Rada Legislacyjna

  Rada Legislacyjna                                                                                                2021-02-23

            przy

  Prezesie Rady Ministrów

          RL-033-4/21

(Minister Cyfryzacji)

Opinia

o projekcie ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo telekomunikacyjne

 

 

I. Uwagi ogólne

 

1. [Przedmiot niniejszej opinii] Przedmiotem niniejszej opinii jest projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo telekomunikacyjne (dalej: „Projekt”), w wersji z dnia 20 stycznia 2021 r.[1], przygotowany przez Ministra Cyfryzacji[2] oraz przedstawiony Radzie Legislacyjnej do zaopiniowania przez Prezesa Rządowego Centrum Legislacji[3].

2. [Cele oraz treść Projektu] Zasadniczymi celami Projektu są: dalszy rozwój krajowego systemu cyberbezpieczeństwa, podniesienie w Polsce poziomu odporności na cyberzagrożenia oraz zwiększenie poziomu ochrony informacji w sektorach publicznym, militarnym i prywatnym[4]. Realizacja przez Projekt tych strategicznych celów ma nastąpić poprzez dokonanie stosownych zmian normatywnych w postaci znowelizowania dwóch tytułowych ustaw, tj. ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa[5] (dalej: „ustawa o cyberbezpieczeństwie”) oraz ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne[6].

Najważniejsze zmiany przewidziane przez Projekt w ustawie o cyberbezpieczeństwie są następujące: poszerzenie kręgu podmiotów tworzących krajowy system cyberbezpieczeństwa, w tym o ISAC (czyli centrum wymiany i analizy informacji na temat podatności, cyberzagrożeń i incydentów funkcjonujące w celu wspierania podmiotów krajowego systemu cyberbezpieczeństwa) i SOC (czyli zespół pełniący funkcję operacyjnego centrum bezpieczeństwa w danym podmiocie)[7]; zamieszczenie przepisów o zadaniach i funkcjonowaniu SOC w krajowym systemie cyberbezpieczeństwa[8]; dodanie przepisów o zadaniach i obowiązkach ISAC w ramach krajowego systemu cyberbezpieczeństwa[9]; poszerzenie zadań CSIRT GOV, CSIRT MON i CSIRT NASK (czyli Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego, prowadzonych przez, odpowiednio, Szefa Agencji Bezpieczeństwa Wewnętrznego, Ministra Obrony Narodowej oraz Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy) jako podmiotów krajowego systemu cyberbezpieczeństwa[10]; rozbudowanie przepisów o CSIRT sektorowych, wraz ze wzmocnieniem ich roli w krajowym systemie cyberbezpieczeństwa[11]; dodanie obszernych przepisów o krajowym systemie certyfikacji cyberbezpieczeństwa, czyli o systemie mającym na celu wspieranie wytwarzania wysokiej jakości produktów, usług i procesów związanych z systemami informacyjnymi (tzn. produktów ICT, usług ICT i procesów ICT)[12]; danie podstaw prawnych do stworzenia sieci komunikacji strategicznej oraz operatora sieci komunikacji strategicznej[13]; stworzenie podstaw prawnych do wydawania decyzji administracyjnych o uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka[14]; stworzenie podstaw prawnych do wydawania przez właściwe organy ostrzeżeń w celu poinformowania o cyberzagrożeniu oraz poleceń zabezpieczających[15].

Z kolei zmiany przewidziane przez Projekt w ustawie Prawo telekomunikacyjne polegają na upoważnieniu Prezesa Urzędu Komunikacji Elektronicznej do zapewniania odpowiednich częstotliwości w celu oferowania przez przedsiębiorcę telekomunikacyjnego na zasadach niedyskryminacyjnych usług na warunkach hurtowych celem ich dalszej sprzedaży przez innego przedsiębiorcę telekomunikacyjnego[16].

3. [Ogólna ocena Projektu] Rada Legislacyjna pozytywnie ocenia opiniowany przez nią Projekt. Projekt jest adekwatną merytorycznie odpowiedzią na stale rosnące zagrożenia dla systemów informacyjnych, użytkowników takich systemów oraz innych osób, mogące powodować szkody, zakłócenia lub inne niekorzystne skutki dla wspomnianych systemów, ich użytkowników i innych osób[17]. Zagrożenia te wynikają czasami z pewnych immanentnych uwarunkowań (przyczyn) technicznych lub technologicznych, ale coraz częściej są one powodowane intencjonalnymi bezprawnymi działaniami osób trzecich, motywowanych chęcią zysku lub zaszkodzenia interesom bezpieczeństwa i obronności państwa lub interesom gospodarczym państwa i innych podmiotów. Tego rodzaju cyberzagrożenia – nierzadko inspirowane z zewnątrz kraju przez inne państwa[18] – powodują ogromne szkody finansowe[19] i mogą wywoływać wiele zjawisk kryzysowych w funkcjonowaniu państwa, gospodarki i społeczeństwa (np. zawieszenie funkcjonowania różnych instytucji użyteczności publicznej, przerwy w świadczeniu ważnych usług). Dla zabezpieczenia się przed cyberzagrożeniami konieczne jest nie tylko adekwatne przygotowanie do tego infrastruktury informacyjnej (typu hardware i software), ale również stworzenie odpowiednich struktur instytucjonalnych w sektorze publicznym i prywatnym, a także określenie stosownych procedur prawnych oraz opracowanie z wyprzedzeniem odpowiednich planów działania. Projekt w pełni uwzględnia te postulaty i wychodzi naprzeciw potrzebom, które we współczesnym państwie oraz w społeczeństwie informacyjnym mają charakter absolutnie krytyczny.

Ważnym elementem Projektu jest też realizacja przez polskie państwo pewnych obowiązków prawnych, jakie w zakresie cyberbezpieczeństwa spoczywają na państwach członkowskich Unii Europejskiej na mocy prawa unijnego. W określonym zakresie Projekt wykonuje zatem prawo UE i również z tego punktu widzenia zasługuje na aprobatę i szybkie jego procedowanie.

Równocześnie jednak Projekt zawiera pewne niedoskonałości techniczno-legislacyjne, konstrukcyjne lub systemowo-prawne. Dostrzegając je, Rada Legislacyjna postuluje wprowadzenie do Projektu stosownych modyfikacji.

 

II. Szczegółowe zastrzeżenia względem Projektu i propozycje de lege ferenda

 

1. [Brak odnośnika mówiącego o stosowaniu prawa UE] W przepisach Projektu, w tym w jego przepisach mających zostać wprowadzonymi do ustawy o cyberbezpieczeństwie, brak jest stosownego odnośnika informującego o unijnym akcie normatywnym, z którym Projekt oraz nowelizowana ustawa o cyberbezpieczeństwie są powiązane: chodzi mianowicie o rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie)[20] (dalej: „rozporządzenie (UE) 2019/881”).

Projekt w pewnej swojej istotnej części służy stosowaniu właśnie powołanego rozporządzenia (UE) 2019/881. W szczególności, zawarte w Projekcie projektowane przepisy art. 59e-59g ustawy o cyberbezpieczeństwie, mówiące o krajowym programie certyfikacji cyberbezpieczeństwa, stanowią przejaw wykonania art. 57 rozporządzenia (UE) 2019/881; przepisy art. 59c ustawy o cyberbezpieczeństwie w brzmieniu przewidzianym w Projekcie, mówiące o organie właściwym w Polsce w sprawach certyfikacji cyberbezpieczeństwa, stanowią przejaw wykonania art. 58 rozporządzenia (UE) 2019/881; przepisy art. 59za ustawy o cyberbezpieczeństwie w brzmieniu przewidzianym w Projekcie, mówiące o instytucji skargi na działalność jednostek oceniających, stanowią przejaw wykonania art. 63 rozporządzenia (UE) 2019/881; zaś zawarte w Projekcie przepisy zmieniające niektóre przepisy art. 73 i art. 74 ustawy o cyberbezpieczeństwie, dotyczące kar pieniężnych, stanowią przejaw wykonania art. 65 rozporządzenia (UE) 2019/881. Skoro zatem cały szereg przepisów Projektu w zakresie nowelizującym ustawę o cyberbezpieczeństwie służy wykonaniu konkretnych przepisów rozporządzenia (UE) 2019/881, to okoliczność ta powinna zostać wyraźnie zaznaczona w stosownym odnośniku zamieszczanym w ustawie o cyberbezpieczeństwie. Taka praktyka legislacyjna jest wymagana przez Zasady techniki prawodawczej[21].

