Czy nowela ustawy o krajowym systemie cyberbezpieczeństwa wymaga zgłoszenia do TRIS?
Obecnie toczą się prace legislacyjne nad ustawą o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw („nowela k.s.c.”).
Trwają one już prawie 3 lata. 6 czerwca Rada Ministrów zatwierdziła 11 wersję tej noweli. Rozszerza ona zakres ustawy z dnia 5.07.2018 r. o krajowym systemie cyberbezpieczeństwa o procedurę dotyczącą tzw. dostawców wysokiego ryzyka. Przewiduje w art. 66a ust. 1, że Minister właściwy do spraw informatyzacji , w celu ochrony bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego, może wszcząć postępowanie w sprawie uznania dostawcy produktów lub usług ICT, które są wykorzystywane przez podmioty w tym przepisie wskazane, za dostawcę wysokiego ryzyka. Decyzja Ministra powinna wskazywać typy produktów i usług ICT pochodzące od takiego dostawcy , które nie będą mogły być wprowadzane do obrotu oraz będą musiały być wycofane z infrastruktury przez przedsiębiorców posiadających je w swojej sieci .
W uzasadnieniu noweli k.s.c. z 7.06.2023 r. można tylko przeczytać, że nowela k.s.c. nie podlega jednak notyfikacji na podstawie Rozporządzenia RM z 23.12.2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji norm i aktów prawnych, ale nie jest wyjaśnione dlaczego uznano notyfikację za zbędną.
Zgodnie z art. 5 Dyrektywy 2015/1535 państwa członkowskie UE są zobowiązane powiadamiać KE i pozostałe państwa UE o każdym projekcie przepisów technicznych dotyczącym produktów i usług społeczeństwa informacyjnego przed przyjęciem go w prawodawstwie krajowym. KE opracowała kompleksową bazę danych zawierającą wszystkie zgłoszone projekty, zwaną TRIS (ang. Technical Regulations Information System).
W Polsce aktem prawa krajowego na podstawie którego dokonuje się notyfikacji jest wspomniane Rozporządzenie, które nie posiada nadrzędnego charakteru nad Dyrektywą 1535/2015 i powinno być interpretowane tak, aby zapewnić wykonalność postanowień tej dyrektywy, co potwierdza także orzecznictwo sądowe. Nowela k.s.c. jako zawierająca przepisy techniczne, zgodnie z art. 5 Dyrektywy 2015/1535 oraz § 4 ust. 1 Rozporządzenia, powinna zostać notyfikowana do KE. Poza tym, według § 5 Rozporządzenia Notyfikacji aktów prawnych podlegają ponadto akty prawne wyłączające stosowanie zasady swobodnego przepływu towarów. Na konieczność notyfikacji wskazywał także minister właściwy do spraw członkostwa Rzeczypospolitej Polskiej w UE. W obszarze cyberbezpieczeństwa liczne państwa UE dokonały już takiej notyfikacji: Belgia, Bułgaria, Estonia, Finlandia, Francja, Hiszpania, Irlandia, Niderlandy, Niemcy i Szwecja.
Notyfikacja powinna się odbyć na etapie, gdy projekt aktu prawnego jest jeszcze projektem, do którego można wprowadzić zmiany (§ 8 ust. 3 Rozporządzenia). Wykluczona jest możliwość notyfikowania już obowiązującego aktu. Pełny tekst noweli k.s.c. powinien być więc notyfikowany do KE po akceptacji przez Radę Ministrów i przed przekazaniem go do Sejmu. Notyfikacja polega na przesłaniu projektu wraz z wnioskiem do KE z obowiązkiem 3-miesięcznego wstrzymania prac legislacyjnych (tzw. standstill). W przypadku przepisów technicznych okres ten podlega bezwzględnemu przestrzeganiu.
Niezgłoszenie noweli k.s.c. zgodnie z art. 5 Dyrektywy 2015/1535, § 4 ust. 1 i § 5 Rozporządzenia, stanowi naruszenie obowiązków wynikających z tej dyrektywy i wskazanego rozporządzenia. Konsekwencją naruszenia tych przepisów może być uznanie przez TSUE lub sądy krajowe przepisów technicznych za nieobowiązujące.
Zainteresowane podmioty, zarówno osoby fizyczne, jak i prawne, mogą powołać się na art. 5 i 6 Dyrektywy 2015/1535 przed sądem krajowym, który powinien stwierdzić brak możliwości stosowania krajowych przepisów technicznych, o których nie powiadomiono zgodnie z dyrektywą lub o których powiadomiono, ale które przyjęto przed wygaśnięciem okresu obowiązywania zasady wstrzymania. W toku prac nad nowelą k.s.c., w ramach konsultacji publicznych zgłaszane przez przedsiębiorców uwagi o konieczności notyfikacji tych przepisów zostały pominięte. W przypadku podejrzenia pominięcia przez państwo członkowskie procedury notyfikacji, KE może także wszcząć postępowanie w tej sprawie i podjąć dalsze kroki, łącznie ze skierowaniem sprawy do TSUE (art. 258 Traktatu o Funkcjonowaniu Unii Europejskiej).
Prof. dr hab. Maciej Rogalski
Pełna treść artykułu dostępna tutaj.