Czy nowela ustawy o krajowym systemie cyberbezpieczeństwa wymaga zgłoszenia do TRIS?
Obecnie toczÄ… siÄ™ prace legislacyjne nad ustawÄ… o zmianie ustawy o krajowym systemie cyberbezpieczeÅ„stwa oraz niektórych innych ustaw („nowela k.s.c.”).
TrwajÄ… one już prawie 3 lata. 6 czerwca Rada Ministrów zatwierdziÅ‚a 11 wersjÄ™ tej noweli. Rozszerza ona zakres ustawy z dnia 5.07.2018 r. o krajowym systemie cyberbezpieczeÅ„stwa o procedurÄ™ dotyczÄ…cÄ… tzw. dostawców wysokiego ryzyka. Przewiduje w art. 66a ust. 1, że Minister wÅ‚aÅ›ciwy do spraw informatyzacji , w celu ochrony bezpieczeÅ„stwa paÅ„stwa lub bezpieczeÅ„stwa i porzÄ…dku publicznego, może wszcząć postÄ™powanie w sprawie uznania dostawcy produktów lub usÅ‚ug ICT, które sÄ… wykorzystywane przez podmioty w tym przepisie wskazane, za dostawcÄ™ wysokiego ryzyka. Decyzja Ministra powinna wskazywać typy produktów i usÅ‚ug ICT pochodzÄ…ce od takiego dostawcy , które nie bÄ™dÄ… mogÅ‚y być wprowadzane do obrotu oraz bÄ™dÄ… musiaÅ‚y być wycofane z infrastruktury przez przedsiÄ™biorców posiadajÄ…cych je w swojej sieci .
W uzasadnieniu noweli k.s.c. z 7.06.2023 r. można tylko przeczytać, że nowela k.s.c. nie podlega jednak notyfikacji na podstawie RozporzÄ…dzenia RM z 23.12.2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji norm i aktów prawnych, ale nie jest wyjaÅ›nione dlaczego uznano notyfikacjÄ™ za zbÄ™dnÄ….
Zgodnie z art. 5 Dyrektywy 2015/1535 paÅ„stwa czÅ‚onkowskie UE sÄ… zobowiÄ…zane powiadamiać KE i pozostaÅ‚e paÅ„stwa UE o każdym projekcie przepisów technicznych dotyczÄ…cym produktów i usÅ‚ug spoÅ‚eczeÅ„stwa informacyjnego przed przyjÄ™ciem go w prawodawstwie krajowym. KE opracowaÅ‚a kompleksowÄ… bazÄ™ danych zawierajÄ…cÄ… wszystkie zgÅ‚oszone projekty, zwanÄ… TRIS (ang. Technical Regulations Information System).
W Polsce aktem prawa krajowego na podstawie którego dokonuje siÄ™ notyfikacji jest wspomniane RozporzÄ…dzenie, które nie posiada nadrzÄ™dnego charakteru nad DyrektywÄ… 1535/2015 i powinno być interpretowane tak, aby zapewnić wykonalność postanowieÅ„ tej dyrektywy, co potwierdza także orzecznictwo sÄ…dowe. Nowela k.s.c. jako zawierajÄ…ca przepisy techniczne, zgodnie z art. 5 Dyrektywy 2015/1535 oraz § 4 ust. 1 RozporzÄ…dzenia, powinna zostać notyfikowana do KE. Poza tym, wedÅ‚ug § 5 RozporzÄ…dzenia Notyfikacji aktów prawnych podlegajÄ… ponadto akty prawne wyÅ‚Ä…czajÄ…ce stosowanie zasady swobodnego przepÅ‚ywu towarów. Na konieczność notyfikacji wskazywaÅ‚ także minister wÅ‚aÅ›ciwy do spraw czÅ‚onkostwa Rzeczypospolitej Polskiej w UE. W obszarze cyberbezpieczeÅ„stwa liczne paÅ„stwa UE dokonaÅ‚y już takiej notyfikacji: Belgia, BuÅ‚garia, Estonia, Finlandia, Francja, Hiszpania, Irlandia, Niderlandy, Niemcy i Szwecja.
Notyfikacja powinna siÄ™ odbyć na etapie, gdy projekt aktu prawnego jest jeszcze projektem, do którego można wprowadzić zmiany (§ 8 ust. 3 RozporzÄ…dzenia). Wykluczona jest możliwość notyfikowania już obowiÄ…zujÄ…cego aktu. PeÅ‚ny tekst noweli k.s.c. powinien być wiÄ™c notyfikowany do KE po akceptacji przez RadÄ™ Ministrów i przed przekazaniem go do Sejmu. Notyfikacja polega na przesÅ‚aniu projektu wraz z wnioskiem do KE z obowiÄ…zkiem 3-miesiÄ™cznego wstrzymania prac legislacyjnych (tzw. standstill). W przypadku przepisów technicznych okres ten podlega bezwzglÄ™dnemu przestrzeganiu.
NiezgÅ‚oszenie noweli k.s.c. zgodnie z art. 5 Dyrektywy 2015/1535, § 4 ust. 1 i § 5 RozporzÄ…dzenia, stanowi naruszenie obowiÄ…zków wynikajÄ…cych z tej dyrektywy i wskazanego rozporzÄ…dzenia. KonsekwencjÄ… naruszenia tych przepisów może być uznanie przez TSUE lub sÄ…dy krajowe przepisów technicznych za nieobowiÄ…zujÄ…ce.
Zainteresowane podmioty, zarówno osoby fizyczne, jak i prawne, mogÄ… powoÅ‚ać siÄ™ na art. 5 i 6 Dyrektywy 2015/1535 przed sÄ…dem krajowym, który powinien stwierdzić brak możliwoÅ›ci stosowania krajowych przepisów technicznych, o których nie powiadomiono zgodnie z dyrektywÄ… lub o których powiadomiono, ale które przyjÄ™to przed wygaÅ›niÄ™ciem okresu obowiÄ…zywania zasady wstrzymania. W toku prac nad nowelÄ… k.s.c., w ramach konsultacji publicznych zgÅ‚aszane przez przedsiÄ™biorców uwagi o koniecznoÅ›ci notyfikacji tych przepisów zostaÅ‚y pominiÄ™te. W przypadku podejrzenia pominiÄ™cia przez paÅ„stwo czÅ‚onkowskie procedury notyfikacji, KE może także wszcząć postÄ™powanie w tej sprawie i podjąć dalsze kroki, Å‚Ä…cznie ze skierowaniem sprawy do TSUE (art. 258 Traktatu o Funkcjonowaniu Unii Europejskiej).
Prof. dr hab. Maciej Rogalski
Pełna treść artykułu dostępna tutaj.