisów spełniających wymogi przepisów technicznych (wyrok WSA w Szczecinie z 30.01.2014 r., II SA/Sz 777/13).
Definicję „przepisów technicznych” zawiera art. 1 ust. 1 lit. f) Dyrektywy 2015/1535, które oznaczają specyfikacje techniczne i inne wymagania bądź zasady dotyczące usług, włącznie z odpowiednimi przepisami (…), jak również przepisy ustawowe, wykonawcze i administracyjne państw członkowskich, (…), zakazujące produkcji, przywozu, wprowadzania do obrotu lub stosowania produktu 9…). Analogicznie jest definiowany „przepis techniczny” w Rozporządzeniu, który oznacza w szczególności regulacje pośrednio ograniczające wprowadzenie do obrotu produktów (§ 2 pkt 5 lit e) Rozporządzenia. Rozporządzenie definiuje także w § 2 pkt 6 „akt prawny wyłączający stosowanie zasady swobodnego przepływu towarów”, jako akt prawny, na podstawie którego wprowadza się zakaz przywozu albo zakaz wprowadzania produktu do obrotu, odmawia się wydania pozwolenia na wprowadzenie produktu do obrotu, wprowadza się obowiązek dokonywania modyfikacji produktu lub wycofuje się produkt z obrotu.
Przepisy noweli k.s.c. przewidują zakaz wprowadzania określonych produktów i usług ICT pochodzących od dostawców, którzy zostali uznani za dostawców wysokiego ryzyka. Uregulowania te zawierają element obligatoryjności, w postaci obowiązku, jako nieodłącznej właściwości przepisu technicznego (zob. wyrok WSA we Wrocławiu z 12.01.2011 r., III SA/Wr 483/10, Legalis). Zakaz ten obejmuje sprzęt, który wcześniej nie podlegał żadnym ograniczeniom i przepisom technicznym. Nowela k.s.c. zawiera więc „przepisy techniczne” w rozumieniu art. 1 ust. 1 lit. f) Dyrektywy 2015/1535 oraz § 2 pkt 5 lit e) Rozporządzenia.
Nowela k.s.c. w art. 66b ust. 2 w przypadku przedsiębiorców komunikacji elektronicznej odsyła jeszcze do kategorii funkcji krytycznych dla bezpieczeństwa sieci i usług określonych w załączniku nr 3 do tej noweli. Załącznik tenzawiera m.in. postanowienia o charakterze technicznym dotyczące identyfikacji powiązanej funkcji sieciowej wg standardów 3GPP (3rd Generation Partnership Project).
Nowela k.s.c. jako zawierająca przepisy techniczne, zgodnie z art. 5 Dyrektywy 2015/1535 oraz § 4 ust. 1 Rozporządzenia, powinna więc zostać notyfikowana do KE. Poza tym, według § 5 Rozporządzenia Notyfikacji aktów prawnych podlegają ponadto akty prawne wyłączające stosowanie zasady swobodnego przepływu towarów. Na konieczność notyfikacji wskazywał także minister właściwy do spraw członkostwa Rzeczypospolitej Polskiej w UE. Ze stanowiska przekazanego w ramach procesu uzgodnień projektu wynika, że przepisy noweli k.s.c. wprowadzają możliwość ustanowienia ograniczeń w swobodnym przepływie towarów i usług społeczeństwa informacyjnego polegających w szczególności na zakazie wprowadzania do użytkowania sprzętu, oprogramowania i usług, nakazie ich wycofania z użytkowania (zob. pismo znak: KPDPUE.920.1030.2020.AR(2). W obszarze cyberbezpieczeństwa liczne państwa
UE dokonały już takiej notyfikacji: Belgia (nr notyfikacji: 2022/0396/B), Bułgaria (2021/0501/BG), Estonia (2022/0313/EE), Finlandia (2021/0137/FIN), Francja (2021/0796/F), Hiszpania (2021/0604/E), Irlandia (2022/0850/IRL), Niderlandy (2021/0333/NL), Niemcy (2020/0818/D) i Szwecja (2022/0134/S).
W art. 1 ust. 1 lit. g) Dyrektywy 1535/2015 zdefiniowano pojęcie „projektu przepisów technicznych”, które oznaczają przepisy znajdujące się na etapie przygotowania, na którym mogą zostać wprowadzone zasadnicze zmiany. Podobnie definiuje „projekt aktu prawnego zawierającego przepisy techniczne” § 2 pkt 5a Rozporządzenia.Notyfikacja powinna się więc odbyć na etapie, gdy projekt aktu prawnego jest jeszcze projektem, do którego można wprowadzić zmiany (§ 8 ust. 3 Rozporządzenia). Wykluczona jest możliwość notyfikowania już obowiązującego aktu. Pełny tekst noweli k.s.c. powinien być więc notyfikowany do KE po akceptacji przez Radę Ministrów i przed przekazaniem go do Sejmu.