W przypadku polskiej ustawy, czy też projektu polskiej ustawy, która ma służyć wykonywaniu przepisów unijnego aktu normatywnego dającego się bezpośrednio stosować – a przykładem takiego bezpośrednio stosowalnego unijnego aktu normatywnego jest właśnie rozporządzenie (UE) 2019/881 – relewantny w zakresie dotyczącym odnośników jest § 19a ust. 2 Zasad techniki prawodawczej, stanowiący, że „W przypadku ustawy, której uchwalenie jest związane z wydaniem lub obowiązywaniem aktu normatywnego ustanowionego przez instytucję Unii Europejskiej, dającego się bezpośrednio stosować, po określeniu przedmiotu ustawy zamieszcza się odnośnik do tytułu ustawy informujący o akcie normatywnym, z którym ustawa jest związana, co wyraża się w szczególności zwrotem „niniejsza ustawa służy stosowaniu … (tytuł aktu)”.”. Uwzględniając ten przepis Zasad techniki prawodawczej należałoby zatem postulować zamieszczenie w Projekcie przepisu, który w ustawie o cyberbezpieczeństwie będzie wprowadzał zmianę polegającą na dodaniu odnośnika do tytułu tej ustawy informującego o tym, iż ustawa o cyberbezpieczeństwie służy stosowaniu rozporządzenia (UE) 2019/881.

2. [Braki w projektowanych przepisach o prowadzeniu wykazu SOC[22]] Projektowane przepisy ustawy o cyberbezpieczeństwie dotyczące prowadzenia wykazu SOC zawierają pewne braki legislacyjne, które mogą spowodować niekompletność tego wykazu lub nieadekwatność zawartych w nim danych. Przede wszystkim w projektowanych przepisach ustawy o cyberbezpieczeństwie brak jest wyraźnego przepisu nakazującego operatorom usług kluczowych informować organ właściwy do spraw cyberbezpieczeństwa o powołaniu SOC wewnątrz swojej struktury.

W tym kontekście należy wyjaśnić, że zgodnie z projektowanym art. 14 ust. 2 ustawy o cyberbezpieczeństwie: „Operator usługi kluczowej powołuje SOC wewnątrz swojej struktury lub zawiera umowę dotyczącą prowadzenia SOC na jego zlecenie z innym podmiotem. SOC powołany przez operatora usługi kluczowej może realizować zadania, o których mowa w ust. 1 [tj. zadania w zakresie bezpieczeństwa systemów informacyjnych – przyp. RL], także na rzecz innych podmiotów.”. Projektowane przepisy art. 14a ustawy o cyberbezpieczeństwie (w brzmieniu przewidzianym w Projekcie) przewidują prowadzenie przez ministra właściwego do spraw informatyzacji wykazu SOC, mającego zawierać stosowne dane na temat SOC, przy czym projektowany art. 14a ust. 3 ustawy o cyberbezpieczeństwie, normujący kwestie proceduralno-kompetencyjne związane z postępowaniem w sprawie wpisania do wykazu SOC i wykreślenia z tego wykazu, stanowi, że „Wpisanie do wykazu SOC i wykreślenie z tego wykazu następuje na wniosek organu właściwego do spraw cyberbezpieczeństwa złożony niezwłocznie po uzyskaniu informacji od operatora usługi kluczowej, o której mowa w art. 14 ust. 2, lecz nie później niż 14 dni po uzyskaniu tej informacji. Wniosek zawiera dane, o których mowa w ust. 2 pkt 1-5.”. Ten ostatni przepis jest oparty na założeniu, że organ właściwy do spraw cyberbezpieczeństwa (organy te są wymienione w art. 41 ustawy o cyberbezpieczeństwie) uzyska od operatora usługi kluczowej informację „o której mowa w art. 14 ust. 2”, czyli informację: (1) o powołaniu przez operatora usługi kluczowej SOC wewnątrz swojej struktury lub (2) o zawarciu przez operatora usługi kluczowej z innym podmiotem umowy dotyczącej prowadzenia SOC na jego zlecenie.

Problem polega jednak na tym, że o ile projektowane przepisy ustawy o cyberbezpieczeństwie przewidują wyraźny materialnoprawny obowiązek operatora usługi kluczowej poinformowania organu właściwego do spraw cyberbezpieczeństwa o zawarciu przez tego operatora umowy z innym podmiotem dotyczącej prowadzenia SOC na zlecenie tegoż operatora usługi kluczowej (zob. projektowany art. 14 ust. 4 ustawy o cyberbezpieczeństwie[23])[24], o tyle żaden projektowany przepis ustawy o cyberbezpieczeństwie (ani tym bardziej żaden obecny przepis ustawy o cyberbezpieczeństwie) nie przewiduje wyraźnego obowiązku operatora usługi kluczowej poinformowania organu właściwego do spraw cyberbezpieczeństwa o tym, że dany operator usługi kluczowej powołał SOC wewnątrz swojej struktury. Nie jest więc jasne skąd (z jakiego źródła) organ właściwy do spraw cyberbezpieczeństwa będzie dowiadywał się o powołaniu przez danego operatora usługi kluczowej SOC wewnątrz swojej struktury, tak aby organ ten mógł wykonać swój ustawowy obowiązek złożenia do ministra właściwego do spraw informatyzacji wniosku o wpis tak powołanego SOC do wykazu SOC, jak też nie jest jasne, skąd organ właściwy do spraw cyberbezpieczeństwa ma uzyskać konkretne dane na temat SOC, które musi wskazać w tymże wniosku. W istocie zatem pojawia się wątpliwość dotycząca tego, na jakiej podstawie i w oparciu o skąd czerpane informacje organ właściwy do spraw cyberbezpieczeństwa ma złożyć do ministra właściwego do spraw informatyzacji wniosek o wpis do wykazu SOC, o którym to wniosku jest mowa w projektowanym art. 14a ust. 3 ustawy o cyberbezpieczeństwie.

Trudno byłoby uznać za zadowalające rozwiązanie tego problemu przyjęcie, że prowadzony przez ministra właściwego do spraw informatyzacji wykaz SOC miałby obejmować nie wszystkie SOC, lecz tylko te, które świadczą operatorom usług kluczowych stosowne usługi w zakresie bezpieczeństwa systemów informacyjnych w oparciu o umowy zawarte z tymi operatorami usług kluczowych (w tym również SOC powołane co prawda wewnątrz struktury danego operatora usług kluczowych, ale jednocześnie świadczące odnośne usługi innym operatorom na podstawie zawartych z nimi umów – co dopuszcza projektowany art. 14a ust. 2 zd. 1 ustawy o cyberbezpieczeństwie). Projektowane przepisy ustawy o cyberbezpieczeństwie dotyczące wykazu SOC nie przewidują bynajmniej tego rodzaju ograniczenia podmiotowego, a więc – zgodnie z regułą interpretacyjną lege non distinguente nec nostrum est distinguere – w drodze wykładni nie należy wprowadzać takiego właśnie rozróżnienia w zakresie dotyczącym tego, które SOC mają się znaleźć w wykazie SOC, o którym jest mowa w projektowanych przepisach ustawy o cyberbezpieczeństwie.

Zresztą, również w przypadku SOC-ów, które nie zostały powołane przez operatora usługi kluczowej wewnątrz jego struktury, lecz mają świadczyć usługi na podstawie zawartych z tymi operatorami umów cywilnoprawnych, organ właściwy do spraw cyberbezpieczeństwa może mieć praktyczne problemy z identyfikacją takich SOC-ów oraz ze złożeniem stosownego wniosku o wpis do wykazu SOC, w zakresie, w jakim będzie chodziło o SOC-e, które już istnieją, ale podmiot je prowadzący nie zawarł jeszcze z operatorem usługi kluczowej żadnej umowy, o której mowa w projektowanych przepisach art. 14 ust. 2 i 4 ustawy o cyberbezpieczeństwie. Tym bardziej ów problem z identyfikacją może dotyczyć SOC-ów utworzonych przez podmioty niebędące operatorami usług kluczowych, które nie zawarły jeszcze żadnej umowy na prowadzenie SOC na zlecenie operatora usługi kluczowej. Skoro zaś twórcy Projektu tak mocno dbają o przejrzystość działalności SOC-ów prowadzonych przez podmioty niebędące operatorami usług kluczowych, w tym wymagają ujawniania przez te podmioty pewnych relewantnych dotyczących ich informacji publicznie (zob. projektowany art. 14 ust. 7 ustawy o cyberbezpieczeństwie[25]), to być może każdy taki podmiot niebędący operatorem usługi kluczowej i prowadzący SOC powinien notyfikować pewne informacje z tym związane organowi właściwemu do spraw cyberbezpieczeństwa, nawet jeżeli nie zawarł jeszcze żadnej umowy z operatorem usługi kluczowej na prowadzenie SOC na zlecenie tego operatora.

