W projekcie ustawy o krajowym systemie cyberbezpieczeństwa znalazło się wiele sprzeczności z Kartą Praw Podstawowych UE – twierdzi dr hab. Marcin Górski, radca prawny i profesor Uniwersytetu Łódzkiego.
Prof. Marcin Górski przygotował na ten temat ekspertyzę na zlecenie Stowarzyszenia Obywatelskiego „Dom Polski”. Jego zdaniem wiele przepisów tam zawartych budzi wątpliwości z punktu widzenia wolności działalności gospodarczej, wynikającej z Karty Praw Podstawowych UE.
Takie wątpliwości wzbudza m.in. artykuł, zgodnie z którym dostosowanie się przez podmioty kluczowe i ważne do wymagań technicznych i funkcjonalnych korzystania z systemu teleinformatycznego wspierającego współpracę w ramach krajowego systemu cyberbezpieczeństwa ma nastąpić w terminie 3 miesięcy od udostępnienia wymagań tego systemu przez ministra właściwego ds. informatyzacji.
Zastrzeżenia do projektu ustawy o cyberbezpieczeństwie
Brakuje także konkretnych rozwiązań. „Nie jest jasne, który sąd i w jakim trybie miałby orzekać «tymczasowy zakaz zajmowania stanowiska», jakie to miałoby być stanowisko, ani też, czy orzeczenie to miałoby status postanowienia zabezpieczającego (a więc wydawanego bez udziału zainteresowanej osoby ex ante), czy też merytorycznego, nie wspominając już o tym, że nie wiadomo też, jaki miałby być zakres czasowy tej «tymczasowości»” – czytamy w ekspertyzie.
Zdaniem prof. Górskiego najwięcej zastrzeżeń i największym ciężarze gatunkowym wzbudzają przepisy dotyczące m.in. określenie zakresu podmiotowego rekomendacji do „kategorii podmiotów”. „Samo pojęcie «kategorii» nie zostało w ustawie zdefiniowane, co może pozwolić na celowanie nakładanych obowiązków na określonych przedsiębiorców albo ich grupy, zależnie od potrzeb politycznych; ponadto, przepis ten nie nakłada na pełnomocnika obowiązku zachowania wymogów proporcjonalności, co może skutkować nałożeniem obowiązków nadmiernych w danych okolicznościach i stanowić nadmierną ingerencję w wolności gospodarcze chronione przez art. 16 i 17 Karty Praw Podstawowych UE” – czytamy w ekspertyzie.
Przepisy „mogą rodzić potencjalnie dewastujące skutkami ekonomiczne”
Profesor zwraca też uwagę na projektowany art. 67b ustawy, dotyczący uznania dostawców sprzętu lub oprogramowania za dostawców wysokiego ryzyka. „Projektowane przepisy wzbudzą wątpliwości m.in. co do zgodności z art. 41 Karty Praw Podstawowych UE (zasada dobrej administracji), w zakresie, w jakim organy krajowe powinny uwzględniać standard zasady ogólnej prawa do dobrej administracji wykonując prawo UE” – stwierdził profesor.
Czytaj więcej:
Biznes Dyrektywa NIS 2 – początek nowej ery cyberbezpieczeństwa w UE
Pro
Z kolei jego zdaniem projektowany art. 67c ustawy, zakładający obowiązek powstrzymania się od wprowadzania do użytkowania i wycofania z użytkowania produktów dostawy uznanego za dostawcę wysokiego ryzyka może „rodzić potencjalnie dewastujące skutkami ekonomiczne decyzji (opatrzonej ex lege rygorem natychmiastowej wykonalności)”.