Notyfikacja polega na przesłaniu projektu wraz z wnioskiem do KE z obowiązkiem 3-miesięcznego wstrzymania prac legislacyjnych (tzw. standstill). W przypadku przepisów technicznych okres ten podlega bezwzględnemu przestrzeganiu. Postanowienia art. 6 ust. 7 Dyrektywy 2015/1535 umożliwiają wprawdzie państwom członkowskim uzyskanie całkowitego lub częściowego zwolnienia z obowiązku stosowania okresu odroczenia. Procedura jest jednak traktowana jako nadzwyczajna i może być stosowana tylko w przypadku zarówno poważnych, jak i nieprzewidzianych okoliczności rozpatrywanych łącznie (zob. wyrok TSUEz 8.10.2020, Union des industries de la protection des plantes v Premier Ministre and others, C-514/19, ECLI:EU:C:2020:803).
Nowela k.s.c. jest procedowana od września 2020 r., a obecna propozycja jest już 11 wersją, co wskazuje, że domniemane zagrożenie cyberbezpieczeństwa nie jest tak znaczące. Skoro przez taki okres nie były pilne prace na nowelą k.s.c., a nie zaszły obecnie żadne istotne i nowe fakty, nie można uznać, że nowela k.s.c. nabrała pilnego charakteru. Opóźnienia legislacyjne nie mogą stanowić uzasadnionej podstawy do rezygnacji z notyfikacji. Podobnie trudno uzasadnić pilnością prac pominięcie etapu rozpatrzenia przez komisję prawniczą noweli k.s.c. w wersji z 29.05.2023 r. (zob. protokół z posiedzenia komisji prawniczej z 6.06.2023 r., https://legislacja.rcl.gov.pl).
Niezgłoszenie noweli k.s.c. zgodnie z art. 5 Dyrektywy 2015/1535, § 4 ust. 1 i § 5 Rozporządzenia, stanowi naruszenie obowiązków wynikających z tej dyrektywy i wskazanego rozporządzenia. Konsekwencją naruszenia tych przepisów może być uznanie przez TSUE lub sądy krajowe przepisów technicznych za nieobowiązujące. W tym zakresie istnieje już ukształtowane orzecznictwo TSUE, zapoczątkowane orzeczeniem Europejskiego Trybunału Sprawiedliwości z 30.04.1996 r. w sprawie CIA-Security, C-194/94, EU:C:1996:172, wydanym na podstawie obowiązującej wtedy dyrektywy 98/34/WE (poprzedzającej Dyrektywę 1535/2015), które zostało potwierdzone w kolejnych orzeczeniach TSUE (zob. sprawa sprawa C-144/16, Município de Palmela, EU:C:2017:76; sprawa C-299/17, VG Media, EU:C:2019:716), w tym również w odniesieniu do przepisów technicznych przyjętych z naruszeniem okresu obowiązywania zasady wstrzymania (zob. sprawa C-95/14, UNIC i Uni.co.pel, EU:C:2015:492; sprawa C-443/98, Unilever, EU:C:2000:496).
Zainteresowane podmioty, zarówno osoby fizyczne, jak i prawne, mogą powołać się na art. 5 i 6 Dyrektywy 2015/1535 przed sądem krajowym, który powinien stwierdzić brak możliwości stosowania krajowych przepisów technicznych, o których nie powiadomiono zgodnie z dyrektywą lub o których powiadomiono, ale które przyjęto przed wygaśnięciem okresu obowiązywania zasady wstrzymania. W toku prac nad nowelą k.s.c., w ramach konsultacji publicznych, były zgłaszane przez przedsiębiorców uwagi o konieczności notyfikacji tych przepisów, ale stanowisko przedsiębiorców w tym zakresie zostało właśnie pominięte.
W przypadku podejrzenia pominięcia przez państwo członkowskie procedury notyfikacji, KE może także wszcząć postępowanie w tej sprawie i podjąć dalsze kroki, łącznie ze skierowaniem sprawy do TSUE (art. 258 Traktatu o Funkcjonowaniu Unii Europejskiej).
Prof. dr hab. Maciej Rogalski
radca prawny
Artykuł ten został opublikowany w dniu 16 czerwca 2023 r. w Dzienniku Gazeta Prawna