W każdym razie, niezależnie nawet od zasadności tej ostatnio wspomnianej propozycji legislacyjnej, faktem pozostanie to, że po wejściu w życie Projektu i po utworzeniu wykazu SOC potencjalnie będą mogły istnieć i funkcjonować SOC-e, prowadzone przez określone podmioty, w tym przez operatorów usług kluczowych, które nie będą objęte wykazem SOC, o którym mowa w projektowanych przepisach art. 14a ustawy o cyberbezpieczeństwie. Będzie to mianowicie dotyczyło przede wszystkim tych SOC-ów, które zostały powołane wewnątrz struktury operatora usługi kluczowej i które nie świadczą umownych usług z tego zakresu innym operatorom, a także w jakiejś mierze będzie to dotyczyło SOC-ów prowadzonych przez podmioty niebędące operatorami usług kluczowych, które nie zawarły jeszcze żadnej umowy na prowadzenie SOC z operatorem usługi kluczowej.

Legislacyjnym rozwiązaniem zasygnalizowanego wyżej problemu byłoby wprowadzenie do ustawy o cyberbezpieczeństwie osobnego przepisu, który by wyraźnie obligował operatorów usług kluczowych do informowania organu właściwego do spraw cyberbezpieczeństwa o powołaniu SOC wewnątrz struktury tego operatora. Tego rodzaju przepis idealnie korespondowałby z treścią projektowanego art. 14a ust. 3 ustawy o cyberbezpieczeństwie, ustanawiającego po stronie organu właściwego do spraw cyberbezpieczeństwa obowiązek złożenia wniosku o wpis do wykazu SOC (aczkolwiek taki proponowany przez Radę Legislacyjną przepis bynajmniej nie powielałby zbędnie treści tego ostatniego przepisu, gdyż projektowany art. 14a ust. 3 ustawy o cyberbezpieczeństwie nie ustanawia żadnego obowiązku informacyjnego operatora usługi kluczowej, lecz mówi jedynie o skutkach prawnych uzyskania przez organ właściwy do spraw cyberbezpieczeństwa stosownych informacji od operatora usługi kluczowej – tzn. mówi o skutku w postaci obowiązku tego organu złożenia stosownego wniosku o wpis do wykazu SOC – nie nakładając jednocześnie na operatora usługi kluczowej obowiązku informacyjnego w tym względzie).

Należy ponadto wyrazić wątpliwość odnośnie tego, czy wszystkie dane, jakie zgodnie z projektowanym przepisem art. 14a ust. 2 ustawy o cyberbezpieczeństwa ma zawierać wykaz SOC, są rzeczywiście w tym przypadku adekwatne względem takich jednostek jak SOC-e. W szczególności nie jest jasne, w jaki sposób do SOC-ów miałyby się odnosić dane wskazane w projektowanym art. 14a ust. 2 pkt 3-5 ustawy o cyberbezpieczeństwie, tj. siedziba i adres SOC, numer identyfikacji podatkowej (NIP) oraz numer we właściwym rejestrze. Należy pamiętać, że SOC to tylko pewien zespół osób, wraz ze stworzonym na ich potrzeby stosownym wyposażeniem i oprogramowaniem, niemający zasadniczo – a w każdym razie niepotrzebujący posiadać – podmiotowości prawnej na potrzeby uzyskiwania numeru identyfikacji podatkowej oraz wpisu do rejestru publicznego (np. do Krajowego Rejestru Sądowego). Siedziba, adres, NIP oraz wpis do rejestru są to wszystko cechy (atrybuty) właściwe raczej dla podmiotu prowadzącego SOC (w tym dla operatora usługi kluczowej), nie zaś dla samego SOC. Być może byłoby zatem warto doprecyzować w projektowanych przepisach art. 14a ust. 2 pkt 3-5 ustawy o cyberbezpieczeństwie, że wskazane tam dane dotyczą podmiotu prowadzącego SOC. Podobne doprecyzowanie może być potrzebne w projektowanych przepisach art. 25a ust. 3 pkt 3-5 ustawy o cyberbezpieczeństwie w zakresie dotyczącym wykazu ISAC (czyli wykazu centrów wymiany i analizy informacji na temat podatności, cyberzagrożeń i incydentów, funkcjonujących w celu wspierania podmiotów krajowego systemu cyberbezpieczeństwa).

3. [Niewłaściwe usytuowanie w Projekcie art. 1 pkt 13 Projektu oraz niekompletność zawartej tam enumeracji] Przepis art. 1 pkt 13 Projektu ma charakter niekompletny, w tym mianowicie sensie, że nie wymienia on wszystkich tych przepisów (jednostek redakcyjnych) ustawy o cyberbezpieczeństwie, w których obecnie występują wyrazy „zagrożenie cyberbezpieczeństwa” i w których wyrazy te mają zostać zastąpione przez sformułowanie „cyberzagrożenie”.

W tym względzie należy wyjaśnić, że Projekt przewiduje skreślenie w słowniczku wyrażeń ustawowych ustawy o cyberbezpieczeństwie terminu „zagrożenie cyberbezpieczeństwa” i dotyczącej tego terminu definicji legalnej oraz zastąpienie go terminem „cyberzagrożenie” wraz ze stosowną zmianą treściową definicji legalnej (zob. art. 2 pkt 17 ustawy o cyberbezpieczeństwie w brzmieniu obecnym i przewidzianym w Projekcie). W ślad za tą zmianą normatywną Projekt zawiera przepis stanowiący, że użyte w określonych – enumeratywnie wymienionych – przepisach ustawy o cyberbezpieczeństwie „w różnej liczbie i różnym przypadku, wyrazy „ zagrożenie cyberbezpieczeństwa” zastępuje się użytym w odpowiedniej liczbie i odpowiednim przypadku wyrazem „ cyberzagrożenie”” (art. 1 pkt 13 Projektu).

Tego rodzaju przepis, tzn. art. 1 pkt 13 Projektu, jest zasadniczo w swojej treści i konstrukcji zgodny z Zasadami techniki prawodawczej, w myśl których „Jeżeli dane określenie, występujące w wielu przepisach zmienianej ustawy, w każdym z nich skreśla się albo zastępuje się nowym określeniem, zmiany tej dokonuje się przepisem zmieniającym w brzmieniu: „skreśla się użyte w art. …, w różnej liczbie i różnym przypadku, wyrazy „…” ” albo „użyte w art. …, w różnej liczbie i różnym przypadku, wyrazy „…” zastępuje się użytymi w odpowiedniej liczbie i odpowiednim przypadku wyrazami „…” ”.” (§ 88 ust. 1 Zasad techniki prawodawczej).

Art. 1 pkt 13 Projektu został natomiast zamieszczony w niewłaściwym miejscu Projektu, a mianowicie w innym miejscu niż wymaga tego § 88 ust. 2 Zasad techniki prawodawczej. Ten ostatni przepis stanowi, że przepis zmieniający taki jak art. 1 pkt 13 Projektu – czyli przepis zbiorowo zmieniający pewne określenie występujące w wielu różnych przepisach ustawy zmienianej – zamieszcza się w ustawie zmieniającej (tu: w Projekcie) według kolejności dokonywanych zmian w ustawie zmienianej (tu: w ustawie o cyberbezpieczeństwie), biorąc pod uwagę umiejscowienie w ustawie zmienianej pierwszego z przepisów, w którym dane określenie (tu: „zagrożenie cyberbezpieczeństwa”) zastępuje się nowym określeniem (tu: „cyberzagrożenie”). Pomijając w ustawie o cyberbezpieczeństwie definicję legalną terminu „zagrożenie cyberbezpieczeństwa”, występującą w art. 2 pkt 17 ustawy o cyberbezpieczeństwie i zamienianą przez Projekt definicją legalną terminu „cyberzagrożenie”, wyrazy „zagrożenie cyberbezpieczeństwa” występują w ustawie o cyberbezpieczeństwie po raz pierwszy w art. 8 pkt 3 tej ustawy i dlatego też przepis zmieniający zbiorowo w tej ustawie wspomniane określenie powinien zostać zamieszczony w Projekcie w miejscu właściwym do dokonywania zmiany w art. 8 pkt 3 ustawy o cyberbezpieczeństwie. W takim układzie omawiany tutaj przepis zmieniający powinien zostać zamieszczony w art. 1 pkt 6 Projektu (według obecnej numeracji), nie zaś dopiero w art. 1 pkt 13 Projektu.

Co wszakże istotniejsze, przepis art. 1 pkt 13 Projektu jest niekompletny treściowo, w tym sensie, że nie wylicza on bynajmniej wszystkich tych przepisów (jednostek redakcyjnych) ustawy o cyberbezpieczeństwie, w których de lege lata występują wyrazy „zagrożenie cyberbezpieczeństwa” i które to wyrazy trzeba de lege ferenda zastąpić wyrazem „cyberzagrożenie”. Mianowicie, w art. 1 pkt 13 Projektu brak jest wymienienia art. 63 ust. 2 ustawy o cyberbezpieczeństwie (gdzie jest sformułowanie: „(…) zapewnienia cyberbezpieczeństwa na poziomie krajowym i przeciwdziałania zagrożeniom w tym zakresie”, a w świetle Projektu powinno być: „(…) zapewnienia cyberbezpieczeństwa na poziomie krajowym i przeciwdziałania cyberzagrożeniom”) oraz art. 65 ust. 1 pkt 2 ustawy o cyberbezpieczeństwie (gdzie jest: „(…) na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa”, a powinno być: „(…) na rzecz przeciwdziałania cyberzagrożeniom”). Należy przy tym dodać, że wspomniane tutaj art. 63 ust. 2 i art. 65 ust. 1 pkt 2 ustawy o cyberbezpieczeństwie – których nie wymieniono w art. 1 pkt 13 Projektu – nie są również zmieniane treściowo w omawianym tutaj zakresie w dalszych przepisach Projektu.

De lege ferenda należy zatem obecny art. 1 pkt 13 Projektu usytuować w Projekcie jako jego art. 1 pkt 6 oraz należy tam dodatkowo wymienić w rzędzie przepisów zmienianych art. 63 ust. 2 i art. 65 ust. 1 pkt 2 ustawy o cyberbezpieczeństwie.

4. [Nieuporządkowana struktura wewnętrzna projektowanego rozdziału 11a ustawy o cyberbezpieczeństwie] Struktura wewnętrzna przepisów projektowanego rozdziału 11a ustawy o cyberbezpieczeństwie, tj. rozdziału zatytułowanego: „Krajowy system certyfikacji cyberbezpieczeństwa”, jest obecnie nieuporządkowana systematycznie, w tym sensie, że poszczególne grupy przepisów występują tam w niewłaściwej kolejności. Projektowany rozdział 11a ustawy o cyberbezpieczeństwie ma w swoim założeniu regulować wiele różnych szczegółowych zagadnień i instytucji prawnych, w tym przede wszystkim problematykę akredytacji (jednostek oceniających), certyfikacji (produktów ICT, usług ICT lub procesów ICT) oraz deklaracji zgodności (produktów ICT, usług ICT lub procesów ICT), wraz z uregulowaniem warunków, procedur i skutków prawnych dokonywania akredytacji, certyfikacji i wydawania deklaracji zgodności.

W takim układzie byłoby de lege ferenda rzeczą pożądaną, aby te poszczególne instytucje prawne, tj. akredytacja, certyfikacja i deklaracje zgodności, były w projektowanym rozdziale 11a ustawy o cyberbezpieczeństwie uregulowane kolejno po sobie, przez przepisy dotyczące pierwszej z tych instytucji zebrane razem (tzn. najpierw akredytacji), po których następowałaby grupa przepisów dotycząca drugiej z tych instytucji (tzn. certyfikacji), a następnie powinna być zamieszczona w tym rozdziale grupa przepisów dotycząca trzeciej z omawianych instytucji (tj. deklaracji zgodności), z zastrzeżeniem, że wszystkie te trzy grupy przepisów powinny być poprzedzone grupą przepisów wspólnych dla tych instytucji, wraz z możliwością uregulowania niektórych zagadnień wspólnych również w końcowej części tego projektowanego rozdziału ustawy o cyberbezpieczeństwie.

Tymczasem w aktualnej wersji Projektu przepisy projektowanego rozdziału 11a ustawy o cyberbezpieczeństwie nie są uporządkowane według tego logicznego schematu, lecz są ze sobą pomieszane, co niestety znacznie utrudnia ich percepcję przez użytkowników tego aktu prawnego. W tym kontekście Rada Legislacyjna postuluje, aby zaraz bezpośrednio po projektowanych przepisach art. 59k-59o ustawy o cyberbezpieczeństwie dotyczących certyfikacji od razu następowały obecne projektowane przepisy art. 59s-59u i art. 59w ustawy o cyberbezpieczeństwie, które także dotyczą certyfikacji, zaś dopiero po nich powinny następować projektowane przepisy art. 59m pkt 1 i art. 59p-59r ustawy o cyberbezpieczeństwie dotyczące deklaracji zgodności. Tymczasem w obecnej wersji Projektu jest tak, że projektowane przepisy art. 59m pkt 1 i art. 59p-59r ustawy o cyberbezpieczeństwie, dotyczące deklaracji zgodności, znajdują się niejako „w środku” pomiędzy przepisami o certyfikacji. Z kolei po tych wszystkich wymienionych projektowanych przepisach ustawy o cyberbezpieczeństwie dotyczących certyfikacji i deklaracji zgodności powinny de lege ferenda zostać zamieszczone przepisy dotyczące wspólnie (łącznie) certyfikacji i deklaracji zgodności, tzn. obecne projektowane przepisy art. 59m, art. 59v i art. 59x ustawy o cyberbezpieczeństwie.

5. [Mankamenty merytoryczne i systemowe przepisów projektowanego rozdziału 11b ustawy o cyberbezpieczeństwie dotyczącego operatora sieci komunikacji strategicznej] Projektowane przepisy rozdziału 11b ustawy o cyberbezpieczeństwie dotyczące operatora sieci komunikacji strategicznej mają wiele istotnych mankamentów merytorycznych i systemowych. Mankamenty te wynikają przede wszystkim z niedostosowania terminologii i konstrukcji prawnych Projektu w tym zakresie do przepisów ustawy Prawo telekomunikacyjne.

Rada Legislacyjna popiera przewidzianą w Projekcie, tzn. w projektowanych przepisach rozdziału 11b ustawy o cyberbezpieczeństwie, ideę powołania (wyznaczenia) operatora sieci komunikacji strategicznej, który wykonywałby dla najważniejszych instytucji państwowych oraz dla innych podmiotów istotne zadania na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego w zakresie telekomunikacji. Wykonywanie takich zadań dobrze byłoby powierzyć operatorowi, którego wyłącznym właścicielem jest Skarb Państwa, tak jak to przewiduje projektowany art. 59zd ust. 2 ustawy o cyberbezpieczeństwie. Niemniej jednak przepisy ustawowe regulujące instytucję operatora sieci komunikacji strategicznej muszą być de lege ferenda sformułowane w sposób dalece precyzyjny, adekwatny merytorycznie i przede wszystkim z uwzględnieniem treści relewantnych w tym zakresie przepisów Prawa telekomunikacyjnego dotyczących regulacji w sektorze telekomunikacyjnym. Trzeba bowiem pamiętać, że projektowany operator sieci komunikacji strategicznej będzie funkcjonował na rynku telekomunikacyjnym, w złożonym środowisku regulacyjnym sektora telekomunikacyjnego. Przepisy prawne go dotyczące muszą zatem tworzyć spójną całość razem z przepisami Prawa telekomunikacyjnego. Tymczasem Projekt w obecnym kształcie treściowym takiej spójności i precyzji terminologicznej nie zapewnia. W tym względzie Rada Legislacyjna dostrzega następujące mankamenty przepisów projektowanego rozdziału 11b ustawy o cyberbezpieczeństwie, wymagające bezwzględnie usunięcia.

Po pierwsze, zdecydowanie nieadekwatne jest samo występujące w Projekcie określenie „sieci komunikacji strategicznej” oraz „operator sieci komunikacji strategicznej”, a mówiąc konkretniej nieadekwatna jest ta część tych określeń, w której jest mowa o „sieciach komunikacji”. Występujące w Projekcie sformułowanie „sieci komunikacji” – biorąc pod uwagę obowiązujący Europejski kodeks łączności elektronicznej[26] oraz procedowane obecnie w rządowym procesie legislacyjnym wdrażające go przepisy nowej ustawy Prawo komunikacji elektronicznej[27] ‒ sugeruje, że chodzi tutaj nie tylko o węziej rozumiane „sieci telekomunikacyjne”, za pomocą których świadczone są usługi telekomunikacyjne, ale że ponadto chodzi tutaj o sieci umożliwiające świadczenie innych usług komunikacji elektronicznej niż węziej rozumiane usługi telekomunikacyjne, a konkretnie że chodzi tutaj także o sieci, za pomocą których świadczy się usługi komunikacji interpersonalnej, takie jak np. poczta elektroniczna, usługi przekazywania wiadomości, czaty grupowe (zob. pkt 17 preambuły do Europejskiego kodeksu łączności elektronicznej oraz art. 1 pkt 1 i art. 2 pkt 68 projektu Prawa komunikacji elektronicznej[28]).

Nawet jeżeli merytorycznie jest to uzasadnione, aby pewna część szerzej rozumianej infrastruktury komunikacji (łączności) elektronicznej miała charakter strategiczny i była zapewniana przez specjalnego państwowego operatora, to jednak szczegółowe projektowane przepisy rozdziału 11b ustawy o cyberbezpieczeństwie przeczą temu, że omawiana tutaj projektowana instytucja będzie miała tak szeroki zakresowo charakter. Z tych szczegółowych projektowanych przepisów ustawy o cyberbezpieczeństwie ewidentnie bowiem wynika, że owe „sieci komunikacji strategicznej” będą w istocie wyłącznie „sieciami telekomunikacyjnymi” w węższym znaczeniu nadawanym im przez przepisy obowiązującego de lege lata Prawa telekomunikacyjnego oraz w przyszłości przez przepisy nowego Prawa komunikacji elektronicznej. Projektowany art. 59zd ust. 1 ustawy o cyberbezpieczeństwie explicite bowiem stanowi, że tworzone przez Projekt sieci komunikacji strategicznej mają być przeznaczone do realizacji zadań (tzn. zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego) „w zakresie telekomunikacji”. Tymczasem pojęcie „telekomunikacji” oraz „działalności telekomunikacyjnej” ma swoją legalną definicję w ustawie Prawo telekomunikacyjne, a która to definicja – zgodnie z regułami z § 9 i § 148 Zasad techniki prawodawczej – jest miarodajna również na potrzeby ustawy o cyberbezpieczeństwie[29]. Zgodnie z tą generalną i miarodajną dla ustawy o cyberbezpieczeństwie definicją legalną zawartą w Prawie telekomunikacyjnym, telekomunikacja lub działalność telekomunikacyjna to działalność polegająca na zapewnianiu sieci telekomunikacyjnych lub świadczeniu usług telekomunikacyjnych, czyli usług przekazywania sygnałów w sieci telekomunikacyjnej (zob. w szczególności art. 1 ust. 1 pkt 1 oraz art. 2 pkt 35, 41, 42 i 48 Prawa telekomunikacyjnego). Wynika z tego, że de lege lata w pojęciu „telekomunikacji” mieści się wyłącznie wykonywanie działalności za pomocą sieci telekomunikacyjnych, i również po przyszłym wejściu w życie nowego Prawa komunikacji elektronicznej będzie się w tym określeniu mieściła wyłącznie działalność wykonywana przy wykorzystaniu sieci telekomunikacyjnych, z wyłączeniem usług komunikacji interpersonalnej niewykorzystujących numerów (zob. art. 1 pkt 1 projektu Prawa komunikacji elektronicznej). Te ostatnie usługi będą objęte prawnym pojęciem „komunikacji elektronicznej”, ale nie „telekomunikacji”.

W takim układzie należy postulować, aby w projektowanych przepisach rozdziału 11b ustawy o cyberbezpieczeństwie określenie „sieci komunikacji strategicznej” zastąpić określeniem „sieci telekomunikacji strategicznej”. W szczególności jest to uzasadnione de lege lata, zważywszy na wyraźne stwierdzenie w projektowanym art. 59zd ust. 1 ustawy o cyberbezpieczeństwie mówiące w tym kontekście o zadaniach „w zakresie telekomunikacji”. Przy okazji zaś uchwalania nowego Prawa komunikacji elektronicznej w przepisach go wprowadzających[30] będzie można ewentualnie znowelizować w omawianym zakresie ustawę o cyberbezpieczeństwie, przesądzając, że sieci, o których jest mowa w rozdziale 11b tej ustawy są to sieci komunikacji elektronicznej (o charakterze strategicznym), przeznaczone do wykonywania zadań w zakresie zapewniania komunikacji elektronicznej, a nie tylko telekomunikacji (o ile ustawodawca będzie chciał poszerzyć koncepcję tych sieci i dostosować ją do przepisów nowego Prawa komunikacji elektronicznej).

Po drugie, z treści projektowanych przepisów rozdziału 11b ustawy o cyberbezpieczeństwie nie wynika jasno co oznacza występujące w projektowanym art. 59zd ust. 1 tej ustawy stwierdzenie, że „tworzy się sieć komunikacji strategicznej”. Projektowane przepisy rozdziału 11b ustawy o cyberbezpieczeństwie nie rozstrzygają przecież o tym, które konkretnie sieci telekomunikacyjne (bo w świetle poczynionych wyżej uwag wydaje się oczywiste, że chodzi tutaj właśnie o „sieci telekomunikacyjne”) będą posiadały taką właśnie kwalifikację prawną. W szczególności nie wiadomo, czy taka kwalifikacja prawna będzie dotyczyła wszystkich sieci telekomunikacyjnych, które będzie dostarczał wyznaczony w tym celu operator (tzn. jednoosobowa spółka Skarbu Państwa), czy też tylko części tych sieci wyznaczonego operatora. Stwierdzenie projektodawcy o „stworzeniu” tej sieci jest zdecydowanie na wyrost i nie wywoła eo ipso skutków prawnych w postaci powstania jakichkolwiek sieci telekomunikacyjnych.

De lege ferenda byłoby zasadne, aby w projektowanych przepisach art. 59zd ust. 1 ustawy o cyberbezpieczeństwie – zamiast mówienia tam o tym, że „tworzy się sieć komunikacji strategicznej” – było zamieszczone stwierdzenie, iż w celu zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego w zakresie telekomunikacji „wyznacza się operatora sieci telekomunikacji strategicznej” i że dostarczane (zarządzane) przez niego sieci telekomunikacyjne uzyskują status (kwalifikację prawną) sieci telekomunikacji strategicznej.

Po trzecie, z treści projektowanego art. 59zd ust. 3 in principio ustawy o cyberbezpieczeństwie nie wynika w sposób jednoznaczny, czy wspomniany w tym przepisie wniosek o realizację usług ma dotyczyć świadczenia usług tylko na rzecz wnioskodawcy czy również na rzecz innych niż wnioskodawca podmiotów. Projektowany art. 59zd ust. 3 in principio ustawy o cyberbezpieczeństwie stanowi, że „Operator sieci komunikacji strategicznej świadczy usługi telekomunikacyjne w celu realizacji zadań, o których mowa w ust. 1, oraz może świadczyć inne usługi w zakresie realizacji tych zadań, jeżeli podmioty, o których mowa w ust. 4, zgłoszą operatorowi sieci komunikacji strategicznej wniosek o ich realizację, (…)”. W tym względzie dobrze byłoby doprecyzować, że chodzi tutaj o wniosek o realizację wchodzących w grę usług na rzecz wnioskodawcy.

Po czwarte, występujące w projektowanym art. 59zf ust. 1 ustawy o cyberbezpieczeństwie sformułowanie „operator telekomunikacyjny” jest raczej mało precyzyjne i nie występuje w takim kształcie w ustawie Prawo telekomunikacyjne. Projektowany art. 59zf ust. 1 ustawy o cyberbezpieczeństwie nakłada na „operatora telekomunikacyjnego” obowiązek zapewniania odpłatnie dostępu do elementów sieci telekomunikacyjnej na potrzeby komunikacji strategicznej realizowanej przez operatora sieci komunikacji strategicznej. De lege ferenda byłoby rzeczą pożądaną, aby nakładając tak ważki technicznie i gospodarczo obowiązek regulacyjny projektowany art. 59zf ust. 1 ustawy o cyberbezpieczeństwie bardzo precyzyjnie wskazywał (identyfikował) jego podmioty. Tymczasem sformułowanie „operator telekomunikacyjny” takiej dostatecznej precyzji nie zapewnia, chociażby dlatego, że ustawa Prawo telekomunikacyjne zawiera legalną definicję „operatora”, bez dodatkowego kwalifikatora „telekomunikacyjny” (zob. art. 2 pkt 27 lit. b) Prawa telekomunikacyjnego). O ile przy tym występowanie w projektowanym art. 59zf ust. 1 ustawy o cyberbezpieczeństwie owego kwalifikatora „telekomunikacyjny” nie jest samo w sobie jakimś istotnym problemem, o tyle byłoby rzeczą pożądaną wyraźne odwołanie się w tym kontekście przez ustawodawcę do przepisów ustawy Prawo telekomunikacyjne, a jeszcze bardziej byłoby pożądane posłużenie się w tym kontekście nie ogólnym sformułowaniem „operator telekomunikacyjny”, ale raczej sformułowaniem „operator publicznej sieci telekomunikacyjnej”. To ostatnie określenie zdecydowanie precyzyjniej zidentyfikuje tę kategorię podmiotów, na które projektowany art. 59zf ust. 1 ustawy o cyberbezpieczeństwie ma nałożyć tak istotne regulacyjne obowiązki dostępowe, analogicznie do tego jak w przepisach Prawa telekomunikacyjnego wyodrębnia się (wskazuje się) tych operatorów, na których spoczywają określone obowiązki regulacyjne, m. in. w zakresie dostępu telekomunikacyjnego, statuowane na mocy przepisów Prawa telekomunikacyjnego (zob. np. art. 6a, art. 6b, art. 26a, art. 71 ust. 5, art. 75, art. 76, art. 78 ust. 1, art. 79 ust. 1, art. 171 ust. 1, art. 175 ust. 1 i art. 180a ust. 1 Prawa telekomunikacyjnego).

Po piąte, występujące w projektowanym art. 59zf ust. 1 ustawy o cyberbezpieczeństwie pojęcie „potrzeb komunikacji strategicznej” jest bardzo ogólnikowe, mało precyzyjne i nigdzie normatywnie niezdefiniowane. Tymczasem pojęcie to będzie odgrywało na gruncie projektowanego art. 59zf ust. 1 ustawy o cyberbezpieczeństwie niezwykle istotną rolę, gdyż będzie ono determinowało prawnie zakres obowiązku dostępowego spoczywającego na operatorze telekomunikacyjnym (czy też, jak to postuluje Rada Legislacyjna, na operatorze publicznej sieci telekomunikacyjnej). Projektowany art. 59zf ust. 1 ustawy o cyberbezpieczeństwie stanowi, że „Operator telekomunikacyjny jest obowiązany zapewnić odpłatnie dostęp do elementów sieci telekomunikacyjnej na potrzeby komunikacji strategicznej [podkr. RL] realizowanej przez operatora sieci komunikacji strategicznej.”. To niezdefiniowane i niedookreślone pojęcie „potrzeb komunikacji strategicznej” jest zbyt szerokie, sugerujące przy tym, że nie chodzi tutaj jedynie o węziej rozumianą działalność telekomunikacyjną operatora sieci komunikacji strategicznej, ale również o inną działalność  w zakresie komunikacji elektronicznej. De lege ferenda w przepisie tym należy się raczej odwołać do zadań i usług określonych w projektowanych przepisach art. 59zd ust. 1 i 3 ustawy o cyberbezpieczeństwie (np.: „Operator publicznej sieci telekomunikacyjnej jest obowiązany zapewnić odpłatnie dostęp do elementów swojej sieci telekomunikacyjnej w celu realizacji przez operatora sieci komunikacji strategicznej jego zadań i usług określonych w art. 59zd ust. 1 i 3.”).

Po szóste, z projektowanych przepisów art. 59zf ust. 2 i 3 ustawy o cyberbezpieczeństwie nie wynika w ogóle, czy do unormowanego w tych przepisach dostępu do elementów sieci telekomunikacyjnej, zarówno umownego jak też zapewnianego decyzją Prezesa Urzędu Komunikacji Elektronicznej (Prezesa UKE), należy stosować przepisy ustawy Prawo telekomunikacyjne o dostępie telekomunikacyjnym (zob. dział II rozdział 2 ustawy Prawo telekomunikacyjne). De lege ferenda takie wyraźne przesądzenie o stosowaniu w tym zakresie, przynajmniej odpowiednio, przepisów Prawa telekomunikacyjnego byłoby zasadne, tym bardziej że całkowite wyłączenie w tym względzie stosowania przepisów Prawa telekomunikacyjnego o dostępie telekomunikacyjnym groziłoby naruszeniem przez Polskę relewantnych w tym obszarze przepisów Europejskiego kodeksu łączności elektronicznej (zob. tytuł II powołanego kodeksu). Stąd też w projektowanym art. 59zf ust. 2 ustawy o cyberbezpieczeństwie należy przesądzić, że do zawierania i treści przewidzianej tam umowy o dostępie stosuje się odpowiednio przepisy art. 26 i art. 27 ustawy Prawo telekomunikacyjne. Z kolei w projektowanym art. 59zf ust. 3 ustawy o cyberbezpieczeństwie należy postanowić, że do przewidzianej tam decyzji Prezesa UKE w sprawie dostępu do elementów sieci telekomunikacyjnej należy odpowiednio stosować przepisy art. 27-29 ustawy Prawo telekomunikacyjne.

6. [Brak dostatecznej precyzji w przepisach o doręczaniu odpisów wyroków sądu administracyjnego w sprawach skarg na decyzję o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka] Projektowane przepisy art. 66d ust. 2 ustawy o cyberbezpieczeństwie, dotyczące doręczania odpisów wyroków sądu administracyjnego w sprawach skarg na decyzję o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, są niedostatecznie precyzyjne, gdyż z ich treści trudno jest jednoznacznie wywnioskować od których przepisów ustawy Prawo o postępowaniu przed sądami administracyjnymi[31] (dalej: „p.p.s.a.”) i w jakim zakresie wprowadzają one regulację szczególną (wyjątkową).

Projektowany art. 66d ust. 2 ustawy o cyberbezpieczeństwie (w brzmieniu przewidzianym w art. 1 pkt 36 Projektu) stanowi, że „Odpis sentencji wyroku z uzasadnieniem doręcza się wyłącznie ministrowi właściwemu do spraw informatyzacji. Skarżącemu doręcza się odpis wyroku z tą częścią uzasadnienia, która nie wymaga utajnienia ze względu na ochronę informacji niejawnych.”. Przepis ten dotyczy wyroków sądów administracyjnych wydawanych w sprawach skarg na decyzje ministra właściwego do spraw informatyzacji o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka (o postępowaniu w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka jest szeroko mowa w projektowanych przepisach art. 66a-66d ustawy o cyberbezpieczeństwie w brzmieniu przewidzianym w art. 1 pkt 36 Projektu). Stronami postępowania przed sądem administracyjnym w takiej sprawie będą minister właściwy do spraw informatyzacji (jako organ wydający decyzję) oraz dostawca sprzętu lub oprogramowania uznany w decyzji tego ministra za dostawcę wysokiego ryzyka, skarżący wzmiankowaną decyzję do sądu administracyjnego. Zgodnie z projektowanym art. 66d ust. 1 ustawy o cyberbezpieczeństwie, sąd administracyjny rozpatruje skargę na wspomniane wyżej decyzje (tj. na decyzje o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka) na posiedzeniu niejawnym.

Generalnie z przepisów p.p.s.a. wynika, że jeżeli sąd administracyjny wydaje wyrok na posiedzeniu niejawnym i jeżeli uzasadnienia wyroku nie sporządza się wówczas z urzędu (a uzasadnienia wyroku nie sporządza się z urzędu w sprawach, w których skargę na decyzję oddalono – zob. art. 141 § 1 i 2 p.p.s.a.), to wówczas „[o]dpis sentencji wyroku wydanego na posiedzeniu niejawnym doręcza się stronom” (art. 139 § 4 p.p.s.a.). Natomiast przepisy art. 142 p.p.s.a. stanowią, że „Odpis wyroku z uzasadnieniem sporządzonym z urzędu doręcza się każdej stronie” (§ 1), zaś „Jeżeli uzasadnienie wyroku zostało sporządzone na wniosek strony, odpis wyroku z uzasadnieniem doręcza się tylko tej stronie, która złożyła wniosek.” (§ 2).

Biorąc pod uwagę treść powołanych wyżej przepisów art. 139 § 4 oraz art. 142 § 1 i 2 p.p.s.a. oraz treść projektowanych przepisów art. 66d ust. 2 ustawy o cyberbezpieczeństwie można by prima facie sądzić, że skoro w projektowanym art. 66d ust. 2 zd. 1 ustawy jest explicite mowa o „odpisie sentencji wyroku”, a nie o „odpisie wyroku” („Odpis sentencji wyroku z uzasadnieniem doręcza się wyłącznie ministrowi właściwemu do spraw informatyzacji.”), to tak sformułowany przepis wprowadza wyjątek od reguły z art. 139 § 4 p.p.s.a., stanowiącej, że „Odpis sentencji wyroku wydanego na posiedzeniu niejawnym doręcza się stronom, jeżeli uzasadnienia wyroku nie sporządza się z urzędu.”. W takim układzie oznaczałoby to, że w przypadku wydawania przez sąd administracyjny omawianego tutaj wyroku, co ma następować zawsze na posiedzeniu niejawnym, odpis sentencji tego wyroku nie jest doręczany obu stronom postępowania sądowoadministracyjnego (tj. ministrowi właściwemu do spraw informatyzacji oraz skarżącemu dostawcy sprzętu lub oprogramowania uznanemu w decyzji tego ministra za dostawcę wysokiego ryzyka), lecz jest doręczany jedynie ministrowi właściwemu do spraw informatyzacji. Z kolei ponieważ projektowany art. 66d ust. 2 zd. 2 ustawy mówi explicite o „odpisie wyroku”, a nie o „odpisie sentencji wyroku” („Skarżącemu doręcza się odpis wyroku z tą częścią uzasadnienia, która nie wymaga utajnienia ze względu na ochronę informacji niejawnych.”), to tym samym można by prima facie sądzić, że tak sformułowany przepis wprowadza wyjątek od reguł z art. 142 § 1 i 2 p.p.s.a., które to przepisy stanowią, że „Odpis wyroku z uzasadnieniem sporządzonym z urzędu doręcza się każdej stronie” (§ 1) oraz że „Jeżeli uzasadnienie wyroku zostało sporządzone na wniosek strony, odpis wyroku z uzasadnieniem doręcza się tylko tej stronie, która złożyła wniosek.” (§ 2). Taka interpretacja oznaczałaby, że jeżeli wydany na posiedzeniu niejawnym wyrok sądu administracyjnego został już opatrzony uzasadnieniem, to wówczas należy odpis takiego wyroku z uzasadnieniem zawsze doręczyć skarżącemu (tj. dostawcy sprzętu lub oprogramowania uznanemu w decyzji ministra za dostawcę wysokiego ryzyka), nawet jeżeli wyrok sądu administracyjnego nie podlegał uzasadnieniu z urzędu i wniosek o jego uzasadnienie złożył nie skarżący, lecz minister właściwy do spraw informatyzacji, z zastrzeżeniem, że skarżący ma wówczas otrzymać nie pełny odpis wyroku z uzasadnieniem, lecz jedynie odpis wyroku z tą częścią uzasadnienia, która nie wymaga utajnienia ze względu na ochronę informacji niejawnych.

Jednakże bliższa analiza treści i sensu obu zdań występujących w projektowanym art. 66d ust. 2 ustawy o cyberbezpieczeństwie przekonuje, że taka (zaprezentowana powyżej) wykładnia tych przepisów jest niezasadna (nieracjonalna), a w szczególności to występujące w obu zdaniach projektowanego art. 66d ust. 2 ustawy o cyberbezpieczeństwie rozróżnienie na „odpis sentencji wyroku” (zd. 1) i „odpis wyroku” (zd. 2) jest w istocie irrelewantne i że tak naprawdę w tych projektowanych przepisach nie chodzi o wprowadzenie wyjątku od ustanowionej w art. 139 § 4 oraz art. 142 § 1 i 2 p.p.s.a. reguły doręczania odpisu sentencji wyroku lub odpisu wyroku obu stronom, względnie tylko tej stronie, która złożyła wniosek o uzasadnienie wyroku, lecz raczej chodzi tutaj w tych projektowanych przepisach o wprowadzenie wyjątku od reguły z p.p.s.a., że stronom postępowania sądowoadministracyjnego doręcza się „pełne” uzasadnienie. Mianowicie, tak naprawdę sensem i celem projektowanych przepisów art. 66d ust. 2 ustawy o cyberbezpieczeństwie jest to, że minister właściwy do spraw informatyzacji ma zawsze otrzymać „pełne” uzasadnienie wyroku sądu administracyjnego, zaś skarżący ma otrzymać tylko część uzasadnienia tego wyroku niewymagającą utajnienia ze względu na ochronę informacji niejawnych. Dlatego też de lege ferenda należy w obu zdaniach projektowanego art. 66d ust. 2 ustawy mówić jednolicie i konsekwentnie o doręczaniu „odpisu wyroku z uzasadnieniem”, a nie o doręczaniu „odpisu sentencji wyroku”, przy czym w pierwszym zdaniu projektowanego art. 66d ust. 2 ustawy o cyberbezpieczeństwie należy zamieścić sformułowanie: „odpis wyroku wraz z pełnym uzasadnieniem”. Tak więc w swoim kompletnym kształcie treściowym przepis art. 66d ust. 2 zd. 1 ustawy o cyberbezpieczeństwie powinien de lege ferenda zostać sformułowany następująco: „Odpis wyroku z pełnym uzasadnieniem doręcza się wyłącznie ministrowi właściwemu do spraw informatyzacji.”).

Natomiast projektowane przepisy art. 66d ust. 2 ustawy o cyberbezpieczeństwie nie dają i nie powinny dawać podstaw prawnych do odstępstwa od reguły z art. 139 § 4 p.p.s.a., stanowiącej, że „Odpis sentencji wyroku [czyli samej sentencji wyroku, jeszcze bez sporządzonego uzasadnienia – przyp. RL] wydanego na posiedzeniu niejawnym doręcza się stronom [czyli obu stronom, w tym również skarżącemu, i to w pełnym brzmieniu tej sentencji – przyp. RL], jeżeli uzasadnienia wyroku nie sporządza się z urzędu.”. Zaproponowane w niniejszej opinii przez Radę Legislacyjną brzmienie projektowanego art. 66d ust. 2 zd. 1 ustawy o cyberbezpieczeństwie zapobiegnie takiej niepożądanej wykładni.

7. [Wątpliwości odnośnie konstytucyjności ograniczeń praw stron w postępowaniu administracyjnym i sądowoadministracyjnym] O ile wcześniejsze uwagi Rady Legislacyjnej odnośnie doręczania stronie pełnego lub częściowego odpisu wyroku sądu administracyjnego miały charakter typowo techniczno-legislacyjny, o tyle w tym miejscu Rada Legislacyjna pragnie podnieść w tym zakresie wątpliwość o charakterze konstytucyjnym, a mianowicie czy w ogóle jest zgodne z Konstytucją RP odstępowanie od doręczania stronie pełnego uzasadniania wyroku sądu administracyjnego (zob. projektowany art. 66d ust. 2 ustawy o cyberbezpieczeństwie), a także czy zgodne z Konstytucją RP jest analogiczne rozwiązanie przewidziane przez Projekt w postępowaniu administracyjnym poprzedzającym omawiane postępowanie sądowoadministracyjne, gdzie przewidziana została możliwość odstąpienia przez ministra właściwego do spraw informatyzacji od sporządzenia uzasadnienia decyzji o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, w części dotyczącej uzasadnienia faktycznego, jeżeli wymagają tego względy obronności lub bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego (zob. projektowany art. 66a ust. 10 w zw. z ust. 8 ustawy o cyberbezpieczeństwie). Nie ulega wątpliwości, że w świetle konstytucyjnego prawa do sądu (art. 45 Konstytucji RP) zasadą musi być dostarczanie stronie pełnego uzasadnienia faktycznego decyzji administracyjnej, tak aby strona (będąca adresatem decyzji) mogła w sposób skuteczny – w oparciu o pełną znajomość relewantnych prawnie faktów, które wpłynęły na treść decyzji – zaskarżyć tę decyzję do sądu administracyjnego, o ile tego pragnie. Podobnie też wyrok sądu administracyjnego musi w świetle konstytucyjnego prawa do sądu zawierać pełne uzasadnienie doręczane stronie, gdyż w oparciu o to uzasadnienie strona może skutecznie wykorzystać swoje uprawnienia do zaskarżenia tego wyroku na drodze sądowej (w omawianym przypadku: zwłaszcza skargą kasacyjną do Naczelnego Sądu Administracyjnego), a ponadto jest to konieczne dla pogłębiania zaufania obywateli do państwa i stosowanego prawa (art. 2 Konstytucji RP). Rada Legislacyjna zauważa, że ustawodawca powinien być bardzo ostrożny i powściągliwy przy ewentualnym odstępowaniu od tych rudymentarnych uprawnień stron w postępowaniu administracyjnym i sądowoadministracyjnym, z powołaniem się na względy bezpieczeństwa państwa lub porządku publicznego (art. 31 ust. 3 Konstytucji RP). W przypadku omawianego tutaj postępowania, tj. postępowania w sprawie uznania dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka, względy obronności i bezpieczeństwa państwa niewątpliwie wchodzą w grę i są aktualne, ale można mieć wątpliwość, czy zastosowane w tym zakresie w Projekcie rozwiązanie prawne polegające na ograniczeniu możliwości poznania przez stronę uzasadnienia faktycznego decyzji administracyjnej i uzasadnienia wyroku sądu administracyjnego jest rzeczywiście proporcjonalne. Rada Legislacyjna wnosi o ponowne rozważenie przez autorów Projektu tej kwestii konstytucyjnej.

8. [Dwukrotne występowanie w Projekcie jednostki redakcyjnej oznaczonej jako art. 1 pkt 36] W Projekcie dwukrotnie występuje jednostka redakcyjna oznaczona jako art. 1 pkt 36, przy czym obie te jednostki redakcyjne mają zupełnie odmienną treść i dodają do ustawy o cyberbezpieczeństwie zupełnie różne treściowo przepisy: pierwszy przepis art. 1 pkt 36 Projektu dodaje do ustawy o cyberbezpieczeństwie nowe przepisy art. 66a-66d, zaś drugi przepis art. 1 pkt 36 Projektu dodaje do ustawy o cyberbezpieczeństwie nowe przepisy art. 67a i art. 67b. De lege ferenda ta druga jednostka systematyzacyjna Projektu powinna zostać oznaczona jako art. 1 pkt 37.

9. [Brak dostatecznej precyzji w projektowanym art. 115[4] ust. 4 Prawa telekomunikacyjnego] Projektowany art. 115[4] ust. 4 Prawa telekomunikacyjnego, w brzmieniu przewidzianym w art. 2 Projektu, zawiera kilka sformułowań niedostatecznie precyzyjnych, co utrudnia jednoznaczne ustalenie zakresu zastosowania i normowania tego projektowanego przepisu.

Projektowany art. 115[4] ust. 4 Prawa telekomunikacyjnego stanowi, że „Prezes Rady Ministrów, w oparciu o analizę, o której mowa w ust. 3, w celu zapewnienia realizacji celów wynikających z dokumentów programowych Unii Europejskiej, w szczególności w zakresie pokrycia terytorium kraju infrastrukturą zapewniającą dostęp do sieci bardzo szybkich przepustowości, może wyznaczyć podmiot, który świadczył będzie usługi, o których mowa w ust. 1.”. W tym względzie należy krytycznie zauważyć, że na gruncie projektowanego art. 115[4] ust. 4 Prawa telekomunikacyjnego w istocie nie wiadomo co to są „usługi, o których mowa w ust. 1”, gdyż w tymże powołanym tutaj ust. 1 art. 115[4] Prawa telekomunikacyjnego jest mowa o dwóch kategoriach usług: (1) o usługach świadczonych przez przedsiębiorców telekomunikacyjnych oferujących usługi na warunkach hurtowych innym przedsiębiorcom telekomunikacyjnym oraz (2) o usługach świadczonych przez przedsiębiorców telekomunikacyjnych dokonujących dalszej sprzedaży (odsprzedaży) tych usług (projektowany art. 115[4] ust. 1 Prawa telekomunikacyjnego w brzmieniu przewidzianym w art. 2 Projektu stanowi, że „Prezes UKE może zapewnić odpowiednie częstotliwości w celu oferowania przez przedsiębiorcę telekomunikacyjnego na zasadach niedyskryminacyjnych usług na warunkach hurtowych w celu ich dalszej sprzedaży przez innego przedsiębiorcę telekomunikacyjnego.”). Poza tym w projektowanym art. 115[4] ust. 4 Prawa telekomunikacyjnego nie doprecyzowano, czy chodzi tutaj tylko o „usługi telekomunikacyjne” (tak jak o takich właśnie usługach jest explicite mowa w przepisach art. 115 ust. 2 pkt 5 lit. b) i c) Prawa telekomunikacyjnego, mówiących o decyzjach Prezesa UKE o rezerwacji częstotliwości), czy też – alternatywnie – że chodzi tutaj również o inne usługi, co w praktyce oznaczałoby usługi towarzyszące (zob. art. 2 pkt 44a Prawa telekomunikacyjnego). Nie przesądzono tego wyraźnie również w projektowanym art. 115[4] ust. 1 Prawa telekomunikacyjnego. Ponadto na gruncie projektowanego art. 115[4] ust. 4 Prawa telekomunikacyjnego nie wiadomo, czy użyte tam określenie „podmiot” oznacza również np. organ administracji lub podmiot niebędący przedsiębiorcą? W ust. 1 tego projektowanego art. 115[4] Prawa telekomunikacyjnego jest explicite mowa tylko o „przedsiębiorcach telekomunikacyjnych” jako o podmiotach świadczących odnośne przewidziane tam usługi i trudno przypuścić, by w ust. 4 projektowanego art. 115[4] Prawa telekomunikacyjnego projektodawca chciał poszerzyć podmiotowy zakres tej regulacji na podmioty niebędące przedsiębiorcami telekomunikacyjnymi.

Biorąc pod uwagę wskazane mankamenty językowe należałoby rekomendować nadanie projektowanemu art. 115[4] ust. 4 Prawa telekomunikacyjnego następującego brzmienia: „Prezes Rady Ministrów, w oparciu o analizę, o której mowa w ust. 3, w celu zapewnienia realizacji celów wynikających z dokumentów programowych Unii Europejskiej, w szczególności w zakresie pokrycia terytorium kraju infrastrukturą zapewniającą dostęp do sieci bardzo szybkich przepustowości, może wyznaczyć przedsiębiorcę telekomunikacyjnego, który świadczył będzie usługi na warunkach hurtowych w celu ich dalszej sprzedaży przez innego przedsiębiorcę telekomunikacyjnego, o których mowa w ust. 1.”, przy jednoczesnym doprecyzowaniu w projektowanym art. 115[4] ust. 1 Prawa telekomunikacyjnego, że chodzi tam o „usługi telekomunikacyjne”.

 

III. Konkluzje

 

Projekt zawiera bardzo ważne i pożądane przepisy mające w swoim założeniu zwiększyć cyberbezpieczeństwo w Polsce i jako taki jest przez Radę Legislacyjną oceniany pozytywnie oraz rekomendowany do dalszych prac legislacyjnych. W szczególności na pozytywną merytorycznie ocenę zasługują przepisy Projektu rozszerzające podmiotowo krajowy system cyberbezpieczeństwa, precyzujące zadania niektórych podmiotów tego systemu, umożliwiające stosowanie w Polsce unijnych przepisów o krajowym systemie certyfikacji cyberbezpieczeństwa, umożliwiające powoływanie operatora sieci komunikacji strategicznej oraz tworzące podstawy do wydawania decyzji administracyjnych o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka (z zastrzeżeniem, że w tym ostatnim przypadku istnieje zasygnalizowana przez Radę Legislacyjną wątpliwość o charakterze konstytucyjnym). Równocześnie te projektowane przepisy, jakkolwiek merytorycznie zasadne, są obarczone pewną ilością techniczno-legislacyjnych, konstrukcyjnych i systemowych mankamentów (niedociągnięć), które Rada Legislacyjna stara się w tej opinii precyzyjnie wskazać oraz zaproponować sposoby ich wyeliminowania. Można przy tym ogólnie powiedzieć, że o ile przepisy Projektu dotyczące kwestii związanych stricte z cyberbezpieczeństwem, czy też z krajowym systemem cyberbezpieczeństwa, są na ogół dość poprawne, o tyle znacznie więcej wątpliwości budzą te przepisy Projektu, które są treściowo (merytorycznie) związane z zagadnieniami unormowanymi w ustawie Prawo telekomunikacyjne i które dotyczą w jakiejś mierze regulacji sektora telekomunikacyjnego. Zgłaszając w niniejszej opinii swoje uwagi oraz propozycje de lege ferenda Rada Legislacyjna pragnie pomóc projektodawcy w możliwie optymalnym ukształtowaniu treści Projektu, w tym by był on maksymalnie spójny z ustawą Prawo telekomunikacyjne.

 

 

 

Na podstawie projektu opinii przygotowanego przez prof. dra hab. Marka Szydło Rada Legislacyjna przyjęła w trybie obiegowym w dniu 23 lutego 2021 r., po uprzednim rozpatrzeniu na posiedzeniu w dniu 19 lutego 2021 r.